Jonathan403 Postado Agosto 22, 2021 em 19:07 Compartilhar Postado Agosto 22, 2021 em 19:07 (editado) Pessoal, tenho um e-commerce e to integrando ele com a CIELO pra poder receber pagamentos. E aí quando o pagamento é confirmado, a CIELO envia um POST pro meu site dizendo q o pagamento foi realizado com sucesso e com os dados e tal... porém qualquer pessoa consegue enviar um POST fingindo ser a CIELO. Eu preciso de alguma forma de validar se a requisição ta vindo da CIELO. Alguém saberia uma forma segura de fazer isso ? Pensei em verificar se o IP é do servidor da CIELO, mas preciso de uma forma, que mesmo se o IP do servidor deles mudar, meu validador ainda continue funcionando. Alguma idéia ? Editado Agosto 22, 2021 em 19:08 por Jonathan403 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Agosto 23, 2021 em 12:13 Compartilhar Postado Agosto 23, 2021 em 12:13 Opa, não vem nenhum campo com ID da transação nesse POST da Cielo? 17 horas atrás, Jonathan403 disse: Pensei em verificar se o IP é do servidor da CIELO Não é uma boa ideia. Pode ser falsificado também. ? Abraço. Citar Link para o comentário Compartilhar em outros sites More sharing options...
Felipe.Silva Postado Agosto 23, 2021 em 15:09 Compartilhar Postado Agosto 23, 2021 em 15:09 Nunca usei a API deles mas confira na documentação na parte que fala sobre o POST de notificação. Segundo o que tá lá um PaymentId é enviado na requisição, o que te permite consultar o status da transação. O fluxo seria tipo: Recebi o POST com PaymentId. Uso o PaymentId para consultar na API o status da transação. Na documentação também diz que é possível cadastrar headers que serão enviados nessa requisição com um valor fixo. Isso pode servir como filtro para ter uma segurança mínima de que foi mesmo a CIELO que enviou o POST. Mas eu não confiaria tanto assim. ? 1 1 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Jonathan403 Postado Agosto 24, 2021 em 02:49 Autor Compartilhar Postado Agosto 24, 2021 em 02:49 Opa! obrigado pela resposta Fernando e Felipe. Eu dei uma olhada lá na documentação, e vi que eles enviam o código de autorização da API no POST também. Acho q dá pra validar com isso também. Também dá pra fazer dessa forma que o Felipe disse, posso tentar varlidar pelo Paymentid também. Vou dar uma estudada aqui pra saber qual das 2 formas aplicar. Se faço com o código de autorização, ou se faço pelo Paymentid mesmo. Valeu aí pessoal! 1 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.