ид нужно привязывать не к пользователю а к объекту оплаты, заказу например. у всех систем оплаты примерно одинаковая схема. отсылается форма с данным, среди них идет идентификатор заказа. и еще идет секретная подпись сформированная на основании некоторых данных из формы по заданному системой алгоритму . ПС проверяет верна ли подпись (чтобы не подделывали платежи) если да, то предлагает пользователю варианты оплаты, он уже там все оплачивает и система отвечает вашему сайту запросом об успешности операции и опять так же подписанным (чтобы в вашем сайте не подделывали оплаченность)
вот в 2 картинках на примере робокассы (сорри за говнокод)
отправка
получение
Средний
