【问题标题】:Paypal Developer API NVP贝宝开发者 API NVP
【发布时间】:2015-02-21 12:36:40
【问题描述】:

我正在使用标准的 paypal 开发者 API (NVP) 来获取当前的库存水平:

https://api-3t.paypal.com/nvp?METHOD=BMGetInventory&VERSION=95.0&USER=____&PWD=____&SIGNATURE=____&HOSTEDBUTTONID=_____

但是,我有一个担心...如果启用了 api 并且密钥以某种方式被泄露,最坏的情况是什么?例如:看起来可以使用 API 发送付款。是否有在 API 之外进行的第二层付款验证?

我花了大约 30 分钟研究这个主题,但不清楚如果 api 信息被泄露会造成什么样的经济损失。

【问题讨论】:

  • NVP 调用是在服务器端进行的。如果您的服务器和/或网络受到威胁,那么访问您的身份验证信息只是您头疼的开始。根据您所指的 API,您必须满足 PCI 合规性 要求。

标签: api paypal nvp


【解决方案1】:

如果您的 PayPal API 凭据被泄露,那么有人可以代表您进行 API 调用。这包括从您的帐户汇款和/或提款。

有一些方法可以在您设置凭据的页面上限制 PayPal API 凭据的权限,因此您可以创建一个危险性较低的密钥。它随着时间的推移而改变,所以我不能提供细节;谷歌和/或登录到您的帐户并查看。

是的,PayPal 有很多欺诈检测,它在内部运行支付,但他们没有法律责任找出你的 API 已被盗,我强烈建议不要依赖他们来保存你的培根一个案例。

保护您的密钥,尤其是那些可以访问您资金的密钥。

【讨论】:

    猜你喜欢
    • 2015-04-29
    • 2013-07-04
    • 2010-12-03
    • 1970-01-01
    • 2012-08-11
    • 2014-12-27
    • 2013-01-22
    • 1970-01-01
    • 2014-08-20
    相关资源
    最近更新 更多