1

我正在使用带有 Rails 3.1 的 paypal_adaptive gem 进行链式付款。但是,在观看http://railscasts.com/episodes/143-paypal-security之后,我开始担心我应该在付款请求中添加安全措施。具体来说,我不希望有人能够操纵我在请求中发送的商品的价格。当然,我使用的是标准的 paypal_adaptive gem 请求:

pay_request = PaypalAdaptive::Request.new

data = {
"returnUrl" => "http://testserver.com/payments/completed_payment_request", 
"requestEnvelope" => {"errorLanguage" => "en_US"},
"currencyCode"=>"USD",  
"receiverList"=>{"receiver"=>[{"email"=>"testpp_1261697850_per@nextsprocket.com",     "amount"=>"10.00"}]},
"cancelUrl"=>"http://testserver.com/payments/canceled_payment_request",
"actionType"=>"PAY",
"ipnNotificationUrl"=>"http://testserver.com/payments/ipn_notification"
}

pay_response = pay_request.pay(data)

if pay_response.success?
  redirect_to pay_response.approve_paypal_payment_url
else
  puts pay_response.errors.first['message']
  redirect_to failed_payment_url
end

我的问题是:我是否需要加密这个请求以防止人们像 Ryan 在他的 rails cast 中那样改变价格?如果是这样,我该如何操作此代码才能做到这一点?

4

1 回答 1

2

IPN 验证绝对是一个好习惯。但是关于加密发送的变量;不,那没有必要。

http://railscasts.com/episodes/143-paypal-security上列出的示例使用网站支付标准,在这种情况下最好对其进行加密。

但 Adaptive Payments 是一系列服务器到服务器的 API 调用(“支付”API),从您的服务器到 PayPal 的。唯一暴露给买方的部分是 payKey,这是买方无法操纵的临时代币。

于 2012-01-14T01:06:25.423 回答