“”"result":1,"txID":"0x7c8366250b1905a733be3b06655495c026529867adcaca05c3cb62d37e1411d1","actionId":"wx2022120710493926651","ref":"TokenPocket"}"
这是TP钱包发送到服务端得回调,但是这个数据可以造假,不能验证是不是钱包发送的。
是否可以具体描述一下,不太明白你想表达什么意思。
你的场景是这样吗:你的程序是一个网页DApp ,通过deeplink 拉起钱包并执行相应的操作。
由于deeplink方式,钱包App无法回调网页,所以网页在请求拉起钱包时需要传递参数 callbackUrl ,供钱包完成操作后,发起一个http网络请求,通知网页DApp的服务器"交易已完成"。对于这个http网络请求,你也可以在这个请求里携带参数actionId,这样就可以校验是钱包发送的了。因为这个actionId就是网页DApp传递给钱包方的,外部造假无法拿到这个actionId。
只能去验证返回的数据是不是相关的数据了,根据 txid 查交易
是的,只要隐藏了actionId就安全,但是TP传这个参数得时候就会支付界面显示出来,所以知道订单号就可以造假,只要不泄露回调地址就没有事,