我打算使用eWay(http://eway.com.au)作为我的商店的支付网关,但是他们不允许在其托管页面上进行太多自定义。我想避免在任何时候触及信用卡号码,因此他们的托管页面将为我做。所以我想在我的网站上创建自己的表单,将数据提交给eWay后端,与他们在托管页面上的表单完全相同。处理完提交的数据后,它会重定向到我的网站。在我的网站上给用户提供心智形式可能会使用SSL,尽管据我所知这样做不会更安全。请告诉我这是否可能,或者我在这里遗漏了一些重要内容。
更新:刚刚意识到我的表单也可以被黑客攻击,看起来非常明显但却错过了某种方式
答案 0 :(得分:1)
PayWay是一种替代品,它将此作为一种记录的集成模式。您可以托管一个页面,用于输入信用卡详细信息(在SSL下),该页面直接向PayWay发送POST。当您的网站生成信用卡输入页面时,它会指示浏览器直接发布到PayWay,以便卡号从不接触您的服务器。
用户可以篡改表单中提交的数据,因此,在此之前,所有购买的产品都会直接从您的服务器传递到PayWay(称为“令牌请求”)。令牌请求的结果是随机字符串,您将其作为表单中的隐藏字段包含在内。
付款处理完毕后,PayWay会重定向回您的网站,以便您显示收据页面。在此重定向中传递给您的参数已加密,以确保它们来自PayWay。
这使您可以在保持安全的同时完全控制品牌。
(披露:我在PayWay团队工作)。
答案 1 :(得分:0)
立即想到两件事:(1)如果这些是以您自己的形式提交的,您不再避免“触摸信用卡号”,并且(2)除非他们的表格像API一样得到保证/支持,一旦他们决定换成一个新的形式,你自己的提交将取决于他们的旧形式可能会破坏,你会在你追赶的时候失败。