我有一个网址buy_product_url,允许用户在我的网站上购买虚拟产品。用户可以使用各种支付服务为产品付款,包括标题中列出的服务。用户通过第 3 方网站支付适当的金额,然后第 3 方网站向我发送buy_product_url一个 POST 请求,确认购买已完成。
恶意用户可以向相同的 url 发送 POST 请求并获得虚拟产品而无需付费。
我想为对该 URL 的 POST 请求设置某种身份验证系统(例如,http 身份验证或访问令牌),然后将这些凭据提供给第 3 方支付服务。然后,第三方可以在进行有效购买时将这些凭据发回给我,如果未发送凭据,我的应用程序应返回错误。
这可能吗?如果是这样,我该如何设置?是否仅适用于某些支付服务?如果有,有哪些?