Sto sviluppando un servizio OAUTH (lo sto pensando. Potrebbe non essere esattamente lo stesso.) per aprire una delle nostre API back-end a un commerciante.
in pratica, gli utenti possono acquistare beni dal sito E-Commerce di Merchant e possono utilizzare il nostro gateway di pagamento fai il pagamento.
abbiamo un sistema di registrazione per commercianti e utenti e stiamo pubblicando un ID (alfanumerico disponibile al pubblico) per loro.
Il mio piano è per il servizio OAUTH.
- Il primo commerciante invia l'ID sopra menzionato al nostro server OAUTH.
- Quindi il server OAUTH invia token, aggiorna il token e il tempo di scadenza come risposta.
- Quindi il commerciante invia quel token con altre informazioni richieste come l'importo nuovamente al server OAUTH per aprire l'interfaccia web del gateway di pagamento.
- l'utente usa quell'interfaccia per fornire il proprio ID e pin per confermare le transazioni.
- Quindi da un server OAUTH chiamiamo il nostro servizio di back-end RESTful per effettuare la transazione effettiva (l'account commerciante riceve denaro e l'addebito sul conto del cliente)
- Dopo il completamento della transazione reindirizziamo l'utente al sito web del commerciante.
* Tutte le comunicazioni avvengono tramite il canale HTTPS.
Sono in dubbio per
- Se il mio approccio è corretto per garantire il flusso sopra indicato.
- Ho davvero bisogno di un token qui o solo l'ID è sufficiente? Se ho usato solo ID, mi mancherai qui.
- Se è così basta ID per ottenere un token?
- C'è qualche possibilità che qualcuno possa imbrogliare il processo.
Ti aspettiamo consigli su questo.