带 api 的令牌和安全性用于 node.js(条带节点)
tokens and security with stripe api for node.js (stripe-node)
有点像新手问题。我正在考虑在 Angular 2 应用程序中使用 Stripe,并计划使用 node.js 实现一个服务器(与服务 angular 页面的服务器一起)以从 angular 接收令牌客户端,然后从那里调用条带节点函数(需要密钥)。我想知道是否需要对我在那里收到的令牌进行任何验证怎么办。由于任何人都可以看到该服务器的 url,他们会不会对此造成问题?
谢谢
我不确定我是否 100% 理解了这个问题,但我想我理解了 :D。您可能从客户端代码中了解到,在实际提交表单之前,您向 Stripe 的服务器发出请求,服务器 return 返回代表该卡数据的特定令牌,而 stripe 在提交表单之前隐藏了它。这就是为什么卡信息永远不必接触您的服务器,并使您免于随之而来的 PCI 合规性问题。因此,如果这是您的意思,则不必验证令牌。在这条条纹授权(银行告诉他们你有足够的钱)并从银行获取(实际上是转账)钱后,你会得到令牌,它保证卡上有钱实际支付给你,不确定是否这就是你所说的验证的意思。如果他们无法付款,则会引发错误。就 stripe 服务器的 API 端点而言,/v1/charge 或其他任何东西,是的,任何人都可以看到它,但您传递卡的特定 stripe 令牌以及您的秘密 API 密钥,这一切都是通过 HTTPS 发送的,因此没有人破解该信息(很可能)。不确定这是否有帮助,但希望它有帮助!
有点像新手问题。我正在考虑在 Angular 2 应用程序中使用 Stripe,并计划使用 node.js 实现一个服务器(与服务 angular 页面的服务器一起)以从 angular 接收令牌客户端,然后从那里调用条带节点函数(需要密钥)。我想知道是否需要对我在那里收到的令牌进行任何验证怎么办。由于任何人都可以看到该服务器的 url,他们会不会对此造成问题? 谢谢
我不确定我是否 100% 理解了这个问题,但我想我理解了 :D。您可能从客户端代码中了解到,在实际提交表单之前,您向 Stripe 的服务器发出请求,服务器 return 返回代表该卡数据的特定令牌,而 stripe 在提交表单之前隐藏了它。这就是为什么卡信息永远不必接触您的服务器,并使您免于随之而来的 PCI 合规性问题。因此,如果这是您的意思,则不必验证令牌。在这条条纹授权(银行告诉他们你有足够的钱)并从银行获取(实际上是转账)钱后,你会得到令牌,它保证卡上有钱实际支付给你,不确定是否这就是你所说的验证的意思。如果他们无法付款,则会引发错误。就 stripe 服务器的 API 端点而言,/v1/charge 或其他任何东西,是的,任何人都可以看到它,但您传递卡的特定 stripe 令牌以及您的秘密 API 密钥,这一切都是通过 HTTPS 发送的,因此没有人破解该信息(很可能)。不确定这是否有帮助,但希望它有帮助!