security - 使用 UPI(特别是 GooglePay)验证付款是否实际完成

Question

这与印度的 UPI 支付系统有关。

我在 https://developers.google.com/pay/india/api/android/in-app-payments 使用示例代码启动 Google Pay 应用程序以进行 UPI 付款。
一切正常。

我关心的是:

由于这一切都在客户端(移动应用程序)，用户(比如黑客)可能会生成随机响应值并调用服务器 URL 来告诉服务器支付成功。 我怎样才能防止这种情况？ 我如何确保付款已实际支付？

在提供的示例中，有一个查询参数 "url" , 谷歌的服务器会调用这个网址来更新支付状态吗？
我试过了，但什么也没发生(我创建了一个页面，将页面 URL ( Request.RawUrl ) 保存在一个文本文件中，但在付款时没有调用该页面)。

可能是谷歌确实调用了这个 URL(我错过了一些东西)，也可能不是；任何人都可以确认。

重复:我的实际问题是如何防止黑客欺骗服务器支付成功。

注意:这是我的第一个应用程序，因此银行尚未准备好提供 API/UPI 集成。

Paytm 提供了一个 api 来检查交易状态，所以这不是问题。

如果不是直接的解决方案，只要它阻止我手动检查银行对帐单，任何方法也将起作用。

TIA。

Answer 1

我们正在为我们的一位客户实现 UPI 付款并发现了同样的问题。

我们还没有尝试过 Secure Intent 来解决这个问题。根据 NPCI 文档，签名内容可以通过 URI 传递，但不知道响应是否还包含签名信息以验证其已完成.. 如果有效，我们有办法使其安全..