Как правильно сгенерировать токен оплаты в wordpress?

Question

[Aligatro]

Добрый день, в целом сабж.

Как правильно организовать с точки зрения безопасности платежи (не woocommerce, платная подписка на сайте). В целом интересует момент с подделкой callback ответа злоумышленником, для этого хочу создавать уникальный токен платежа который будет проверятся в скрипте callback'a и вот раздумываю как лучше всего организовать это на wp.

1. Просто добавить колонку со статичным токеном в таблицу пользователей и в самом callback сравнивать ID + токен
   
2. Генерировать для каждого платежа уникальный токен, но тогда встает вопрос с платежами которые могут быть оплачены через какое-то время, ведь токен по идее будет формироваться до момента оплаты...
   

В целом может есть статья с best practice того как это желательно организовать, а то на просторах сети я нахожу только инструкции по работе с платежными шлюзами без дополнительной информации о работе с безопасностью на стороне сервера.

Спасибо.

P.S В целом вопрос снят, ответа от шлюза идет зашифрованным, а не передается plain текстом. Но в целом, мне все равно было бы интересно узнать как стоит организовывать платежи in the right way.

Answer 1

[WordPress WooCommerce]

Думаю тут стоит начать с такого понятия как Заказ. Любые сайты у которых есть более менее внятная механика подписки имеют Заказы в том или ином виде. Будь то WooCommerce или LiterLMS (там чисто подписки и курсы).
В любом случае все крутится около Заказов. Пользователь формирует Заказ. Далее оплачивает.
Если это оплата через Яндекс Кассу или Кошелек, то там токен зашит в панели шлюза. И сайт должен проверять его. Если совпал то считай платеж прошел.
Если же оплата происходит руками, например через оплату на карту или наличкой, то заказ руками админ тыкает в админке. После этого Заказ считается оплаченными и далее от этого пляшет остальная логика.
Как то так.