我有一个url buy_product_url
,允许用户在我的网站上购买虚拟产品。用户可以使用各种支付服务支付产品,包括标题中列出的服务。用户支付适当的金额通过第三方网站,然后第三方网站发送我的buy_product_url
一个邮政请求,以确认购买是作出的。
恶意用户可以将POST请求发送到同一个url并获得虚拟产品,而无需付费。
我想为发送到该URL的请求(例如,http身份验证或访问令牌)设置某种身份验证系统,然后将这些凭据授予第三方支付服务。然后第三方可以发送这些凭证给我时,有效的购买是作出的,如果凭据没有发送,我的应用程序应该返回一个错误。
这个是可能的吗?如果是的话,我该如何安排呢?是否只适用于某些支付服务?如果是,是哪些?
发布于 2014-07-31 05:02:28
“你检查了现在。如果它是好的,这是一个有效的请求。没有人知道或能够猜到它的存在(如果你正确地创建它)。”- Thilo 9月8 '13在6:26
https://stackoverflow.com/questions/18680711
复制相似问题