ruby - Stripe 访问 token 和 API SK key 有什么区别?

标签 ruby sinatra stripe-payments

Stripe API 引用关于 authentication 的描述:

他们给出的例子是这样的:

require "stripe" 
Stripe.api_key = "sk_test_BQokikJOvBiI2HlWgH4olfQ2"

sk_test_BQokikJOvBiI2HlWgH4olfQ2 key 可在 Stripe 网页的帐户设置中找到。我知道这是我的应用程序与 Stripe 对话的 secret API key 。

但后来我在 getting started with Stripe Connect 上阅读了这份文档:

When using our official API libraries, we recommend that you pass in the 
access_token with every request, instead of setting the API key globally. 
This is because the access_token used in any API request depends on the user 
you're charging on behalf of.

他们给出的例子是:

# Not recommended: setting global API key state
Stripe.api_key = ACCESS_TOKEN
Stripe::Customer.create(
  :description => "example@stripe.com"
)

# Recommended: sending API key with every request
Stripe::Customer.create(
  {:description => "example@stripe.com"},
  ACCESS_TOKEN # user's access token from the Stripe Connect flow
)

在这里,访问 token 在用户通过 Stripe Connect 连接到应用程序后返回给应用程序。访问 token 可用于代表该用户执行操作,例如为他们的卡充电。

因此,他们在每个请求中都传递了 API key ,但为什么用户的访问 token 是 API key ?我从第一份文档中想到 api key 应该是我的应用程序的 secret api key ?相反,他们正在设置用户的访问 token 。如果我设置的是用户的访问 token 而不是我自己的 key ,Stripe 将如何识别我的应用程序?

然后,我阅读了他们关于将 Stripe Checkout 与 Sinatra 集成的示例。他们给出的代码示例是:

require 'sinatra'
require 'stripe'

set :publishable_key, ENV['PUBLISHABLE_KEY']
set :secret_key, ENV['SECRET_KEY']

Stripe.api_key = settings.secret_key

....

get '/' do
  erb :index
end

post '/charge' do
  # Amount in cents
  @amount = 500

  customer = Stripe::Customer.create(
    :email => 'customer@example.com',
    :card  => params[:stripeToken]
  )

  charge = Stripe::Charge.create(
    :amount      => @amount,
    :description => 'Sinatra Charge',
    :currency    => 'usd',
    :customer    => customer.id
  )

  erb :charge
end

因此在这种情况下,他们将 API key 设置为应用程序的 key 。他们也不在请求中传递任何访问 token 。所以我有点困惑为什么在之前的文档中将访问 token 设置为 secret API key ,或者为什么我应该在每个请求中传递它,而他们的所有示例文档甚至都没有这样做。

最佳答案

要理解这一点,您首先应该知道 Stripe API 可用于构建服务于两类受众的应用程序:

  • 作为商家接受最终用户的付款(正常用例)和
  • 为拥有自己的 Stripe 的商家提供附加服务 帐户(例如,一项服务可以帮助我配置要在不同 Stripe 事件中发送的电子邮件)

因此,所有 API 端点都可以通过两种方式进行授权:

  • 您可以直接从您的帐户设置中获取的 API key 方式。这可以识别您的 Stripe 帐户
  • 通过 Stripe Connect 的访问 token 方式。这标识了已连接商家的 Stripe 帐户。

Stripe Connect 文档告诉您的是,假设您正在构建一个服务于上述用例 #2 的应用程序,那么您必须记住使用正确的访问 token 授权您的每个 API 调用并且没有全局 API key (顺便说一句,对于用例 #1 是完全可接受的),因为您可能对错误的帐户进行了不正确的更改。

因此,如果用例 #1 是您想要执行的操作,那么您根本不必担心 Stripe Connect。

关于ruby - Stripe 访问 token 和 API SK key 有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24708503/

上一篇:ruby-on-rails - Rails 'service objects' 最佳实践 - 类方法或实例化

下一篇:ruby-on-rails - 为开发/测试和生产指定相同的 gem 两次,但路径不同

相关文章:

ruby - Soundcloud Oauth 实现 : Why the hash parameters?

python - 测试 Django 对 Stripe Webhook 的响应

ruby - rails omniauth 和 UTF-8 错误

ruby-on-rails - delayed_job 不记录

ruby - 如何拆分大型 HAML 模板

php - Stripe 3d 安全订阅失败

javascript - stripe firebase 可调用函数返回 null

ruby - 有什么标准方法可以定义对象使用库所需的方法吗? (很像一个界面)

ruby-on-rails - Ruby on Rails 4 fields_for 重复次数

ruby - 做微框架是什么意思?

©2024 IT工具网  联系我们