什么是Paypal“身份令牌”或“令牌ID”以及它用于什么？

Question

关于Paypal Hosted Checkout解决方案以及“身份令牌”或“令牌ID”的目标，有2个问题。

1- 我来到几个在线Paypal文档（例如Payflow集成），谈论提供“身份令牌”（或“令牌ID”，我认为他们是相同的吗？），但我想知道什么是传递这个令牌ID的目的，是为了我自己的安全，还是Paypal的，或其他什么？有没有人确切知道该令牌ID的目的是什么，Paypal正在做什么，和/或供应商应该用它做什么？

提出这个问题是因为在进行表单发布以将用户重定向到Paypal托管结账时，我们必须首先调用paypal网关服务器以获取“安全令牌”，并且此API调用已通过另一种方法保护，我需要传递我的帐户凭据。那么为什么仅发布“安全令牌”是不够的，我们还需要发布“令牌ID”？ Paypal应该已经通过第一个API调用no？

将安全令牌与我的帐户信息相关联

2- 此外，在流程结束时，一旦Paypal将客户返回到我的供应商网站，Paypal是否包含任何这些令牌（令牌ID或安全令牌）作为其请求的一部分（可能通过将url参数添加到我的给定供应商返回URL ）？如果是这样，Paypal会建议在供应商方面进行任何类型的验证，例如验证令牌与我（供应商）存储在用户会话中的令牌相匹配，然后通过表单发送到Paypal托管结账？基本上，我如何确保在我将客户重定向到Paypal托管结账时以及Paypal将客户返回我的网站之间的时间内没有被劫持？

参考：https://developer.paypal.com/docs/classic/payflow/integration-guide/#hosted-checkout-pages

非常感谢

Answer 1

据我了解（如果正确阅读），安全令牌用于处理您自己网站上的交易，而不是将用户和订单传递给PayPal进行处理。安全令牌识别特定交易并确保订单的连续性不被破坏。您需要令牌ID才能获得安全令牌。

Answer 2

正如之前的用户所述，令牌ID基本上用于在工作流程中识别特定的交易流程。

关于您的第二个问题，如果是快速结账，当PayPal将用户返回到您的网站时，工作流程不会结束。您正在描述的这一步骤可能是您将用户发送到PayPal以授权您稍后将发出的付款。最后一步是DoExpressCheckoutPayment，您只需通知paypal进行交易，为此您只需将PayPal传递给PayPal，因此PayPal知道您正在“谈论”的内容。

验证令牌是一种好习惯，我会说是的。有人可能正在监听您的连接并注入一些无效令牌。在任何情况下，如果您发送无效令牌，您将收到来自PayPal的错误消息。

下图说明了整个过程非常好：