Dans le traitement des paiements, le moment entre « le client dit qu'il a payé » et « nous pouvons confirmer qu'il a réellement payé » est là où la fraude vit. Quand un fournisseur de paiement redirige un client vers le site web du marchand après le checkout, cette redirection ne prouve rien. N'importe qui peut naviguer vers https://votreapp.com/payment/success?status=paid. Sans vérification côté serveur, un utilisateur malveillant pourrait contourner le paiement et atterrir sur la page de succès.
Le pattern
Le pattern de callback intermédiaire de 0fee.dev fonctionne ainsi :
- Le fournisseur redirige vers 0fee.dev (pas vers le marchand).
- 0fee.dev vérifie le statut réel du paiement auprès du fournisseur.
- 0fee.dev met à jour la transaction dans sa base de données.
- 0fee.dev redirige vers l'URL de succès ou d'échec du marchand.
Le marchand ne reçoit jamais une redirection non vérifiée. Chaque redirection qui atteint l'URL de succès du marchand a été confirmée côté serveur par 0fee.dev.
Cet article fait partie de la série « Comment nous avons construit 0fee.dev ». 0fee.dev est un orchestrateur de paiement couvrant 53+ fournisseurs dans 200+ pays, construit par Juste A. GNIMAVO et Claude depuis Abidjan sans aucun ingénieur humain. Suivez la série pour l'histoire complète de la construction.