Pubblicato il

PayPal developers DOC

Appunti circa la documentazione per sviluppatori PayPal.

 

Sicurezza

https://developer.paypal.com/docs/classic/paypal-payments-standard/integration-guide/encryptedwebpayments/

Ci sono varie “strategie”:

  1. creare bottoni criptati tramite sito PayPal, sul quale poi rimarranno “hostati” – soluzione meno flessibile(dinamica) ma più sicura se non hai esigenza di vendere prodotti in “modo articolato”.
  2. utilizzare le Button Manager API – soluzione ideale ad esempio per un e-commerce.
  3. manualmente tramite Encrypted Website Payments (EWP) command line encryption utility – solo se non puoi usare una delle due strategie sopra.
  4. in aggiunta ad una delle 3 qui sopra, si può anche spuntare l’opzione nel proprio (business)account per bloccare in automatico tutte le richieste fatte da bottoni non protetti.

sicurezza > strategia .2 > Button Manager API

https://developer.paypal.com/docs/classic/button-manager/integration-guide/

Come detto è utile se si ha “more than just a few PayPal Payments Standard buttons” e se “you provide a shopping cart for merchants”.
Consiste nel creare dinamicamente l’HTML per i bottoni criptati (dovrebbero essere poi disponibili su “My Saved Buttons” del proprio account).
Con esse è possibile creare “PayPal Payments Standard” e “Website Payments Pro Hosted Solution” (•Buy Now, •Add to Cart and View Cart, •Donate,•Subscribe and Unsubscribe,•Pay Now (WPPHS only), •Installment Plan,•Automatic Billing).

Generando un bottone si ottengono 2 alternative: • HTML criptato • link per il pagamento. (attenzione alle limitazioni legate ai paesi!)
Segue un esempio di codice HTML generato ma NON CRIPTATO (quindi insicuro), mentre il suo alternativo link sarà  https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=19218 :

 

sicurezza > strategia .2 > Button Manager API > HOSTING
Dove vengono “ospitati” questi bottoni? Dipende dal tipo creato:

  1. Hosted buttons (host by PayPal) pur essendo l’unico ospitato su PayPal le sue info possono essere cambiate dinamicamente rendendolo sicuro e flessibile.
  2. Encrypted buttons (not hosted) come sopra ma il passaggio di aggironare le info legate al bottone non spetta più a PayPal non hostandole
  3. Clear text buttons (not hosted not encrypted)
  4. Token buttons (not hosted) solo per WPHS

 

 

 

sicurezza > strategia .3 > EWP

https://developer.paypal.com/docs/classic/paypal-payments-standard/integration-guide/encryptedwebpayments/#id08A3I0QC0X4

Poiché i pulsanti di pagamento creati manualmente non vengono salvati sul sito PayPal, è necessario utilizzare EWP per crittografare il codice di pulsante prima di inserire il codice nella pagina web.

… (vedi procedura) nb: è necessario un account PayPal Business!