У меня текущая настройка с Stripe и Laravel в качестве бэкэнда. Все работает отлично, как и ожидалось, но у меня есть вопрос относительно безопасности.
Поскольку у меня есть интерфейс React для приема платежей, я использую пакет @stripe/react-stripe-js, который является официальным пакетом Stripes.
С пакетом вы, очевидно, должны загрузить в Stripe и передать свой publi c ключ и в этом сценарии идентификатор подключенных учетных записей. Я сделал это до сих пор, но интерфейс использует вызов API, чтобы узнать, что такое заказ и цена et c, с этим вызовом сидит идентификатор подключенных учетных записей, поэтому я могу добавить его в метод полосы загрузки.
const stripePromise = loadStripe(
'xxxxx',
{
stripeAccount: 'xxxxx',
}
)
Поскольку это должно возвращаться в виде обычного текста, чтобы Stripe мог его прочитать, я хотел узнать мнения других людей о том, безопасно ли раскрывать идентификатор подключенных учетных записей.
Я не вижу другого пути, я мог бы как-то зашифровать / расшифровать, но все же это доступно для версии на стороне клиента, поэтому оно все еще видно.
Я прочтите документацию Stripe, которую можно найти здесь https://stripe.com/docs/connect/authentication#adding -the-connected-account-id-to-a-client-side-application , и кажется, что они хранят это в виде обычного текста.
При всем вышеупомянутом, секретный ключ, очевидно, никогда не отображается во внешнем интерфейсе, и все, что создает платежное намерение, обрабатывается в серверном интерфейсе.