关于 Paypal Hosted Checkout 解决方案和“Identity Token”或“Token ID”的目标的 2 个问题。
1- 我遇到了几个关于提供“身份 token ”(或“ token ID”,我认为它们是一样的吗?)的在线 Paypal 文档(例如 Payflow 集成),但我想知道什么是传递此 token ID 的目的是为了我自己的安全,还是为了 Paypal 的安全,还是为了其他什么?是否有人确切知道该 token ID 的用途是什么、Paypal 用它做什么和/或供应商应该用它做什么?
问这个是因为在执行表单发布以将用户重定向到 Paypal 托管结帐时,我们必须首先调用 paypal 网关服务器以获取“安全 token ”并且此 API 调用已经通过另一种方法得到保护,我需要传递我的帐户凭据。那么,为什么仅发布“安全 token ”还不够,我们还需要发布“ token ID”? Paypal 应该已经通过第一个 API 调用将安全 token 与我的帐户信息相关联,不是吗?
2- 此外,在流程结束时,一旦 Paypal 将客户返回到我的供应商网站,Paypal 是否会在他们的请求中包含任何这些 token ( token ID 或安全 token )(可能通过将 url 参数添加到我给定的供应商返回 url )?如果是这样,Paypal 是否建议在供应商方面进行任何类型的验证,例如验证 token 是否与我(供应商)在通过表单发布将客户重定向到 Paypal 之前存储在用户 session 中的 token 相匹配托管结帐?基本上,我如何确保在我将客户重定向到 Paypal 托管结账和 Paypal 将客户返回我的网站之间的时间段内 session 没有被劫持?
引用:https://developer.paypal.com/docs/classic/payflow/integration-guide/#hosted-checkout-pages
非常感谢
最佳答案
正如之前的用户所述,Token id 基本上用于在其工作流程中识别特定的交易过程。
关于您的第二个问题,在快速结账的情况下,当 PayPal 将用户返回您的网站时,工作流程不会结束。您描述的这个步骤可能是当您将用户发送到 PayPal 以授权您稍后将发出的付款时。最后一步是 DoExpressCheckoutPayment,您只需通知 paypal 进行交易,为此您只需将 token 传递给 PayPal,这样 PayPal 就知道您在“谈论”什么。
验证 token 是否是一种好的做法,我会说是的。有人可能正在监听您的连接并注入(inject)一些无效 token 。在任何情况下,如果您发送无效 token ,您都会收到来自 Paypal 的错误消息。
下图很好的说明了整个过程:
关于paypal - Paypal "Identity Token"或 "Token ID"是什么,它的用途是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29566110/