رفتن به مطلب

آموزش تصویری امن کردن پرداخت درون برنامه ای با استفاده از Api بازار


محمدرضا شاهپیری

ارسال‌های توصیه شده

  • پاسخ 97
  • ایجاد شده
  • آخرین پاسخ

بیشترین ارسال‌ها در این موضوع

ارسال‌های محبوب

به نام خداوند آپدیت ویژه: دریافت خودکار توگن سمت سرور و ارسال نتیجه خرید به صورت رمز شده با استفاده از Persian_Encryption لینک دریافت آپدیت Purchace_Aouto_Incryption.7z  

سلام. اموزش رو هنوز ندیدم ولی نظرات رو خوندم. خوشحالم که این همه علاقه مند به برنامه نویسی و امنیت داریم و هر کسی روش خاص خودشو داره. دوستان بهتره اطلاعاتی رو که داریم در اختیار هم بزاریم نه اینکه دعو

من میگم سرور تلگرام رو میشه هک کرد. هم من و  هم شما میدونیم که این کار فقط از لحاظ تئوری امکانپذیره. تا حالا کسی این کار رو نکرده و در آینده هم با احتمال نزدیک به یقین این کار نمیکنه در ضمن شما ب

تصاویر ارسال شده

سلام، 

خسته نباشید. تشکر بابت آموزش.

اما اگه آموزش رو براساس آموزش آقا مهراب ساختید اون آموزش یک مشکل داره و اونم اینه که فرآیند درخواستِ وضعیت خرید نباید از سمت کلاینت فرستاده بشه بلکه باید از سمت سرور ارسال درخواست بشه و...

 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

هیچ تفاوتی ایجاد نمیکنه.

لینک ارسال
به اشتراک گذاری در سایت های دیگر

تفاوتی که ایجاد میشه در تازه سازی توکن هست! هر توکن فقط یک ساعت اعتبار داره!!

لینک ارسال
به اشتراک گذاری در سایت های دیگر

اولا که هر توگن 42 روز اعتبار داره نه یه ساعت.

ثانیا تفاوت تو امنیت منظور بوده نه تازه سازی توگن.

 

برای این مساله هم یه راه خیلی ساده وجود داره که از طریق خود برنامه میشه این کار رو انجام داد و هیچ نیازی نیست که سمت سرور کاری انجام بشه

انشالا آموزش تکمیلی در این خصوص تهیه میشه و خدمت دوستان ارائه میشه.

 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 43 دقیقه قبل، محمدرضا شاهپیری گفته است :

اولا که هر توگن 42 روز اعتبار داره نه یه ساعت.

ثانیا تفاوت تو امنیت منظور بوده نه تازه سازی توگن.

 

برای این مساله هم یه راه خیلی ساده وجود داره که از طریق خود برنامه میشه این کار رو انجام داد و هیچ نیازی نیست که سمت سرور کاری انجام بشه

انشالا آموزش تکمیلی در این خصوص تهیه میشه و خدمت دوستان ارائه میشه.

 

AMiN.M7892در اصل داره درست می گه.

روش گرفتن تایید از بازار یه روند ثابت و بدون رمزگذاری هستش و بر همین اساس توصیه بازار اینه که سمت سرور این عملیات صورت بگیره و بعد از اون نتیجه رو با روش مناسبی رمزگذاری و به برنامه ارسال بشه. البته من آموزش شما رو نگاه نکردم که ببینم چه کردین و بر اساس توضیحاتی که در بالا اومده اینو می گم ولی مستندات بازار رو کاملا بررسی و  روش توصیه ای بازار رو بارها تست کردم. اصلش هم همینه:hi:

«موفق باشید.»

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 48 دقیقه قبل، advisor گفته است :

AMiN.M7892در اصل داره درست می گه.

روش گرفتن تایید از بازار یه روند ثابت و بدون رمزگذاری هستش و بر همین اساس توصیه بازار اینه که سمت سرور این عملیات صورت بگیره و بعد از اون نتیجه رو با روش مناسبی رمزگذاری و به برنامه ارسال بشه. البته من آموزش شما رو نگاه نکردم که ببینم چه کردین و بر اساس توضیحاتی که در بالا اومده اینو می گم ولی مستندات بازار رو کاملا بررسی و  روش توصیه ای بازار رو بارها تست کردم. اصلش هم همینه:hi:

«موفق باشید.»

عزیز اینجوری که شما میفرمایین باید در همه کتابخونه های ارتباط با سرور رو تخته کنیم بندازیم دور

شما توگن رو به  دور روش میتونید به صورت اتوماتیک بگیرید و تو هر دوروش هم باید یه سری مقادیر رو به یه آدرس پست کنید و جواب رو بگیرید.

حالا چه میخواد تو برنامه باشه و چه توی سرور. 

یعنی شما میگین محتویات مقادیری که بین برنامه و سرور ردوبدل میشه هم معلومه؟؟(مگه فیلم هندیه عزیز)

در کل از هر روشی که استفاده کنین در نهایت تفاوتوشون تو دردسر پیاده سازیشونه وگر نه هیچ فرق دیگه ای در واقع ندارن.

دوستان به زودی یه آموزش تکمیلی در خصوص رفرش شدن اتوماتیک توگن و اضافه کردن اون به برنامه به تاپیک اضافه میشه.

البته یه نکته رو در خصوص آموزش ذکر کنم که کتابخونه Ariavolly متاسفانه بعضی وقتا با مشکل مواجه میشه و درخواست خرید درست گرفته نمیشه.

با کتابخونه دیگه ای امتحان شد و بدون هیچ مشکلی درخواست ها گرفته میشه که انشالا در آموزش بعدی لحاظ میشه

لینک ارسال
به اشتراک گذاری در سایت های دیگر

عزیزم اول این گل رو بگیر :53:

در در 1395/12/12, 17:28:01، محمدرضا شاهپیری گفته است :

عزیز اینجوری که شما میفرمایین باید در همه کتابخونه های ارتباط با سرور رو تخته کنیم بندازیم دور

یه خورده باید در مورد امنیت انتقال داده ها تحقیق کنید تا متوجه بشید.

در در 1395/12/12, 17:28:01، محمدرضا شاهپیری گفته است :

یعنی شما میگین محتویات مقادیری که بین برنامه و سرور ردوبدل میشه هم معلومه؟؟(مگه فیلم هندیه عزیز)

در کل از هر روشی که استفاده کنین در نهایت تفاوتوشون تو دردسر پیاده سازیشونه وگر نه هیچ فرق دیگه ای در واقع ندارن.

هندی بابا از هندی هم بدتره بررسی توکن خرید در سمت کلاینت از این فیلم ایرانیه هم ایرانی تره.

عزیزم اگه امکان شنود و تغیر داده های بین برنامه و سرور بازار ناممکن بود هیچوقت نرم افزاری مثل لاکی پچر ساخته نمی شد.

کلا از همون سوراخی که گزیده شدیم باز همو دستمون رو قرار بدیم داخل همون سوراخ.

نه داداش

آموزشی که ساختید تحسین برانگیزه. خیلی هم ازت ممنونیم.

اما این یه نکته امنیتی رو قبول کن :give_rose:

«موفق باشید.»

 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

من میگم سرور تلگرام رو میشه هک کرد. هم من و  هم شما میدونیم که این کار فقط از لحاظ تئوری امکانپذیره. تا حالا کسی این کار رو نکرده و در آینده هم با احتمال نزدیک به یقین این کار نمیکنه

در ضمن شما به نظرم کلا سیستم پرداخت رو درک نکردین چون لاکی پچر کاری به سرور نداره. بلکه اینتنت رو جعل میکنه. یعنی به جای اینکه طرف مقابل  شما بازار باشه لاکی پچره.

وگرنه اینکه لاکی پچر میاد اطلاعاتی که برنامه میفرسته سرور بین راه میگیره و استفاده میکنه تصور اشتباهه از روی نا آگاهی.

لینک ارسال
به اشتراک گذاری در سایت های دیگر

دوست عزیز چه فرقی داره شما از سمت سرور اینکارو بکنین یا سمت بیسیک

وقتی شما میخاین از سمت سرور درخواست کنین به توکن و شناسه محصولو ... احتیاج نیست ؟ اینارو هم که باید از بیسیک بفرستیم به php 

اونجوری که شما میگین از بیسیک فرستادن امن نیست میتونن تغییر بدن پس موقع ارسال توکن به فایل php هم میشه تغییرش داد

لینک ارسال
به اشتراک گذاری در سایت های دیگر

@محمدرضا شاهپیری

هر توکن وقتی توسط API بازار دریافت میشه، در مدت 3600000 میلی ثانیه منقضی میشه! که این مقدار یعنی 1 ساعت!!(با انجام محاسبات متوجه خواهید شد!)

در ضمن، درصفحه زیر عینا نوشته شده "عملیات تایید امضا را روی سرور انجام دهید"!

ملاحظات امنیتی

و در مستندات پرداخت درون برنامه ای بازار، امضای الکترونیکی همان توکن پرداخت است که توسط کلید اختصاصی در سرور بازار ایجاد و ارائه میشود!

رعایت، این نکات، همان راهی است که توسعه دهندگان را از بسیاری نفوذ ها در امان نگه‌میدارد!

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 11 ساعت قبل، AMiN.M7892 گفته است :

هر توکن وقتی توسط API بازار دریافت میشه، در مدت 3600000 میلی ثانیه منقضی میشه! که این مقدار یعنی 1 ساعت!!(با انجام محاسبات متوجه خواهید شد!)

اون ثانیه هستش نه میلی ثانیه

من یه هفتس یه توکن گرفتم هنوز هم کار میکنه

در 11 ساعت قبل، AMiN.M7892 گفته است :

ضمنا بحث ارائه این آموزش اولین بار توسط بنده مطرح شد که با ارائه کد دریافت توکن توسط آقای نیکروان تصمیم به تکمیل این آموزش گرفتم!

چه ربطی به بحث داشت :oops:

اگه اینجوری باشه 

من قبل از شما مورد رو دنبال کردم :|

در 11 ساعت قبل، AMiN.M7892 گفته است :

در ضمن، درصفحه زیر عینا نوشته شده "عملیات تایید امضا را روی سرور انجام دهید"!

ملاحظات امنیتی

و در مستندات پرداخت درون برنامه ای بازار، امضای الکترونیکی همان توکن پرداخت است که توسط کلید اختصاصی در سرور بازار ایجاد و ارائه میشود!

رعایت، این نکات، همان راهی است که توسعه دهندگان را از بسیاری نفوذ ها در امان نگه‌میدارد!

 

در 12 ساعت قبل، mehrabmmp گفته است :

دوست عزیز چه فرقی داره شما از سمت سرور اینکارو بکنین یا سمت بیسیک

وقتی شما میخاین از سمت سرور درخواست کنین به توکن و شناسه محصولو ... احتیاج نیست ؟ اینارو هم که باید از بیسیک بفرستیم به php 

اونجوری که شما میگین از بیسیک فرستادن امن نیست میتونن تغییر بدن پس موقع ارسال توکن به فایل php هم میشه تغییرش داد

خب یه راه واسه این بگین :|

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 3 ساعت قبل، محمدرضا شاهپیری گفته است :

عزیز اینجوری که شما میفرمایین باید در همه کتابخونه های ارتباط با سرور رو تخته کنیم بندازیم دور

شما توگن رو به  دور روش میتونید به صورت اتوماتیک بگیرید و تو هر دوروش هم باید یه سری مقادیر رو به یه آدرس پست کنید و جواب رو بگیرید.

حالا چه میخواد تو برنامه باشه و چه توی سرور. 

یعنی شما میگین محتویات مقادیری که بین برنامه و سرور ردوبدل میشه هم معلومه؟؟(مگه فیلم هندیه عزیز)

در کل از هر روشی که استفاده کنین در نهایت تفاوتوشون تو دردسر پیاده سازیشونه وگر نه هیچ فرق دیگه ای در واقع ندارن.

دوستان به زودی یه آموزش تکمیلی در خصوص رفرش شدن اتوماتیک توگن و اضافه کردن اون به برنامه به تاپیک اضافه میشه.

البته یه نکته رو در خصوص آموزش ذکر کنم که کتابخونه Ariavolly متاسفانه بعضی وقتا با مشکل مواجه میشه و درخواست خرید درست گرفته نمیشه.

با کتابخونه دیگه ای امتحان شد و بدون هیچ مشکلی درخواست ها گرفته میشه که انشالا در آموزش بعدی لحاظ میشه

دم شما گرم معلومه که خیلی واردی آقا من که کم آوردیم

من که کوچیکم سازندگان کافه بازار رو هم چه عرض کنم. خود سازندگان گوگل هم آره

هیف که عضو انجمن نیستند وگرنه حقشون بود چندتا نمره منفی واسه طراحی و توصیه هایی که کردن بهشون بدین

آخه باید یادشون باشه تو چیزی که تخصص ندارند اظهار نظر نکنن.

راستی داداش گلم من که هکر نیستم توی 72 ساعتم هکر نمی تونم بشم

اما شما که خیلی یاد دارین می تونین این کتاب رو ترجمه کنید تا بچه های انجمن هم یه خورده سطح معلوماتشون بره بالاتر

https://tools.ietf.org/html/rfc6819#section-5.2.3

«با تشکر»

لینک ارسال
به اشتراک گذاری در سایت های دیگر

بحث داره به درازا کشیده میشه و فکر نکنم به نتیجه خوبی برسه.

دوستانی که تو هر زمینه ای ادعایی میکنن لطفا توانایی دفاع و اثبات اون رو هم داشته باشن.

برای احترام به عقاید دوطرف هر دو حالت آموزش داده میشه و دوستان بسته به سلیقه خودشون میتونن یکی رو انتخاب کنن

موفق باشید

لطفا کامنتهای جدید درخصوص آموزش باشه نه چیز دیگه

لینک ارسال
به اشتراک گذاری در سایت های دیگر

بدون api بازار هم میشه امن کرد

حتی اون کتابخونه امن کردن درون پرداخت که  یکی از دوستان زحمت کشیدن ساختنش بدون مشکله!  اما بعضیا روش استفادشو بلد نیستن میندازن سر کتابخونه مشکل رو !!!!! میگن رو بعضی گوشیا مشکل داده و فلان.  من خودم شخصا همین کتابخونه رو رو چند تا موبایل مختلف با اندروید های مختلف تست کردم و بدون مشکل فرآیند خرید انجام شد .و فعال شد

 

اما کارت درسته و حرف نداره 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 15 ساعت قبل، آرش گفته است :

بدون api بازار هم میشه امن کرد

حتی اون کتابخونه امن کردن درون پرداخت که  یکی از دوستان زحمت کشیدن ساختنش بدون مشکله!  اما بعضیا روش استفادشو بلد نیستن میندازن سر کتابخونه مشکل رو !!!!! میگن رو بعضی گوشیا مشکل داده و فلان.  من خودم شخصا همین کتابخونه رو رو چند تا موبایل مختلف با اندروید های مختلف تست کردم و بدون مشکل فرآیند خرید انجام شد .و فعال شد

 

اما کارت درسته و حرف نداره 

نه اون کتابخونه مشکل داره ( جدا از کتابخونه کلا اون روش مشکل داره )

کاربرای برنامتون زیاد بشه میقهمید :)

اونا به بازار میگن بازار هم میاد میگه مشکل رو فیکس کن

من خودم چک کردم بعضیا توکن خرید داشتن ولی فعال نشده بود براشون

حالا مشکلش چیه خدا میدونه

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در در 1395/12/13, 10:28:26، آرش گفته است :

بدون api بازار هم میشه امن کرد

حتی اون کتابخونه امن کردن درون پرداخت که  یکی از دوستان زحمت کشیدن ساختنش بدون مشکله!  اما بعضیا روش استفادشو بلد نیستن میندازن سر کتابخونه مشکل رو !!!!! میگن رو بعضی گوشیا مشکل داده و فلان.  من خودم شخصا همین کتابخونه رو رو چند تا موبایل مختلف با اندروید های مختلف تست کردم و بدون مشکل فرآیند خرید انجام شد .و فعال شد

 

اما کارت درسته و حرف نداره 

اون کتابخانه مشکل داره برادر

البته کار کتابخانه درسته و خوب عمل میکنه و دست آقای غفاری درد نکنه ولی برای api های زیر 22 مناسبه

بالای 22 اگه مشتریاتون تو بازار زیاد باشه میبینید بازار هر روز صد تا پیام میده که درون پرداختتون مشکل داره و پرداختی هاتون رو برمیگردونن

پس بهترین روش، و روش استانداردی که خود بازار هم پیشنهاد داده همین api بازار هستش

 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در 56 دقیقه قبل، RoyaPM گفته است :

اون کتابخانه مشکل داره برادر

البته کار کتابخانه درسته و خوب عمل میکنه و دست آقای غفاری درد نکنه ولی برای api های زیر 22 مناسبه

بالای 22 اگه مشتریاتون تو بازار زیاد باشه میبینید بازار هر روز صد تا پیام میده که درون پرداختتون مشکل داره و پرداختی هاتون رو برمیگردونن

پس بهترین روش، و روش استانداردی که خود بازار هم پیشنهاد داده همین api بازار هستش

 

مشکل توی api 17 هم داشتم بنده با این روش :) درکل مشخص نیست مشکل از چیه

اندروید به خاطر اوپن سورس بودن و اینکه شرکت های فراوونی هستو و هرکدوم هم میانو کاستومایزش میکنن هیچوقت نمیشه یه اپ رو زد و مطمئن بود روی همه دیوایس ها کار میکنه

 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

در در 1395/12/14, 10:53:25، RoyaPM گفته است :

اون کتابخانه مشکل داره برادر

البته کار کتابخانه درسته و خوب عمل میکنه و دست آقای غفاری درد نکنه ولی برای api های زیر 22 مناسبه

بالای 22 اگه مشتریاتون تو بازار زیاد باشه میبینید بازار هر روز صد تا پیام میده که درون پرداختتون مشکل داره و پرداختی هاتون رو برمیگردونن

پس بهترین روش، و روش استانداردی که خود بازار هم پیشنهاد داده همین api بازار هستش

 

من روی پنج تا موبایل تست کردم و بدون هیچ مشکلی پرداخت میشه 

برنامه رو هم واسه تست گذاشتم تو انجمن ........ که تستش کنن و اونا هم بدون مشکل تونستن پرداختش کنن

حالا نمیدونم شما از کجا مشکل دیدین به هر حال اینم نظر شماست :53:

لینک ارسال
به اشتراک گذاری در سایت های دیگر

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .
توجه: مطلب ارسالی شما پس از تایید مدیریت برای همه قابل رویت خواهد بود.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

  • کاربران آنلاین در این صفحه   0 کاربر

    • هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
  • اضافه کردن...