"касательная к вершите полигона", с математической точки зрения - абсурд. У полигона в вершине нет производной, так что "касательную" туда построить невозможно.
Desead, значит смотрите. Никто не мешает некоему злобному скрипт-киддису с ником dickhead тыкать буквально по словарю все урлы подряд в поисках того, который подойдет. В логах сайтов я постоянно наблюдаю такие попытки по списку наиболее популярных урлов.
Далее, ваш коллбэк вызывается откуда-то с фронта или откуда-то с бэка? потому что если со фронта, он со всеми потрохами побывает в руках пользователя, и вы от этого не защититесь просто так.
Если же с какого-то бэка, то вам надо использовать HTTPS и пин сертификата этого бэка, чтобы гарантировать, что запрос к вам пришел именно от него, а не откуда-то еще.
Защитой от повторного вызова коллбэка будет, например, выдача стороннему сервису токена, который вы у себя регистрируете в БД и помечаете как просроченный после того, как сторонний сервис к вам обратится с этим токеном.
Vitsliputsli, зависит от СУБД. Есть например такие СУБД (firebird называется), где можно и не блокировать данные на время транзакции. Просто одна из конкурирующих транзакций при завершении получит исключение с информацией о том, что пока юзер думал, другой юзер уже все купил и данные в базе поменялись.
