/**
* 重要说明:
*
* 这里只是为了方便直接向商户展示支付宝的整个支付流程;所以 Demo 中加签过程直接放在客户端完成;
* 真实 App 里,privateKey 等数据严禁放在客户端,加签过程务必要放在服务端完成;
* 防止商户私密数据泄露,造成不必要的资金损失,及面临各种安全风险;
*/
最近接手一个安卓的项目,内部包含了支付模块,之前的逻辑是在客户端加签,我建议将该逻辑迁移到后台,被反问:有什么问题?之前一直用的好好的。我应该如何反驳?
1
cevincheung 2017-07-14 11:38:58 +08:00
apk 被反编译轻轻松找到验证订单 api。然后就 233333 了
|
2
liupengpeng OP @cevincheung 会对后台数据造成什么影响呢?
|
3
cocochan 2017-07-14 11:46:23 +08:00 via iPhone
@liupengpeng 刷单
|
4
zhaojjxvi 2017-07-14 11:46:29 +08:00 via iPhone
@liupengpeng 跟脱裤估计差不多了
|
5
keniusahdu 2017-07-14 12:23:18 +08:00
这.... 赶紧辞职吧. 233333
|
6
ideascf 2017-07-14 12:55:07 +08:00
密钥都拿到了,为所欲为啊。 所有的支付接口随便调用
|
7
grayon 2017-07-14 13:38:18 +08:00
可以伪造、修改支付信息,原 100 元的商品可改成 0.01 元支付成功
甚至可以直接伪造支付成功数据包 |
9
liupengpeng OP @grayon 谢谢,对这个问题有大致了解了。
|
10
tomczhen 2017-07-14 14:36:15 +08:00
其实对小公司来说影响其实不大,反正都要过一次人工来审核。:doge:
反而是那种全部自动的平台容易造成损失。只要不开启退款功能,就算 key 泄露了也不会有问题。 |