Jonathan403 Posted August 22, 2021 at 07:07 PM Share Posted August 22, 2021 at 07:07 PM Pessoal, tenho um e-commerce e to integrando ele com a CIELO pra poder receber pagamentos. E aí quando o pagamento é confirmado, a CIELO envia um POST pro meu site dizendo q o pagamento foi realizado com sucesso e com os dados e tal... porém qualquer pessoa consegue enviar um POST fingindo ser a CIELO. Eu preciso de alguma forma de validar se a requisição ta vindo da CIELO. Alguém saberia uma forma segura de fazer isso ? Pensei em verificar se o IP é do servidor da CIELO, mas preciso de uma forma, que mesmo se o IP do servidor deles mudar, meu validador ainda continue funcionando. Alguma idéia ? Link to comment Share on other sites More sharing options...
Administrators Fernando Mercês Posted August 23, 2021 at 12:13 PM Administrators Share Posted August 23, 2021 at 12:13 PM Opa, não vem nenhum campo com ID da transação nesse POST da Cielo? 17 horas atrás, Jonathan403 disse: Pensei em verificar se o IP é do servidor da CIELO Não é uma boa ideia. Pode ser falsificado também. ? Abraço. Link to comment Share on other sites More sharing options...
Felipe.Silva Posted August 23, 2021 at 03:09 PM Share Posted August 23, 2021 at 03:09 PM Nunca usei a API deles mas confira na documentação na parte que fala sobre o POST de notificação. Segundo o que tá lá um PaymentId é enviado na requisição, o que te permite consultar o status da transação. O fluxo seria tipo: Recebi o POST com PaymentId. Uso o PaymentId para consultar na API o status da transação. Na documentação também diz que é possível cadastrar headers que serão enviados nessa requisição com um valor fixo. Isso pode servir como filtro para ter uma segurança mínima de que foi mesmo a CIELO que enviou o POST. Mas eu não confiaria tanto assim. ? Link to comment Share on other sites More sharing options...
Jonathan403 Posted August 24, 2021 at 02:49 AM Author Share Posted August 24, 2021 at 02:49 AM Opa! obrigado pela resposta Fernando e Felipe. Eu dei uma olhada lá na documentação, e vi que eles enviam o código de autorização da API no POST também. Acho q dá pra validar com isso também. Também dá pra fazer dessa forma que o Felipe disse, posso tentar varlidar pelo Paymentid também. Vou dar uma estudada aqui pra saber qual das 2 formas aplicar. Se faço com o código de autorização, ou se faço pelo Paymentid mesmo. Valeu aí pessoal! Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.