我正在为网站设置Authorize.Net DPM(直接发布方法)支付网关。我根本不理解某些东西,并且无法将这些东西捆绑在一起。
DPM的基本操作是商家网站 - 我的网站 - 提供信用卡表格。该表格直接发布到Authorize.Net。在CC和其他发布的详细信息获得授权后,Authorize.Net会将结果发布回我的网站。我将此称为回调帖子。现在,这里的事情并不适合我。
回调POST直接来自Authorize.Net,并且不与用户共享会话,因此POST处理程序仅具有已发布的信息。使用预先约定的秘密和Authorize.Net帐户登录ID对数量(x_amount)和Authorize.Net生成的事务ID(x_trans_id)进行哈希处理。这可用于检查提供该回调的系统的真实性。据我所知,这只是检查发件人是否知道预先商定的秘密。
所以我在回调中可以信任的唯一数据是金额和网关生成的交易ID(这是第一个点,我的网站可以使用该ID,所以它的值是无意义)。
我看不到的是如何将授权结果与最终用户支付的交易联系起来。 POST中没有其他可以信任的数据没有被更改,并且它无论如何都不会传递商家生成的ID(x_fp_sequence和x_timestamp的组合)。
我期望在回调中能够做的是获取卡授权的结果,确保结果可以被信任,在用户发布之前将其绑定回存储在数据库中的待处理事务形成Authorize.Net,以便交易可以自信地标记为完成。但是如何?
我使用过SagePay服务器网关,并且还有一个回调。但是,回调包含将结果绑定回正在处理的事务所需的所有字段(它包括商家生成的事务ID),重要的是它提供了所有需要信任的POSTed字段的哈希值,以便检查它们
那我在俯瞰什么?如果有助于解释问题,我可以提供样本数据。我正在使用OmniPay并正在为此网关扩展驱动程序。