Вопросы безопасности PayPal REST API

Меня беспокоит новая защита REST API от PayPal. Я разработал простой веб-приложение с ним (оплата прямой карты с использованием хранилища и оплаты с Paypal счетами), но мне интересно:Вопросы безопасности PayPal REST API

Я заметил, что нет подписи, полученной от содержания запроса, который передается с каждым REST API, так что сервер PayPal может быть уверен, что есть контент в запросе, который не изменяется по пути неавторизованным лицом.
Как это защищено от повторных запросов API? Я думаю, что это разрешено в классическом API, включая некоторую отметку времени, которая подписана, и так далее. Но как она защищена в новом REST API?

Это вопросы, которые возникли у меня, и если у вас есть другие проблемы с безопасностью, пожалуйста, сообщите нам ...?

источник

2013-09-02 user2741119

API защищен от атак типа «человек-в-середине», исключительно используя HTTPS для шифрования связи с сервером.
HTTPS также защищает вас от повторных атак.

Подписанные хэши и временные метки полезны для решения этих проблем, когда HTTPS нежелательно (обычно потому, что вы хотите иметь возможность кэшировать ответы).

источник

2013-09-03 02:12:52 ajlane

Ваш ответ полезен! Итак, согласно вашему первому ответу, шифрование HTTPS позаботится об этом. Но я думаю, что в классическом API мы использовали соленый хэш, созданный с секретным ключом, который позаботился об этом .. Почему в этом нет необходимости ? – user2741119

Для обеспечения idempotency (защита от повторного запроса API) вы можете установить заголовок Pay-Request-Id-Id. См. https://developer.paypal.com/webapps/developer/docs/api/#authentication--headers

источник

2013-09-03 04:54:22 aydiv

Да, это имеет смысл – user2741119

Вопросы безопасности PayPal REST API

ответ

Смежные вопросы