这是一个新手问题。我正在考虑在 Angular 2 应用程序中使用 Stripe,并计划使用 node.js 实现一台服务器(以及服务 Angular 页面的服务器),以从 Angular 客户端接收 token ,然后从那里调用 stripe-node 函数(需要 key )。我想知道如果我需要对在那里收到的 token 进行任何验证该怎么办。既然任何人都可以看到该服务器的 url,他们是否会使用它造成问题? 谢谢。
最佳答案
我不确定我 100% 理解这个问题,但我想我理解 :D。正如您可能从客户端代码中知道的那样,在实际提交表单之前,您向 Stripe 的服务器发出请求,该服务器返回代表该卡数据的特定 token ,并且 stripe 在提交表单之前隐藏该 token 。这就是为什么卡信息永远不必接触您的服务器并使您免受随之而来的 PCI 合规性问题的原因。因此,如果您是这个意思,则不必验证 token 。在这条 Stripe 授权(银行告诉他们你有足够的钱)并从银行获取(实际上转移资金)资金后,你会得到 token ,它保证卡上有钱实际支付给你,不确定这是否是你所说的验证的意思。如果他们无法付款,则会抛出错误。就 stripe 服务器的 API 端点而言,/v1/charge 或其他任何东西,是的,任何人都可以看到它,但您传递卡的特定 stripe token 以及您的 secret API key ,而这一切都是通过 HTTPS 发送的,因此没有人会破解该信息(很可能)。不确定这是否有帮助,但希望有帮助!
关于node.js - Node.js 的 stripe api 的 token 和安全性 (stripe-node),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40532315/