Защищенная ссылка для скачивания после оплаты через PayPal
У меня есть кнопка PayPal «Купить сейчас» с обратным URL, который перенаправляет на страницу загрузки после оплаты.
Единственное, что пользователь может скопировать и вставить URL-адрес страницы загрузки и поделиться им — что является катастрофой —
И они могут вернуться на страницу загрузки, которую я не хочу, если они не заплатили; поэтому каждый раз, когда они перенаправляются на страницу загрузки, пользователь должен сначала заплатить.
Как защитить URL и проверить, заплатил ли пользователь или нет, и если они заплатили, их можно перенаправить на страницу загрузки, кроме того, что они не должны быть перенаправлены.
Заранее благодарны за Вашу помощь.
Решение
Не полагайтесь на пользователя, получающего доступ к определенному URL для подтверждения заказа, вы откроете себя для мошенничества. Я изложил эти атаки в качестве примера в Нежное введение в безопасность приложений, и дал единственное реальное решение:
[S] erver-server API — единственное реальное решение. Вместо того чтобы полагаться на то, что пользователь нажимает на URL (что является хрупким даже в утопическом мире, где никто не действует злонамеренно), ваш провайдер проверки скажет вашему серверу, какие предметы были куплены и сколько денег было передано.
Лучший способ начать это Документация PayPal API.
Другие решения
Других решений пока нет …