Paypal Hosted Checkout ソリューションと「アイデンティティ トークン」または「トークン ID」の目的に関する 2 つの質問。
1-「アイデンティティトークン」(または「トークンID」、それらは同じだと思いますか?)の提供について話しているいくつかのオンラインPaypalドキュメント(Payflow統合など)に出くわしましたが、疑問に思っていましたこのトークン ID を渡す目的は何ですか?それは私自身のセキュリティのためですか、それとも Paypal のセキュリティのためですか? そのトークンIDの目的、Paypalがそれを使って何をしているのか、そして/またはベンダーがそれを使って何をしているのかを正確に知っている人はいますか?
これを尋ねるのは、ユーザーを Paypal がホストするチェックアウトにリダイレクトするためにフォーム ポストを実行するとき、最初に Paypal ゲートウェイ サーバーを呼び出して「セキュア トークン」を取得する必要があり、この API 呼び出しは別の方法で既に保護されているため、パスする必要があるからです。私のアカウントの資格情報。では、なぜ「セキュア トークン」だけを投稿するだけでは十分ではなく、その「トークン ID」も投稿する必要があるのでしょうか。Paypal は、最初の API 呼び出しでセキュア トークンをアカウント情報に関連付けているはずです。
2- また、フローの最後で、Paypal が顧客をベンダーの Web サイトに戻すと、Paypal はそれらのトークン (トークン ID またはセキュア トークン) のいずれかを要求の一部として含めますか (おそらく、指定されたベンダーに URL パラメーターを追加することによって)リターン URL)? もしそうなら、ペイパルはベンダー側で何らかの検証を行うことを推奨していますか?たとえば、ベンダーである私がユーザーセッションに保存したものとトークンが一致することを検証してから、フォームポストを通じて顧客をペイパルにリダイレクトしますか?ホストされたチェックアウト? 基本的に、顧客を Paypal がホストするチェックアウトにリダイレクトしてから、Paypal が顧客をサイトに戻すまでの間にセッションがハイジャックされていないことを確認するにはどうすればよいですか?
参照: https://developer.paypal.com/docs/classic/payflow/integration-guide/#hosted-checkout-pages
どうもありがとう