我计划使用 eWay (http://eway.com.au) 作为我商店的支付网关,但是他们不允许在其托管页面上进行太多自定义。我想避免在任何时候接触信用卡号码,所以他们的托管页面会为我做。所以我想在我的网站上创建自己的表单,将数据提交到 eWay 后端,与他们在托管页面上的表单完全相同。处理完提交的数据后,它将重定向到我的网站。为了让用户在我的网站上有所了解,可能会使用 SSL,尽管据我所知,这不会更安全。请让我知道这是否可行,或者我在这里遗漏了一些重要的东西。
更新:刚刚意识到我的表单也可以被黑,看起来很明显但不知何故错过了它
【问题讨论】:
标签: payment-gateway
PayWay 是一种替代方案,将其作为记录的集成模式。您可以托管一个用于输入信用卡详细信息的页面(在 SSL 下),该页面直接向 PayWay 发送 POST。当您的网站生成信用卡输入页面时,它会指示浏览器直接发布到 PayWay,这样卡号就不会接触到您的服务器。
用户可能会篡改表单中提交的数据,因此支付金额、购买的产品等详细信息在此之前都直接从您的服务器传递到 PayWay(称为“令牌请求”)。令牌请求的结果是一个随机字符串,您可以将其作为隐藏字段包含在表单中。
处理完付款后,PayWay 将重定向回您的网站,以便您显示收据页面。在此重定向中传递给您的参数已加密,以确保它们来自 PayWay。
这使您可以在保持安全性的同时完全控制品牌。
(披露:我在 PayWay 团队工作)。
【讨论】:
立即想到两件事:(1) 如果这些是在您自己的表单上提交的,那么您将不再避免“接触信用卡号码”,以及 (2) 除非他们的表单像 API 一样得到保证/支持,因为一旦他们决定更改为新表单,您自己依赖于旧表单的提交可能会中断,而您在追赶时会感到沮丧。
【讨论】: