Я планирую использовать Google Wallet (покупка в приложении) для продажи подписок на мое веб-приложение. Кошелек вызывает мой сервер обратно (на основе JWT), который генерирует мой сервер .
В рамках моей реализации обратного вызова я хочу дважды убедиться, что никто, кроме Google Wallet, не сможет успешно вызвать обработчик обратного сообщения.
Насколько я вижу, все, что я могу сделать, это доверять идентификатору продавца и данным продавца (которые могут содержать информацию о моем покупателе и т. д.), чтобы гарантировать, что ответный звонок является законным.
Мой текущий план состоит в том, чтобы зашифровать поле данных продавца, поэтому, надеюсь, только мое приложение сможет прочитать данные в этом поле. Существуют ли какие-либо другие рекомендации / мысли, которые, возможно, стоит рассмотреть, чтобы обеспечить максимальную безопасность обработчика обратной передачи.
Приложение представляет собой приложение Python WSGI, работающее под Apache (конечно, SSL).
Спасибо за ваше время.