duvida sobre checkout transparente em app

12/02/2020

0

estou desenvolvendo um app em react native para aprendizage e queria implementar uma dessas api de pagamentos (Pagseguro , mercado pago e outras). No meu caso quero usar a do pagseguro , mas estou tendo dificuldade em implementar pois na documentação não oferece suporte ao react native . Minha duvida eu devo implementar esse checkout transparente diretamente no App ou na minha Api (backend) passando esses valores via POST ? se poderem dizem como eu ficaria feliz.

obs: estou usado pagamento via cartão de credito ou debito.
Daniel Morais

Daniel Morais

Responder

Post mais votado

11/03/2020

Na real, você DEVE deixar toda a lógica de pagamento no backend, passando apenas os valores e ids pra ele em um POST.

Na implementação das apis de pagamento, você sempre tem que enviar uma chave de segurança ( token ou secret ) que será usado para autenticar você contra a api de pagamentos. Esse secret é *PERIGOSO*. Se ele vaza, o detentor desse secret pode usar ele pra fazer requisições se passando por você.

Idealmente, seu fluxo é ter uma api na frente do seu "motor de pagamentos" que vai receber do seu aplicativo as informações necessárias para realizar esse pagamento ou gerar esse boleto, via POST ou de qualquer outra maneira que preferir. É impreterível que sua lógica de negócio fique no backend para garantir a sua segurança e do seu usuário.

Resumindo

- Seu app apresenta as informações
- Seu app envia a intenção de gerar um boleto ou um pagamento via POST para a sua api no backend
- Seu backend recebe essas informações, processa elas e cuida de conversar com o PagSeguro
- Seu backend retorna o status da transação pro front

Stella Oliveira

Stella Oliveira
Responder

Mais Posts

22/03/2020

Daniel Morais

Na real, você DEVE deixar toda a lógica de pagamento no backend, passando apenas os valores e ids pra ele em um POST.

Na implementação das apis de pagamento, você sempre tem que enviar uma chave de segurança ( token ou secret ) que será usado para autenticar você contra a api de pagamentos. Esse secret é *PERIGOSO*. Se ele vaza, o detentor desse secret pode usar ele pra fazer requisições se passando por você.

Idealmente, seu fluxo é ter uma api na frente do seu "motor de pagamentos" que vai receber do seu aplicativo as informações necessárias para realizar esse pagamento ou gerar esse boleto, via POST ou de qualquer outra maneira que preferir. É impreterível que sua lógica de negócio fique no backend para garantir a sua segurança e do seu usuário.

Resumindo

- Seu app apresenta as informações
- Seu app envia a intenção de gerar um boleto ou um pagamento via POST para a sua api no backend
- Seu backend recebe essas informações, processa elas e cuida de conversar com o PagSeguro
- Seu backend retorna o status da transação pro front


Obrigado pela ajuda 😊 !! Implementei como você disse , deixando a cargo do backend e estou usando token (jwt) nas requisições , mas ainda estou um pouco preocupado com dados que sai do frontend , pois são dados de cartão de crédito e estão sendo encaminhados via POST , mesmo eu usando HTTPS e SSL fico preocupado 😐. Pesquisando eu vi algo sobre card_hash , mas mesmo assim os dados são passados ao menos uma vez por POST . Existe alguma forma de eu tornar isso mais seguro (criptografar os POST) ou não devo me preocupar ? Obrigado pela resposta !!
Responder

Utilizamos cookies para fornecer uma melhor experiência para nossos usuários, consulte nossa política de privacidade.

Aceitar