檢查合法的PayPal HTTP notify_url請求

Question

我一直在搜索一些關於PayPal頭信息的信息，但找不到任何東西。
我試圖找到一種安全的方式來驗證發送到我的notify_url的發佈信息實際上是否來自PayPal本身。

我檢查了$_SERVER變量，而不是一個類似於HTTP_PAYPAL的關鍵字，它可以告訴我請求來自PayPal。

唯一接近是HTTP_USER_AGENT但它可以很容易地修改：

'HTTP_USER_AGENT' => 'PayPal IPN (https://www.paypal.com/ipn)' 

我怎麼能指示PayPal回到我一些自定義頁眉驗證請求？

Answer 1

貝寶允許您查詢完整的POST對他們的服務器來驗證交易。基本上，你採取POST，追加cmd=_notify-validate它並聯系貝寶。貝寶將與VERIFIED或UNVERIFIED

https://developer.paypal.com/docs/classic/ipn/gs_IPN/