для rbkmoney
Rbkmoney оказался для меня на 2-ом месте по неудобности после банковских карт, но с ними всё ясно там «так исторически сложилось». Rbkmoney кажется неудобным после знакомства с другими реализациями. Не хватает подписи формы запроса платежа, без неё как-то не комфортно. Отсутствует правильная подпись при уведомлении о платеже, которая бы давала возможность проверить не только целостность данных, но и их достоверность, а так же избавила бы от необходимости передавать секретный ключ в запросе.И в итоге приходится проверять всё самому и дополнительно проверять ip, с которого пришёл запрос. Дополнительные поля никак не верифицируются. Кодирование поля serviceName в base64 решило бы проблемы с кодировками.
по документации:
Не ясно, что произойдёт и как следует поступать в случае если сумма к оплате в форме была подделана.
Отсутствует описание протокола второй версии, может там уже всё красиво, но я не знаю об этом.
На данный момент наиболее удобным считаю api w1.
18.05.2011 в 09:45
Спасибо за ваш отзыв, отвечу
по порядку:
по поводу подписи формы запроса
платежа – подпись уже
существует по алгоритму md5,
в ближайшее время реализуем
шифрование по усиленному алгоритму.
«Отсутствует правильная подпись
при уведомлении о платеже» такая
возможность есть и описана в документации
как параметр «хэш».
Вообще в ближайшее время
усилим форму верификации и сделаем её
более надёжной. С дополнительными
полями разберёмся.
По поводу передачи ключа
(секретного слова), стоит сказать
отдельно. Это опция осталась только
для старых магазинов и вообще её
использовать не рекомендуется. В
настройках можно отключить эту опцию.