支払いが完了すると、payum がセキュリティ トークンを削除するのはなぜですか?
Payumでの作業方法を理解するためだけにこの質問をしています。
ありがとうございました。
質問する
272 次
1 に答える
2
トークンは、いくつかの問題を解決するために導入されました。
- 支払いIDや請求書ID(データベースからのもの)などの機密情報を非表示にします。したがって、ユーザーはそれを推測したり、インクリメントしたりすることはできません。
- URL を一意で予測しにくいものにします。
- URL の寿命をできるだけ短くします。ユーザーは支払いを済ませ、戻るボタンをクリックしました。トークンが削除されたため、サーバーの応答は 404 になります。何も壊れていません。
- トークンを使用すると、有効期限ロジックを簡単に追加できます。トークンの有効期限が切れた場合、新しいものを生成する必要があります。
- トークンが侵害された場合は、トークンを削除して新しいトークンを生成するだけです。ユーザーに渡して購入を完了させます。オーダー ID と支払い ID は安全です。
- 通知はトークンによっても保護されます (可能な場合、すべてのゲートウェイがサポートしているわけではありません)。通知をハッキングするのははるかに困難です。
多分何か他のもの。回答が得られるまで更新します。
于 2014-04-25T06:23:58.420 に答える