这是一个创建于 3118 天前的主题,其中的信息可能已经有所发展或是发生改变。
做外贸站,有流量靠山,所以成交量预计应该还是不错,而且从用户反馈情况来看,应该很有前景,现在准备薅欧美资本主义羊毛,开始出售虚拟服务,准备实施的方案为:用户按月付费订阅我们的服务。目前就准备着手开发网站的支付系统了,但有几点需要疑问:
- 国外开发是不是一个 PayPal 打天下就行,如果不行,那这么多支付系统选哪个好?有没有统一集成的接口简单方案?
- 涉及到金钱,最关键的就是安全问题,用户注册我的网站,我准备的是将 uid 用 php 的可逆式加密生成 cookie 来检测客户端,但是这样的话,另一个用户拷贝走这个 cookie 不就盗用账户了么?怎么防止这种行为?
- 用户 cookie 一般的过期时间设置多少合适
- 存储到 MySQL 中的金钱信息是否需要可逆式加密?
- 是否一定需要 https ?
- 如果最坏的情况,最终这个项目失败,怎样退款给那些付费但还未到期的用户?
另外还有哪些需要注意的求好心 V 友提示一下避免踩坑,第一次开发支付系统难免有点摸不着头脑,求好心 V 友解答一下,谢谢
 | 1 jellybool 2017-05-18 11:13:23 +08:00 via iPhone 国外的话,stripe 不是最好的选择么 |
 | 2 U7Q5tLAex2FI0o0g 2017-05-18 11:16:07 +08:00  2 1、基本 paypal 就行了,paypal 有官方的 sdk 可以用 2、正常的网站怎么登陆就怎么登陆,跟金钱不金钱没关系,都要注重安全问题 3、同上 4、不需要 5、涉及到支付的,强烈建议 https 6、paypal 系统后台可以操作 |
 | 3 qinxi 2017-05-18 11:23:11 +08:00 1 锁锁锁锁. 对账. |
 | 4 Reign OP @littleylv 谢谢,但最后一点搞不明白,用户的支付结果存储在我的 mysql 中,我怎么通过 PayPal 来返给用户余额? |
| 5 U7Q5tLAex2FI0o0g 2017-05-18 11:30:23 +08:00 1 @Reign #4 不,客户的支付结果不仅仅只在你的系统中,paypal 也有,客户可以在他的 paypal 中心看到。 所以,针对订阅制的服务,客户也可以在他的 paypal 账户中心随时取消订阅,因此你的系统中需要有个 hook 让 paypal 通知你“客户在 paypal 取消订阅了,你把你系统的信息也改成取消吧”。 当然,你也可以在你的系统中做取消的功能,客户可以在你的系统里取消,系统再调用 paypal 取消订阅的接口去取消。 |
 | 6 johnlui 2017-05-18 11:47:24 +08:00 钱的单位要用分。 |
 | 7 kulove 2017-05-18 11:53:15 +08:00 权限控制好别被绕过,比如优惠券是否本人,后台计算订单金额。 |
 | 8 koolob 2017-05-18 11:56:56 +08:00 好好研究支付渠道的文档,各种情况的回调都要处理,支付成功、争议、退款等。 记录用户订单产生变化时的当时用户状态,这样有客诉过来时,有据可查。 |
 | 9 airyland 2017-05-18 11:58:50 +08:00 做好权限校验,做好金额校验,金额用分,不要出现前端可改价格这类错误。 |
 | 10 duola 2017-05-18 12:04:57 +08:00 希望楼主避开这一抗,PayPal 环境必须是线上的,本地就拿不到参数的。 |
 | 11 kmahyyg 2017-05-18 12:29:16 +08:00 via Android paymentwall 国内国际通用 |
 | 12 paw 2017-05-18 12:31:02 +08:00 注意不要直接用浮点数存 xx.xx 元... |
 | 13 gamexg 2017-05-18 12:35:26 +08:00 via Android 2.可以绑定 ip,服务器发现客户端 ip 变更后敏感操作要求重新登录。 |
 | 15 ljy2010a 2017-05-18 13:55:09 +08:00 国外小心信用卡使用 |
 | 17 hshw 2017-05-18 14:05:27 +08:00 先拿到 ICP 许可证再说 (不是备案) |
 | 18 isno 2017-05-18 14:07:17 +08:00 2 2. 注意 JS 注入,所有外界输出的信息在网站输出的时候做一次 html 转义 4. 存储到 mysql 不用再加密 6. 支付后保存 支付订单 ID 等信息, 支付网站有退款接口的 价格信息在数据结构建议用 int, 单位最小分, (用浮点数会有 IEEE754 浮点数误差问题, 容易出错) |
 | 20 imnpc 2017-05-18 14:34:54 +08:00 不要考虑 paypal 用 stripe |
 | 21 lingo 2017-05-18 14:48:57 +08:00 我很好奇是个什么样的流量靠山。。。不便细说也可以大概举个栗子? |
| 22 U7Q5tLAex2FI0o0g 2017-05-18 14:52:30 +08:00 @isno #18 “价格信息在数据结构建议用 int, 单位最小分” 这个方法不错,学习了 |
 | 23 sp1sp1 2017-05-18 14:53:28 +08:00 我很好奇是个什么样的流量靠山。。。不便细说也可以大概举个栗子? |
 | 24 pango 2017-05-18 15:00:30 +08:00 我做过,用的是这个: https://github.com/spookylukey/django-paypal, 已经帮你搞定了一切,文档在这里: https://django-paypal.readthedocs.io/en/stable/ |
 | 27 bozong 2017-05-18 15:44:24 +08:00 我们用的 decimal(18,4) |
 | 29 subpo 2017-05-18 15:52:59 +08:00 不要用 float 不要用 float 不要用 float |
 | 30 maomaomao001 2017-05-18 15:55:50 +08:00 via Android @slime7 一般用什么表示钱呢? 我的也是浮点数 |
 | 32 slime7 2017-05-18 16:24:15 +08:00 @maomaomao001 楼上都提了,用分作单位,显示的时候转换元,微信也是分单位;用 decimal。 |
 | 34 chiukong 2017-05-18 16:48:57 +08:00 1.paypal 可以,但如果是虚拟服务,小心被反蹭羊毛 2.cookie 丢失都会造成用户信息泄露,但是关键业务,如购买之类的,除了 cookie 还要做二次身份确认,如支付密码,手机短信验证码等 3.这个问题。。不知道如何回答。反正用户有操作就会对 cookie 续费 4.用户关键信息需要做对称加密,密码等做不可逆存储 5.需要 6.PayPal 支持退款。。。 |
| 35 chiukong 2017-05-18 16:50:29 +08:00 对楼主的流量靠山比较感兴趣,我也做了几年支付系统了,有其他问题可以加微信聊聊,可以提供一些其他建议。俺也顺便了解下俺感兴趣的话题。哈哈。微信:chiukong_lee |
 | 37 qceytzn 2017-05-18 17:02:51 +08:00 |
 | 38 zhanziyang 2017-05-18 17:15:57 +08:00 别的我不确定,但 HTTPS 是肯定要的,必经涉及到金钱,HTTPS 相当于多一层保护层 |
 | 40 lianxiaoyi 2017-05-18 18:18:53 +08:00 2 记得在系统里面埋漏洞。。。。。拿前台穿过来的金额去创建支付链接。。然后让它付款。。。然后在 webhook 回调的时候,判断实际支付的钱和实际需要支付的钱是否一致,不一致就冻结帐号。。黑掉这笔钱。。。。 |
| 42 GG668v26Fd55CP5W 2017-05-18 18:38:08 +08:00 via iPhone @lianxiaoyi 666 |
 | 43 linfox 2017-05-18 18:39:20 +08:00 不是很懂楼主的需求。 如果只是单纯做个 外贸的独立网店,为什么不用一些现成的方案 比如 shopify ? |
 | 45 julyclyde 2017-05-19 07:30:44 +08:00 安全方面,PCI IDS 标准有明确定义了 国内的话可以找银联金卡科技公司做认证和合规指导 |
 | 47 Felldeadbird 2017-05-19 09:18:28 +08:00 我想说楼主想太多了。 1.paypal 就基本满足 国外大部分地区了。 2. 账号余额安全的事情,做好日志系统、财务系统。 财务需要每天对账,检查坏账。 3. https 6 月开始,paypal 强制要求。 4. 做好客服工作。就是弄一套工单系统。客服将会是你们未来一笔投入。 5. 安全方面没啥好的建议。 |
| 48 paw 2017-05-19 09:28:24 +08:00 |
 | 49 dangyuluo 2017-05-19 10:12:13 +08:00 如果是 MySQL,decimal 足够了吧。我目前就是用的这个做的支付,没有遇到过什么问题。 |
| 50 dangyuluo 2017-05-19 10:13:23 +08:00 @lianxiaoyi 记得很早很早很早很早之前,有一个网站系统就是用前台得到的金额去支付,结果被各路人马黑得体无完肤,是真的在黑。 |
| 53 dangyuluo 2017-05-19 11:31:10 +08:00 @Reign 1,前台只是负责显示,真正的支付订单由后台向支付服务提供商发起请求生成。现在微信的支付的统一下单就是这么做的。 2,支付完成后,一般的支付服务商都会提供回调来通知服务器该笔订单已支付,这时要检验金额是否符合,来源是否为官方服务器,最好的办法是在你的订单上加盐,然后做 hash 运算( md5 就足够了我认为?)以校验该通知的合法性。一旦任何地方不一致,锁住该笔订单。 这样的话除非别人把你的服务器黑掉,否则是无法给你虚假付款的。 |
 | 54 wh58440 2017-05-19 13:20:14 +08:00 @Reign 1.确定好你做的到底是什么,是支付系统,还是普通平台对接支付公司的接口渠道。 2.paypal 的后端这种,才能称之为支付系统,其主要的功能是商户配置,风险控制,交易对账等,而不是用来提供给普通人进行支付用的,是 B2C 中的 B 端。 3.如果确定了是要做支付系统那就不是几句话能说清了,组个 team 建项吧 |
| 55 wh58440 2017-05-19 13:21:42 +08:00 第 2 点少说了一句,是 B2C 中 B 端的底层 |
 | 56 KhadainJHIN 2017-05-19 14:04:56 +08:00 开发出来丢给白帽子众测吧,大家双赢...... |
| 57 kmahyyg 2017-05-20 01:00:28 +08:00 via Android @tf141 不行就换其他的,我的 sspanel 用的这玩意。还可以,你去找 sspanel 的支付的相关的东西,基本上几家支持支付宝的国内外网关都有。 |
 | 58 mineqiqi 2017-06-20 17:43:28 +08:00 你做的肯定不是支付系统,只是平台对接支付机构。。。 |
Select Language