检查合法的PayPal HTTP notify_url请求

Question

我一直在搜索一些关于PayPal头信息的信息，但找不到任何东西。
我试图找到一种安全的方式来验证发送到我的notify_url的发布信息实际上是否来自PayPal本身。

我检查了$_SERVER变量，而不是一个类似于HTTP_PAYPAL的关键字，它可以告诉我请求来自PayPal。

唯一接近是HTTP_USER_AGENT但它可以很容易地修改：

'HTTP_USER_AGENT' => 'PayPal IPN (https://www.paypal.com/ipn)' 

我怎么能指示PayPal回到我一些自定义页眉验证请求？

Answer 1

贝宝允许您查询完整的POST对他们的服务器来验证交易。基本上，你采取POST，追加cmd=_notify-validate它并联系贝宝。贝宝将与VERIFIED或UNVERIFIED

https://developer.paypal.com/docs/classic/ipn/gs_IPN/