1

关于 Paypal Hosted Checkout 解决方案和“身份令牌”或“令牌 ID”的目标的 2 个问题。

1-我遇到过几个在线 Paypal 文档(例如用于 Payflow 集成),它们谈论提供“身份令牌”(或“令牌 ID”,我认为它们是一样的吗?),但我想知道传递这个令牌 ID 的目的是什么,是为了我自己的安全,还是为了 Paypal 的安全,或者其他什么?是否有人确切知道该令牌 ID 的用途、Paypal 使用它做什么和/或供应商将使用它做什么?

之所以问这个问题是因为在进行表单发布以将用户重定向到 Paypal 托管结帐时,我们必须首先调用 paypal 网关服务器以获取“安全令牌”,并且此 API 调用已经通过另一种方法得到保护,我需要通过我的帐户凭据。那么为什么只发布“安全令牌”是不够的,我们还需要发布那个“令牌 ID”呢?Paypal 应该已经通过第一个 API 调用将安全令牌与我的帐户信息相关联吗?

2- 此外,在流程结束时,一旦 Paypal 将客户返回到我的供应商网站,Paypal 是否将任何这些令牌(令牌 ID 或安全令牌)作为其请求的一部分(可能通过将 url 参数添加到我给定的供应商返回网址)?如果是这样,Paypal 是否建议在供应商方面进行任何类型的验证,例如验证令牌是否与我(供应商)存储在用户会话中的令牌匹配,然后通过表单发布将客户重定向到 Paypal托管结帐?基本上,我如何确保在我将客户重定向到 Paypal 托管的结账和 Paypal 将客户返回到我的站点之间的时间没有被劫持?

参考: https ://developer.paypal.com/docs/classic/payflow/integration-guide/#hosted-checkout-pages

非常感谢

4

2 回答 2

0

正如之前的用户所说,Token id 基本上用于在其工作流程中识别特定的交易过程。

关于您的第二个问题,如果是 Express Checkout,当 PayPal 将用户返回到您的站点时,工作流程不会结束。您描述的这一步可能是您将用户发送到 PayPal 以授权您稍后发出的付款。最后一步是 DoExpressCheckoutPayment,您只需通知贝宝进行交易,为此您只需将令牌传递给贝宝,贝宝就知道您在“谈论”什么。

验证令牌是否是一种好习惯,我会说是的。有人可能正在监听您的连接并注入一些无效令牌。在任何情况下,如果您发送无效令牌,您将收到来自 paypal 的错误消息。

下图很好地说明了整个过程: 在此处输入图像描述

于 2015-10-02T05:14:51.173 回答
0

据我了解(如果阅读正确),安全令牌用于处理您自己网站上的交易,而不是将用户和订单传递给贝宝进行处理。安全令牌识别该特定交易并确保订单的连续性不被破坏。您需要令牌 ID 才能获得安全令牌。

于 2015-10-02T03:39:57.977 回答