我目前正在将NAB Transact支付网关集成到电子商务商店中。一旦支付完成后,NAB Transact系统会向我们的端点发送POST请求,以便我们处理结果。您可以通过IP安全地验证请求吗?
问题是,POST请求中没有包含安全散列/标记,我们可以使用它来回发到NAB Transact系统以验证请求是真实的并且没有被欺骗。更糟糕的是,NAB Transact系统甚至没有用于任何信息验证的API,实质上是非常糟糕的安全性!
有没有办法可以安全地验证这些请求?例如,检查请求是否来自NAB交易系统运行的已知IP地址列表?或反向查找IP?有什么选择,你将如何在PHP中实现这一点?
是不是依靠IP认证不安全,因为它可以被欺骗?
您提出了多个问题。您应该创建第二个问题,询问您应该如何实施身份验证。 – mikerobi
没有不敬的意图,但这是有安全经验的人的工作。提出这样的问题是了解可能的解决方案和问题的好方法,但采取一种即学即用的方法来实际实施安全措施,几乎可以保证发生灾难。 –
@adam如果您没有问题的答案,请勿发布。 NAB交易是一种完全托管的解决方案,符合PCI规范,无需存储,处理甚至输入到我们的系统中。为什么我的问题只是针对NAB系统发布的信息,NAB系统根据其文档没有正确的身份验证手段。如果我对PCI合规性或安全性不熟悉,我不会知道与请求没有安全令牌和API端点以验证请求相关的问题。所以它不会像你一样学习,这是5年的经验。 – cappuccino