支付结果通知的安全控制

最新推荐文章于 2022-09-02 17:00:12 发布
最新推荐文章于 2022-09-02 17:00:12 发布
阅读量112 收藏
点赞数
原文链接:http://www.cnblogs.com/buguge/p/8480431.html
版权

通知地址差异化处理,

  1. 每笔交易发给渠道方的通知地址都不一样
  2. url不能包含敏感数据,如自增id,而且通过加密混淆来保证URL不容易被模仿

 

 

接收到通知请求后,

api层:

  1. 验证IP白名单
  2. 验证请求url的合法性

渠道层:

  1. 严格对请求参数做非空校验(比如,某渠道文档说明了在通知时传递支付金额,那么,当某次通知的参数里没有支付金额时,就认定是非法通知;某渠道文档说明了在通知时传递支付账号,那么,当某次通知的参数里没有支付账号时,就认定是非法通知)
  2. 数据的合法性校验,如金额必须为数值

Service层:

  1. 支付单是否存在
  2. 验证当前支付状态,如果是终态,则终止处理
  3. 如果渠道有如下请求参数:
    •   验证支付金额是否一致
    •   支付账号是否匹配
    •   验证请求url的合法性(如果某渠道定义了特定的url规则)
    •   对于扫码支付:验证通知时间 如果在支付时间的24小时之后,则认定为非法通知(如果是其他支付方式,需另做相关控制)
    •   验证支付完成时间 如果早于支付时间,则认定为非法通知

 

————————————————————–我是萌萌哒分界线————————————————————

【PDCA】

程序上线后,经过监控,在时间验证方面数次发现,渠道方的通知报文里的支付完成时间早于我方的支付发起时间!经进一步分析得知,两组时间的差异均在5秒之内,不难推断出,这是双方服务器时间不一致导致的,事实上也往往无法保证两台服务器的时间完全一致。 所以,需要对时间验证做完善,设置一个阈值,比如2分钟,支付完成时间不能早于支付时间减去这个阈值。这样,就可以兼容这种实际情况下的不一致。

转载于:https://www.cnblogs.com/buguge/p/8480431.html

weixin_30347009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP微信支付结果通知与回调策略分析
12-19
4. **并发控制**:在处理支付通知时,为了防止并发情况下多个请求同时修改同一数据,通常会使用数据锁来确保数据的一致性,避免并发导致的数据混乱。 5. **签名验证**:为了确保数据的安全,商户系统必须验证微信...
支付结果通知机制研究
ebay的专栏
09-29 5560
支付结果通知看似一个很简单的需求,但是做到一个安全高效可靠的架构和设计也是值得研究和探讨的一个问题。本文通过总结实战中不同的通知机制的研究分析,希望从中找到需求的本质,从而启发我们如何更好的在今后的工作中设计通知机制。
可用性高达99.999%!支付系统高可用架构设计实战
最新发布
justlpf的专栏
09-02 964
参考文章:可用性高达99.999%!支付系统高可用架构设计实战 - 腾讯云开发者社区-腾讯云对于互联网应用和企业大型应用而言,多数都尽可能地要求做到7*24小时不间断运行,而要做到完全不间断运行可以说“难于上青天”。为此,对应用可用性程度的衡量标准一般有3个9到5个9。可用性指标计算方式不可用时间(分钟)99.9%0.1%36524*60525.699.99%0.01%36524*6052.5699.999%0.001%36524*605.256对于一个功能和数据量不断增加的应用,要保持比较高的可用性并非易
工商银行支付接口-处理工行支付成功后的消息通知
445822357
01-30 2811
由于工行的支付接口目前是没有向B2B商户提供按订单号查询订单状态的,因此处理订单成功支付后的消息就显得非常重要了,以下为鲁炬在做银行支付项目时处理工行订单支付成功通知的核心代码。 /** * 处理工行支付成功通知 */ public void notifyDate(String notifyDataBase64, String signMsg, String merVAR...
工行聚合支付经验总结
qq_27287497的博客
12-29 6428
工行聚合支付经验总结 1.被动通知查询验签结果ReturnValue.verifySign()为1(0为成功),可能是用的公钥不对,非文档或者demo里用的证书公钥(xxx.cer),而是需要用一个叫需要用总行聚合支付公钥(prod_ebb2cpublic.crt) 2.工行开放平台中的“支付结果查询接口”及“个人线上支付订购指令查询”等查询接口并不适用或可用于聚合支付支付结果查询。 “支付结果...
微信小程序之支付后调用SDK的异步通知及验证处理订单方法
10-18
微信支付完成后,微信服务器会向商户指定的URL发送异步通知,商户系统需要完成通知校验后,按照业务逻辑处理支付结果,并返回特定的应答结果给微信服务器。异步通知支付流程中非常重要的环节,保证了支付信息的...
支付宝钱包安全吗.docx
09-27
总的来说,支付宝钱包通过多重加密技术、身份验证机制以及风险控制策略,为用户提供了一个相对安全的支付环境。尽管没有任何系统能保证100%的安全,但只要用户合理使用并配合上述安全措施,可以大大降低潜在的风险。...
电子商务支付与安全.pdf
10-07
在电子商务支付领域,信用卡作为非现金结算工具,其安全性和管理是至关重要的。根据提供的内容,我们可以了解到信用卡办理和管理的一些关键知识点。 首先,信用卡的办理涉及到一系列的步骤和要求。申请人需要填写...
伪装微信支付回调通知支付安全
热门推荐
flysnownet的博客
05-11 1万+
原理 1.微信支付成功后,微信会给业务服务器发送回调通知,回调内容为一系列 参数的键值对参数按照key=value的格式,并按照参数名ASCII字典序排序生成字符串,然后用商户私钥对其进行签名,如MD5,并将签名撇接到字符串后,然后以XML方式发送给业务服务器,如果秘钥泄露,他人可任意伪造回调数据进行假通知,在业务服务器(1.没有更进一步判断IP是否来自微信服务器,2没有进行主动查询)的情况下订...
PHP 对接ICBC支付的经验分享
心有猛虎,细嗅蔷薇!
07-16 1603
概述: 最近在做一个澳门的商城项目,其中需要跟当地的工商银行对接支付,其中的提交支付时,工商银行的加密有自己加密程序,然而他们只提供了JAVA和C 语言的DEMO,并没有PHP的DEMO,甚至连PHP的扩展也说没有,一时让我陷入了困境,不知道怎解决,于是我在百度 谷歌上寻找解决方法。 问题解决方案: 1、java版本的domo用PHP重写 其实这澳门提供的接口的加密方式跟国内大陆的一致,也是用in...
第三方支付架构设计之:商户回调通知系统的悲观和乐观策略
tenfyguo的技术专栏
06-18 1万+
第三方支付架构设计
工行二维码支付接口及回调接口
yinnian520的博客
09-29 5121
工行的接口文档详见工行开放平台地址 生成二维码 /** * 获取支付二维码 * * @param outTradeNo * @param orderAmt * @param attach * @param notifyUrl * @return */ public static JSONObject ge...
支付宝异步通知处理实现原理总结
weixin_34232744的博客
10-08 1858
支付宝有一个接口:实现支付请求(里面要提供一个订单号) 你有一个接口:实现支付结果的通知通知里面会包含订单号) 后面就简单了 1)你生成订单 请求调用 支付宝接口 去支付(然后。。然后就没然后了) 2)你的接口:等着呗 支付宝会调用的接口 通知你 那个订单完成的结果 3) 支付系统的异步通知实质上是给给定的地址发送请求实现的,这个地址很可能是不会有页面而是一个接口地址。 4)通知地址实际上不是一...
工商银行B2C支付接口JAVA版(未完)
糖糖糖糖糖糖分
11-14 1万+
工商银行银联支付接口。 发现网上的资料对于JAVA版本并不是很详细。 正好公司要做,我也边摸索边学习一下~
工行支付之加工需要提交的数据和签名
weixin_39940088的博客
02-20 759
methodName:icbc加密签名 public icbc icbcMD(TspResponseOrderInfo i) { icbc result = new icbc(); ICBCTranData tranData = new ICBCTranData(); try { //为空返回true if (!StringUtils.isBlank(i.getPrice())) ...
阿里云电脑支付异步通知验签失败总结
weixin_30856725的博客
01-26 232
原因:rsa加密用的公钥应该是支付宝的公钥,而非商户公钥,特此记录! 转载于:https://www.cnblogs.com/sggx/p/8360113.html
工商银行接口开发-java
u012524415的博客
12-12 1万+
1)先开去银行申请,问银行要到demo 和证书; 2)根据demo的字段看看银行发的的开发接口文档; 3)将需要的字段可以创建到Modle中 package ytd.zhlv.util.pay; public class ICBCModel { //必输:1,选输:2           //      //private String orderPostUrl = "http
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值