assist.ru или биллинговые системы

[berkut]

assist.ru или биллинговые системы

вопрос тем, кто работал с assist.ru или с чем-нибудь подобным. Я почитал у них на сайте про всё это дело, и возник вопрос: как проверить, что данные возвращаемые assist'ом пришли именно от ассиста? Там написано: делаете форму с хидден полями, содержащие номер продовца, заказа поля (куда направлять при успешном завершении и при неудачном завершении процессинга)и т.д., покупатель шлёт её нам, выдаём страницу для ввода номера кред. карт. и т.д., при завершении процессинга, шлём данные заказа на страницу, указанную в хидден полях.
Дык получается, кто угодно сможет слать эти данные. Как-же узнать, что они именно от assit, что-бы отдать покупателю товар? можнопо ip, но это как-то не надёжно и у ассист про это ничего не сказано. При регистрации дают панель управления, может в ней надо указывать куда ассист будет отправлять информацию о сделке, паралелльно тому, что будет перенаправлять покупателя на страницу из hidden поля.
Короче как это всё работает?

 

[kvf77]

Насколько я знаю, подобного рода системы вообще отдают данные постом или гетом на указанный тобою скрипт, который юзер ваще не видет и не знает о нем. Поэтому, то что там ассист перенаправляет юзера визуально никак на сделке не отражается. Данные о покупке и платеже шлются дополнительно на указанный тобой скрипт, который только и делает, что обрабатывает данные ассиста но ничего не выводит на экран и не предназначен для просмотра в браузере. Во всяком случае из 3-х платежных систем, с которыми я работал - все было именно так.

 

[jrip]

Обычно в таких случаях есть поле, значение которого знаешь только ты и биллинг. Т.к. передача происходит напрямую, а не через браузер пользователя, то он это значение узнать не можут. Соответственно подделать запрос тоже. Как именно на assist.ru сделано не знаю, такие вещи делал напрямую через банк, но подозреваю, что также.

 

[kombo]

Вот какой короткий диалог произошел у меня с саппортом Ассиста
Вопрос:
Если я правильно понял, проверенным результатом авторизации может быть только результат полученный способами указанами на странице http://www.assist.ru/support_center/use/shops/reports.htm
, но не возврат клиента к странице URL_RETURN_OK или URL_RETURN_NO. Поэтому и защищать эти две страницы особого смысла нет и лучше не нагружать их действиями делающими выводы об авторизации. В таком случае значит в статусе заказа у себя в магазине достаточно при получении одной из этих двух страниц ограничиться изменением на, например, "Идет проверка авторизации карты, это может занять до 60 мин."
Поясните пожалуйста, правильно ли я понял ? Спасибо.
Ответ саппорта:
Вс верно, только время тайм-аута - 40 минут.
-------------------
Ассист не передает никаких данных(с шифрованием) на скрытые страницы как это делает WMMerchant например. Поэтому результат авторизации нужно проверять руками