Я строю платежный шлюз для своей организации. Различные приложения смогут отправлять POST-данные шлюзу для инициализации транзакции. Некоторые из этих данных будут состоять из двух кодов счетов и суммы в долларах.Платежный шлюз: нужен хэш информации?
Теперь мои мысли перешли на охрану. Я обеспокоен тем, что конечные пользователи могут изменять информацию POST по маршруту, либо в итоге, либо меньше, либо имея средства, внесенные на неправильную учетную запись. Чтобы исправить это, я собираюсь добавить хэш, который приложение может пройти.
Я думаю, что каждый ожидаемый хост будет иметь уникальный ключ. Наряду со своими данными они могут отправить хэш из случайной соли + их ключ + 2 кодов счета + сумму в долларах, а также отправить их случайную соль. На платежном шлюзе я смогу затем восстановить этот хеш с переданной информацией + уникальный ключ, чтобы узнать, были ли данные изменены.
Этого будет достаточно? Есть ли проблемы с моей теорией?
Есть ли причина, по которой вы не можете использовать '$ _SESSION' для этой цели? .. – Elen
Вы не упомянули шифрование. Вы используете SSL для этих сообщений? Если да, не забудьте добавить это к вопросу. – webbiedave
@webbiedave: Да, все сообщения превышают https. Я не вижу, насколько это актуально, но я пытаюсь защитить целостность информации, отправленной из браузера конечного пользователя, а не предотвращать попадание человека в середину. – Pickle