Платежный шлюз хочет получить секретный ключ в javascript. Я беспокоюсь о безопасности ключа здесь

Question

Я использую razorpay в качестве платежного шлюза для сайта, над которым я работаю.Для шлюза API необходим секретный ключ, который, согласно документации, должен вставить его в мой вызов javascript.Это нормально для среды разработки, но я очень скептически отношусь к внедрению производственного ключа в JS, так как им можно злоупотреблять разными способами.Каков идеальный способ справиться с этим сценарием?Должен ли я отправлять ключи из бэкэнда (Java), которые закодированы (не кажется правильным)?

Answer 1

Есть две сущности. Один секрет, а другой ключ.

Ключ необходимо передать в скрипте для создания платежной формы razorpay. В этом нет проблемы.

Для того, чтобы все транзакции для razorpay, которые требуют секретности, вы должны сделать свои собственные API на вашем сервере. Никогда не помещайте это в клиентский JavaScript.

Например, при создании заказа вам нужно будет передать секрет. Итак, создайте API, где вы можете передать ссылочный номер из вашей системы и получить order_id от razorpay. Выполните все операции, чтобы razorpay на стороне сервера кода. Таким образом, секрет не будет открыт конечному пользователю.