Stripe + Plaid + Flutter лучшие практики

Question

Какие из этих процедур безопаснее?

Непосредственно получить stripe bank account token (сгенерированный со стороны клиента plaid client) и отправить этот токен на мой сервер для обработки

Или

Отправьте plaid account token (сгенерированный со стороны клиента plaid client) на мой внутренний сервер и извлеките stripe bank account token удаленно?

Документация в полосе говорит, что я предоставляет шаги для последнего, однако, flidter api плед-клиента (неофициальный) предоставляет метод для получения stripe bank account token напрямую.

Непосредственное получение этого приведет к экономии ресурсов сервера, однако я бы не стал сделать это за счет безопасности пользователя.

Answer 1

У вас никогда не должно быть секретной клиентской стороны, так как кто-то может просматривать ее и делать запросы, как если бы это был вы.

Вы должны следовать документации Stripe здесь. Сначала вы получаете клиентский токен пледа, а затем отправляете его на свой сервер. Там вы можете безопасно использовать свой секрет, чтобы обменять его на токен Stripe, а затем использовать API Stripe для сохранения банковского счета на клиенте.