سلام. من مستندات یکی از درگاه های بانکی رو میخوندم. ظاهرا اکثر این درگاه ها به این روش عمل میکنن که یک آدرس در سایت فروشگاه دریافت میکنن که بعد از پایان عملیات ، نتیجه رو به اون صفحه در سایت میفرستن. میخواستم ببینم ، اینجوری آیا امنیت سایت دچار مشکل نمیشه؟ منظورم اینه اگه یک نفر اون آدرس callback سایت ما رو بدونه و اطلاعاتی که خودش میخواد رو بفرسته ، چه اتفاقی می افته؟ در این مورد باید چکار کرد؟ آیا باید ip درخواست دهنده رو چک کنیم که حتما بانک باشه؟ یا راه اصولی تری هست؟ لطفا راهنمایی بفرمایید.

تقریبا تمام بانک ها یک وب سرویس در اختیار شما قرار می دهند که شامل حداقل 2 تابع اصلی است.

تابع اول جهت مشخص کردن میزان مبلغ دریافتی و ... فرخوانی میشه و به شما یک توکن میده، و تابع دوم کاربردش اینه که بعد از بازگشت از صفحه بانک به سایت شما، اون رو فرخوانی می کنید تا بررسی کنید اطلاعاتی که بانک از طریق روش Get یا Post برای صفحه مقصد بازگشت از بانک ارسال کرده صحیح است یا جعلی. به این ترتیب با وجود تابع دوم نگرانی ای از بابت جعل شدن پاسخ های دریافتی از بانک وجود نخواهد داشت.