如何确保网站的贝宝集成安全

Question

我过去一直使用贝宝通过我的网站销售东西（例如会员资格），但我总是必须通过贝宝验证用户是否真的购买了会员资格（例如），然后才能将其分配给他/她的帐户。现在我想知道是否有一种方法可以将贝宝购买按钮放在我的网页上（例如）购买会员资格，然后一旦用户付款，他就会自动在我的网站上分配会员资格（例如有一个页面buy_result.php 分配会员资格，但仅当用户确实通过 paypal 购买时）。我如何确保用户确实通过我网站的退货页面上的 PayPal 购买了该商品？

提前致谢， 天空。

顺便说一句，我希望我的问题能被理解

Answer 1

您可以使用 PayPal 即时付款通知来接收来自 PayPal 的服务器到服务器通知，您可以随后验证该通知并用于更新您的数据库。

IPN 的工作原理如下：

1. 您创建 PayPal 并包含一个“notify_url”。此参数的值将是服务器上脚本的完整 URL，称为“IPN 脚本”或“IPN 处理程序”。

您可以为网站付款标准指定 IPN 处理程序，如下所示

对于 Express Checkout 或 Website Payments Pro，只需在 SetExpressCheckout/ 中包含以下内容即可分别调用 DoExpressCheckoutPayment 或 DoDirectPayment API。
NOTIFYURL=http://blah.com/ipn.php

2. 买家通过 PayPal 完成交易
3. 一旦买家完成交易，他/她可能会关闭浏览器，或返回您的网站
4. 。被 PayPal 接受并处理后，PayPal 将向 http://blah.com/ipn.php
5. 您需要采取所有 POST发送到此脚本的数据，并将其 POST 回 https:// www.paypal.com/cgi-bin/webscr?cmd=_notify-validate
6. 如果您发回的数据与 PayPal 发送给您的数据匹配，则会返回“已验证”响应。
7. 如果响应已验证，此时您将在您端查找匹配的交易/买家，并相应地更新您的数据库。

PayPal IPN 的一些示例代码和文档位于 https://www.paypal.com/ipn/
此外，有关制作安全 IPN 脚本的一些技巧可在 https://www.x.com/developers/community/blogs/ppmtsrobertg/securing-your-instant- payment-notification-ipn-script

注意：如果您想在交易中包含任何自定义数据以便稍后读出，请使用“自定义”。

这也将在从 PayPal 发送的 IPN POST 数据中返回。