0
私のウェブサイトのリスナーは、Paypal経由での購入を成功させるために「リッスン」しています。リスナーが取得したデータには、購入を開始する前に設定できる投稿変数が含まれています。これはPaypalのIPN(即時支払い通知)で可能です。購入時に私のウェブサイトのユーザーアカウントをIPNに認識させようとしています。私のウェブサイトのすべてのアカウントには一意のユーザーID番号があります。Paypalで確実なチェックアウトの流れをするにはどうすればよいですか?
私はIPNがそれを聞くことができるように、Paypalの「カスタム」変数を介して勘定固有IDを渡そうとしました。私はこれが悪い考えだと思います。なぜなら、人々は一意のIDを渡すと別のアカウントのものを購入することができるからです。これは保証された購入ハンドラですが、ハッカーはソーシャルエンジニアリングでこれを利用できます。
代わりに、session_id with phpを渡す人もいますが、これは安全ではありません。なぜなら、リスナーは、session_idが消えた場合にユーザーのウェブサイトアカウントを認識できないからです。また、ユーザーは、ユーザーの固有のアカウントに結びついたクッキーを渡すことがわかります。私はクッキーがクリアできるので、これはいい考えだとは思わない。
ユーザーのアカウントを特定できない場合(手動で行う必要はありません)、払い戻しや購入のキャンセルはできません。私はどのようなチェックアウトの流れをすべきですか?