V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
liupengpeng
V2EX  ›  支付宝

支付宝的加签过程如果放在了客户端会有什么隐患?

  •  
  •   liupengpeng · 2017-07-14 11:36:26 +08:00 · 2690 次点击
    这是一个创建于 2698 天前的主题,其中的信息可能已经有所发展或是发生改变。
    /**
     *  重要说明:
     *  
     *  这里只是为了方便直接向商户展示支付宝的整个支付流程;所以 Demo 中加签过程直接放在客户端完成;
     *  真实 App 里,privateKey 等数据严禁放在客户端,加签过程务必要放在服务端完成;
     *  防止商户私密数据泄露,造成不必要的资金损失,及面临各种安全风险; 
     */
    

    最近接手一个安卓的项目,内部包含了支付模块,之前的逻辑是在客户端加签,我建议将该逻辑迁移到后台,被反问:有什么问题?之前一直用的好好的。我应该如何反驳?

    10 条回复    2017-07-14 14:36:15 +08:00
    cevincheung
        1
    cevincheung  
       2017-07-14 11:38:58 +08:00
    apk 被反编译轻轻松找到验证订单 api。然后就 233333 了
    liupengpeng
        2
    liupengpeng  
    OP
       2017-07-14 11:43:43 +08:00
    @cevincheung 会对后台数据造成什么影响呢?
    cocochan
        3
    cocochan  
       2017-07-14 11:46:23 +08:00 via iPhone
    @liupengpeng 刷单
    zhaojjxvi
        4
    zhaojjxvi  
       2017-07-14 11:46:29 +08:00 via iPhone
    @liupengpeng 跟脱裤估计差不多了
    keniusahdu
        5
    keniusahdu  
       2017-07-14 12:23:18 +08:00
    这.... 赶紧辞职吧. 233333
    ideascf
        6
    ideascf  
       2017-07-14 12:55:07 +08:00
    密钥都拿到了,为所欲为啊。 所有的支付接口随便调用
    grayon
        7
    grayon  
       2017-07-14 13:38:18 +08:00
    可以伪造、修改支付信息,原 100 元的商品可改成 0.01 元支付成功
    甚至可以直接伪造支付成功数据包
    willvvvv
        8
    willvvvv  
       2017-07-14 13:52:58 +08:00
    @grayon +1
    liupengpeng
        9
    liupengpeng  
    OP
       2017-07-14 14:17:24 +08:00
    @grayon 谢谢,对这个问题有大致了解了。
    tomczhen
        10
    tomczhen  
       2017-07-14 14:36:15 +08:00
    其实对小公司来说影响其实不大,反正都要过一次人工来审核。:doge:
    反而是那种全部自动的平台容易造成损失。只要不开启退款功能,就算 key 泄露了也不会有问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5827 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:15 · PVG 11:15 · LAX 19:15 · JFK 22:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.