Редирект нужен только для того, чтобы ты мог в своём магазине показать весёлую картинку, что всё пришло успешно.
Редирект кто угодно может подделать.
1. Нельзя опираться только лишь редирект. Запрещаю.
2. Банк также отдельно может дёргать какой-нибудь вебхук на твоей стороне.
3. Ты сам можешь периодически проверять статус платежа через API банка.
За подробностями обращайся к документации твоего банка.
Сейчас даже открыл документацию юкассы и там перед показом весёлой картинки идёт шаг:
Шаг 4. Дождитесь успешного завершения платежа: подождите, когда придет уведомление от ЮKassa, или периодически отправляйте запросы, чтобы получить информацию о платеже
