付款完成后,为什么payum会删除安全令牌?
我问这个问题只是为了理解薪酬的工作方式。
谢谢。
1 个答案:
答案 0 :(得分:2)
引入了令牌以解决几个问题:
- 隐藏敏感的详细信息,例如付款ID或发票ID(来自数据库)。所以用户无法猜测或增加它。
- 使网址独特且难以预测。
- 让网址尽可能短。用户完成了付款并点击了后退按钮。由于令牌被删除,服务器响应将为404.没有任何损坏。
- 使用令牌可以轻松添加到期逻辑。如果令牌过期,则必须生成新的等等。
- 如果令牌被泄露,您只需删除它们并生成新的令牌。将它们提供给用户完成购买。订单ID和付款ID是安全的。
- 通知也受到令牌的保护(在可能的情况下,并非所有网关都支持它)。破解通知要困难得多。
也许别的什么。我会在得到答案时更新答案。