这与印度的 UPI 支付系统有关。
我正在使用https://developers.google.com/pay/india/api/android/in-app-payments上的示例代码来启动 Google Pay 应用程序以进行 UPI 付款。一切正常。
我担心的是:
- 由于所有这些都在客户端(移动应用程序),用户(例如,黑客)可能会生成随机响应值并调用服务器 URL 来告诉服务器支付成功。我怎样才能防止这种情况?我怎样才能确保实际付款?
在提供的示例中,有一个查询参数"url",Google 的服务器是否调用此 URL 来更新付款状态?我试过了,但什么也没发生(我创建了一个页面,将页面 URL ( Request.RawUrl) 保存在一个文本文件中,但在付款时该页面没有被调用)。
可能是谷歌确实调用了这个 URL(我错过了一些东西),也可能不是;任何人都可以确认。
重复一遍:我的实际问题是如何防止黑客欺骗服务器以使付款成功。
注意:这是我的第一个应用程序,因此银行还没有准备好提供 API/UPI 集成。
Paytm 提供了一个 API 来检查交易状态,所以这不是问题。
如果不是直接的解决方案,只要它阻止我手动检查银行对帐单,任何方法都可以。
TIA。