1

我担心 PayPal 的新 REST API 安全性。我已经用它开发了简单的 Web 应用程序(使用保险库直接卡支付和使用 Paypal 帐户支付),但我想知道:

  1. 我注意到请求的内容没有生成签名,每个 REST API 请求都传递,因此 PayPal 的服务器可以确保请求中的内容不会被未经授权的人更改。
  2. 如何避免重复的 API 请求?我认为这是通过包含一些签名的时间戳和类似的东西在经典 API 中解决的。但是如何在新的 REST API 中保护它?

这些是我想到的问题,如果您有其他安全问题,请告诉我们...?

4

2 回答 2

2
  1. 通过专门使用 HTTPS 来加密与服务器的通信,可以保护 API 免受中间人攻击。
  2. HTTPS 还可以保护您免受重放攻击。

当不需要 HTTPS 时(通常是因为您希望能够缓存响应),签名哈希和时间戳对于解决这些问题很有用。

于 2013-09-03T02:12:52.563 回答
0

为确保幂等性(防止重复的 API 请求),您可以设置 PayPal-Request-Id 标头。请参阅https://developer.paypal.com/webapps/developer/docs/api/#authentication--headers

于 2013-09-03T04:54:22.173 回答