我正在尝试使用Google Pay API将Google Pay集成到我们的在线商店中,在教程中,有一个片段设置了要支付的金额和JavaScript对象中的货币代码,如下所示:
paymentDataRequest.transactionInfo = {
totalPriceStatus: 'FINAL',
totalPrice: '123.45',
currencyCode: 'USD'
};
这看起来非常不安全,因为任何人都可以在最终点击"用谷歌支付购买"按钮之前篡改客户端上的值。
当然,我也可以检查最终从支付网关发回的值,然后将订单标记为欺诈,但如果可能的话,我也希望在流程中尽早防止这种情况发生。。
谢谢。
我还可以检查最终从支付网关发回的值
这是唯一可行的方法。
如果可能的话,我也希望尽可能早地防止这种情况发生。
这是不可能的。客户属于访问者,最终完全在他们的控制之下。
通过模糊处理,你可以让它变得更难,但这会让你的代码更难调试,并且不会阻止某人只查看最终的HTTP请求并在根本不使用你的代码的情况下重新创建它们。
写入设备的任何数据都将被读取。在技术意义上提到secret
时,这一原理在面向用户的设备上更为突出,因为这些设备通常比充当服务器的机器更容易暴露在其他代理和个人面前。
您传递给loadPaymentData
的交易信息永远不会决定最终要收取的金额。你从这次通话中得到的是一种使用只有你的处理器拥有的密钥加密的支付方法,因此,支付处理器(在服务器端)是唯一可以访问这些信息的代理。通过服务器和处理器之间的安全呼叫,最终的收费请求将继续发生。
本质上,使用Google Pay检索支付信息以收取费用相当于在没有Google Pay的情况下进行的操作,只是支付信息从未在客户端公开(因为用户不需要键入),因此,该过程在这方面增加了一层安全性。