我正在尝试使用Google Pay API将 Google Pay 集成到我们的在线商店中,在本教程中,有这个片段设置了支付金额,以及 JavaScript 对象中的货币代码,如下所示:
paymentDataRequest.transactionInfo = {
totalPriceStatus: 'FINAL',
totalPrice: '123.45',
currencyCode: 'USD'
};
这看起来非常不安全,因为任何人都可以在最终点击“使用 Google Pay 购买”按钮之前篡改客户端的值。
当然,我也可以检查最终从支付网关发回的值,然后将订单标记为欺诈,但如果可能的话,我也想尽早防止这种情况发生。
谢谢。
我还可以检查最终从支付网关发回的值
这是唯一可行的方法。
如果可能的话,我还想尽可能早地防止这种情况发生。
这是不可能的。客户属于访客,最终完全在他们的控制之下。
您可以通过混淆使其更难,但这会使您的代码更难调试,并且不会阻止某人只查看最终的 HTTP 请求并在根本不使用您的代码的情况下重新创建它们。
任何写入设备的数据都会被读取。从secret技术意义上讲,这一原则在面向用户的设备上更为突出,因为这些设备通常比充当服务器的机器更容易暴露给其他代理和个人。
您传递给的交易信息loadPaymentData永远不会决定最终收取的金额。你从这个调用中得到的是一种支付方式,它使用只有你的处理器拥有的密钥加密,因此,支付处理器(在服务器端)是唯一可以访问此信息的代理。发出费用的最终请求继续通过您的服务器和您的处理器之间的安全调用进行。
本质上,使用 Google Pay 检索付款信息以进行收费与没有 Google Pay 的情况相同,只是付款信息永远不会在客户端公开(因为用户不需要输入) ,因此,该过程在这方面具有额外的安全层。