使用服务器端保护条带密钥
securing stripe secret key with server side
我只是想了解如何安全地存储条带密钥。
我当然不应该在应用程序上对其进行硬编码。
我在大多数教程中看到秘密值保存在服务器中。然后它被检索来拨打电话。这不就可以简单拦截了吗?
提出这样的要求。这需要一个秘密来传递。我正在使用 amplify graphql。
var response = await http.post(Uri.parse('https://api.stripe.com/v1/payment_intents'), body: body, headers: {
'Authorization': 'Bearer sk_test_51JtrW7EI6WXcFFnPxSxwCIm24D8Gjj3e6hzxch4009kFOsXo7',
'Content-Type': 'application/x-www-form-urlencoded'
});
I am seeing in most tutorials secret value is saved in the server. Then it's retrieved to make call.
大多数 Stripe 教程显示 client-side/webpage/mobile-apps 从您的服务器获取可发布的密钥。该键是(按设计)public.
这种方法尤其适用于无法动态更新可发布密钥的移动应用程序,您需要通过完整的 App Store 审核才能推出新版本的应用程序,但从服务器获取它可以让您如果需要,轻松更新可发布的密钥。
我只是想了解如何安全地存储条带密钥。
我当然不应该在应用程序上对其进行硬编码。
我在大多数教程中看到秘密值保存在服务器中。然后它被检索来拨打电话。这不就可以简单拦截了吗?
提出这样的要求。这需要一个秘密来传递。我正在使用 amplify graphql。
var response = await http.post(Uri.parse('https://api.stripe.com/v1/payment_intents'), body: body, headers: {
'Authorization': 'Bearer sk_test_51JtrW7EI6WXcFFnPxSxwCIm24D8Gjj3e6hzxch4009kFOsXo7',
'Content-Type': 'application/x-www-form-urlencoded'
});
I am seeing in most tutorials secret value is saved in the server. Then it's retrieved to make call.
大多数 Stripe 教程显示 client-side/webpage/mobile-apps 从您的服务器获取可发布的密钥。该键是(按设计)public.
这种方法尤其适用于无法动态更新可发布密钥的移动应用程序,您需要通过完整的 App Store 审核才能推出新版本的应用程序,但从服务器获取它可以让您如果需要,轻松更新可发布的密钥。