支付宝的加签过程如果放在了客户端会有什么隐患?

2017-07-14 11:36:26 +08:00
 liupengpeng
/**
 *  重要说明:
 *  
 *  这里只是为了方便直接向商户展示支付宝的整个支付流程;所以 Demo 中加签过程直接放在客户端完成;
 *  真实 App 里,privateKey 等数据严禁放在客户端,加签过程务必要放在服务端完成;
 *  防止商户私密数据泄露,造成不必要的资金损失,及面临各种安全风险; 
 */

最近接手一个安卓的项目,内部包含了支付模块,之前的逻辑是在客户端加签,我建议将该逻辑迁移到后台,被反问:有什么问题?之前一直用的好好的。我应该如何反驳?

2578 次点击
所在节点    支付宝
10 条回复
cevincheung
2017-07-14 11:38:58 +08:00
apk 被反编译轻轻松找到验证订单 api。然后就 233333 了
liupengpeng
2017-07-14 11:43:43 +08:00
@cevincheung 会对后台数据造成什么影响呢?
cocochan
2017-07-14 11:46:23 +08:00
@liupengpeng 刷单
zhaojjxvi
2017-07-14 11:46:29 +08:00
@liupengpeng 跟脱裤估计差不多了
keniusahdu
2017-07-14 12:23:18 +08:00
这.... 赶紧辞职吧. 233333
ideascf
2017-07-14 12:55:07 +08:00
密钥都拿到了,为所欲为啊。 所有的支付接口随便调用
grayon
2017-07-14 13:38:18 +08:00
可以伪造、修改支付信息,原 100 元的商品可改成 0.01 元支付成功
甚至可以直接伪造支付成功数据包
willvvvv
2017-07-14 13:52:58 +08:00
@grayon +1
liupengpeng
2017-07-14 14:17:24 +08:00
@grayon 谢谢,对这个问题有大致了解了。
tomczhen
2017-07-14 14:36:15 +08:00
其实对小公司来说影响其实不大,反正都要过一次人工来审核。:doge:
反而是那种全部自动的平台容易造成损失。只要不开启退款功能,就算 key 泄露了也不会有问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/375293

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX