Где наиболее безопасно сохранять request_id для повторения process-external-payment?

Question

[likejavascript]

В соответствии с документации Приему платежей с банковских карт без авторизации

Обратите внимание: приложению может потребоваться повторный вызов метода process-external-payment. Метод следует вызывать вплоть до завершения процесса оплаты. Это может потребовать дополнительных действий пользователя в WebView.

Метод process-external-payment требует параметры запроса среди которых request_id, полученный на предыдущем шаге

Поскольку повторный вызов process-external-payment выполняется в другом потоке, то request_id полученный ранее нужно где-то сохранить. Безопасно ли его хранить в сессии залогиненного юзера выполняющий запрос и что может произойти, если пользователь еще не закончил текущую оплату начинает новый процесс оплаты? Не будет ли пересечения?

Поделитесь вашим опытом. Спасибо

Answer 1

[barsukovairina]

При вызове request-payment или request-external-payment каждый раз будет генерироваться и выдаваться в ответ на эти запросы новый request_id, его можно хранить в куках.
Через request_id повторить списание дважды не получится, поэтому само по себе значение злоумышленнику погоды не сделает.