Comments 5
Я бы не рекомендовал опираться на колбэки по нескольким причинам:
1) злоумышленник может подменить запрос (ему удалось каким-либо образом получить секретные ключи)
2) нет гарантий, что внешний сервис нормально ретраит колбэк-запросы, может возникнуть ситуация, когда вы не узнаете о финальном статусе платежа
Выход, на мой взгляд, только 1 - фоновый поллинг со своей стороны
Ещё можно применить вебсокеты. И не только их, масса вариантов.
Возможность взаимодействия с системой "не вебхуками", кстати, очень облегчает разработку и отладку. Не надо со всякими ngrok'ами возиться и вечно перенастраивать URL вебхуков "на той стороне".
Вы совершенно правы, я как архитектор, который уже почти 20 лет работает с платежами, постоянно это всем говорю. Делайте свою проверку статуса, а механизм обратных вызовов используйте только для ускорения доставки
Почему md5? Есть же много нормальной стойкой криптографии.
Как минимум нужно использовать другую хеш-функцию. А лучше нормальную цифровую подпись на основе RSA. Это ведь делается элементарно, можно приспособить уже готовые библиотеки для JWT, которые, наверно, для любого распространённого языка есть.
Сначала была фрикасса .ru потом .com теперь уже .net )) Её блочат, а она всё равно лезет ))
Добавляем платежную систему FreeKassa в проект на Go