我网站上的听众'倾听'通过Paypal成功购买。侦听器检索的数据包括我可以在开始购买之前设置的post变量。这可以通过Paypal的IPN(即时付款通知)实现。我想让IPN在购买时识别我网站上的用户帐户。我网站上的每个帐户都有唯一的用户ID号。
我尝试通过Paypal" Custom"传递帐户唯一ID。因此IPN可以监听它。虽然我认为这是一个坏主意,因为如果他们通过他们的唯一ID,人们可以为另一个帐户购买东西。虽然这是一个有保障的购买处理程序,但黑客可以利用社交工程来利用这一点。
我看到有些人通过了session_id with php,但这并不安全,因为如果session_id消失,听众将无法识别用户的网站帐户。我还看到人们会传递与用户的唯一帐户绑定的Cookie。我不认为这是一个好主意,因为可以清除cookie。
我的印象是,如果无法识别用户的帐户,则无法发送退款或取消购买(不手动操作)。我应该做什么结账流程?
答案 0 :(得分:1)
我会在您的系统中创建一个本地发票记录,此发票将获得与之关联的客户ID。
然后,您可以使用INVOICE参数将发票ID传递给PayPal,然后在IPN中返回,然后您可以根据该发票ID查找客户ID。