1

付款完成后,为什么 payum 正在删除安全令牌?

我问这个问题只是为了了解 payum 的工作方式。

谢谢你。

4

1 回答 1

2

引入令牌来解决几个问题:

  • 隐藏敏感细节,如付款 ID 或发票 ID(来自数据库的)。所以用户无法猜测或增加它。
  • 使 url 独一无二且难以预测。
  • 使 url 的生命尽可能短。用户完成付款并单击返回按钮。由于令牌被删除,服务器响应将是 404。没有损坏。
  • 使用令牌可以轻松添加过期逻辑。如果令牌过期,则必须生成新的等等。
  • 如果令牌被泄露,您只需删除它们并生成新的。将它们交给用户完成购买。订单 ID 和付款 ID 是安全的。
  • 通知也受令牌保护(在可能的情况下,并非所有网关都支持它)。破解通知要困难得多。

也许是别的东西。我会在得到答案时更新答案。

于 2014-04-25T06:23:58.420 回答