C2C的开发难点解剖

通过清心醉

C2C的开发难点解剖

首先我们要知道C2C平台的标准。

所以的C2C,就是用户对用户在统一的网络里进行交易的模式。

很多PHP开发人员都肯定会接触过B2C平台的开发。

而且电子商城无非就这么几个要求。

1、可以上传产品,给用户选择;

2、用户可以查看自己的交易信息;

3、存在交易流程。

C2C难在哪?没错,每个来购买产品的人,他也可以自己开一个小网店。

由于多个用户收款及产品数据的不同,需要区分不同的用户上传的产品表和收款帐号。然后交易的时候,根据当前用户填写的支付帐号信息,进行交易。

最大的问题点来了,资金的对转要如何实现?

以前有大概听说过,如果要申请银行方向的支付接口,资金起码也是得上百万级别。

为什么这么难?

假设运营商的平台和银行有接口对接,用户在网站平台购买东西,实际钱第一步是到了网站的运营商帐户里,然后模拟淘宝之类的,用户确认收货之后,利用API请求银行进行资金转入到店家帐户上。所以一般的企业公司根本没办法实现该要求。

更难的还有一个就是请求资金转出的数据加密类型了,有做过PHP各大支付API接口开发都能知道数据泄密对网站造成的影响,居然谈到了数据安全,作者就再详解下做电子商城网站开发支付接口的一个最大问题。

不管支付宝、京东支付还是腾讯支付等各大国内收款第三方。都有企业级及个人级的收款(所谓企业级就是资金可以马上到帐,个人级就是由第三方暂扣资金XX天)

不管哪个级别,直接请求的时候,都是对数据进行MD5加密之后附加加密前的参数进行申请收款,当然,这就需要用户在第三收款方申请的KEY(简称密钥),而且是加密过后的参数,如果一旦泄露这些参数,攻击者可以利用这些数据,模拟交易请求

因为每次只要交易完成或者未支付,第三方平台都会有数据返回给网站,就是通过KEY等组合起来的参数。

如果攻击者得到了第三方的KEY,因为接口模式是公开的SDK/API,可以轻松利用组合模拟订单的交易状态,从而实现不花钱,订单全部是已付款状态。

关于作者

清心醉 administrator

发表评论

如果喜欢作者的文章,您可以打赏给作者:

TRC20(虚拟货币):


ERC20(虚拟货币):


Bitcoin(BTC):