使用 PayPal 付款后获取下载链接答案

【问题标题】：Secure a download link after payment with PayPal使用 PayPal 付款后获取下载链接
【发布时间】：2016-04-12 11:07:38
【问题描述】：

我有一个 PayPal“立即购买”按钮，该按钮有一个返回 URL，在付款后重定向到下载页面。

唯一的问题是用户可以复制并粘贴下载页面的 URL 并共享它-这是一场灾难-

他们可以返回下载页面，除非他们付费，否则我不希望这样做；所以每次他们被重定向到下载页面时，必须先付费。

如何保护 URL 并检查用户是否付费，如果他们付费，他们可以被重定向到下载页面，而不是他们不应该被重定向。

提前感谢您的帮助。

【问题讨论】：

【解决方案1】：

不要依赖访问特定 URL 的用户来验证订单，否则您将面临欺诈。我在A Gentle Introduction to Application Security 中将这些攻击作为示例进行了概述，并给出了唯一真正的解决方案：

[S]服务器-服务器 API 集成是唯一真正的解决方案。您的结账提供商将告诉您的服务器购买了哪些商品以及转了多少钱，而不是依赖用户点击一个 URL（即使在没有人恶意行为的乌托邦世界中，这也是脆弱的）。

最好的入门方式是PayPal API documentation。

【讨论】：