PAYMENT INTEGRITY

결제 승인은 서버 금액과 PG 승인 결과가 일치해야 확정한다

전자상거래 결제는 클라이언트가 보낸 금액을 믿지 않고 서버와 결제사 승인 결과를 기준으로 확정해야 합니다.

서버가 다시 대조해야 하는 거래 필드

order integrity
서버 기준 금액가격과 할인 계산은 서버가 보유한 상품 정보로 다시 계산합니다.
승인 결과 확인결제사 콜백 또는 API 조회로 실제 승인 상태를 확인합니다.
거래 식별자주문번호와 승인번호의 중복 사용과 재전송을 막습니다.
상태 전이결제 대기, 승인, 취소, 환불 상태를 명확히 분리합니다.

주문 상태 전이와 PG 승인 대조

idempotency
주문 생성서버 금액
결제 승인PG 검증
상태 확정주문 반영
공격 예시

클라이언트 금액 조작, 승인 전 배송 처리, 재전송 공격은 모두 서버 검증 부재에서 발생합니다.