🔦5. 결제정보 검증하기
결제결과를 검증하여 안정적인 결제서비스 구축에 관한 가이드 입니다.
운영중인 서버에서 클라이언트로 부터 전달 받은 결제 결과 데이터를 바탕으로 결제금액 위변조 여부를 검증하고 필요시 데이터베이스에 저장합니다. 결제 정보를 검증하는 과정은 크게 아래와 같은 단계로 진행합니다.
아임포트 결제고유번호(imp_uid), 주문번호(merchant_uid)를 서버단에서 수신
결제 상세내역 조회를 위해 아임포트 결제 단건 조회 API 요청
응답받은 내용을 바탕으로 실 결제 금액과 결제요청금액(가맹점 자체 데이터베이스)을 비교
STEP 01 결제결과 서버 수신
결제정보를 받은 가맹점 endpoint URL 에 대한 POST 요청을 수신하는 예제
STEP 02 결제내역 단건 조회
수신받은 아임포트 결제고유번호(imp_uid)로 결제단건조회 API 를 호출하여 결제정보 획득 예제
STEP 03 결제정보 검증
결제금액의 위변조 검증 이유
결제 요청은 클라이언트 환경에서 이루어지기 때문에 클라이언트 스크립트를 조작해 금액을 위 변조하여 결제를 요청할 수 있습니다. 따라서 결제완료 후 처음 요청했던 금액과 실제로 결제된 금액을 반드시 비교해야 합니다.
예를 들어 100,000원짜리 상품을 결제할 때에는
amount: 100000
으로 결제요청을 하게 되는데, 공격자가 스크립트를 조작하여 해당 속성을 실제 금액보다 낮은 값으로 변조할 수 있습니다.클라이언트에서의 스크립트 조작은 원천적으로 막을 수 없는 기술적 특징이 있기 때문에 결제 후 서버에서 결제금액의 위변조 여부를 반드시 검증해야 합니다.
결제된 실 금액과 요청 금액을 비교하여 결제금액 위변조여부 검증 및 DB저장 예시
처음 요청한 금액은 merchant_uid
로 데이터베이스에서 조회하고 실제 결제금액은 imp_uid
로 아임포트 서버에서 조회하여 두 값을 비교합니다. 검증이 성공하면 결제 정보를 데이터베이스에 저장한 뒤 결제 상태(status
)에 따라 알맞은 응답을 반환하고 실패 시 에러 메세지를 출력합니다.
결제결과 DB 처리는 웹훅(Webhook)을 연동하여 수신되는 데이터를 기준으로 처리하셔야 결제결과 누락없이 안정적인 결과처리를 완료하실 수 있습니다.
Last updated