我正在构建一个条带后端,用户将能够使用条带api创建自定义连接帐户。我正在使用react作为我的前端。我正在努力了解最安全的方法。以下是我正在做的事情,我想知道是否有人能够证实这是使用标记化的正确方式,或者我是否处理得不正确?
React向我的node服务器发送敏感数据(账号和ssn等(-->
我的节点服务器中的CCD_ 4产生令牌-->
令牌被返回到CCD_ 5,然后在那里我将令牌发送到stripes api->
stripe.accounts.create创建账户,如果需要,入职结束时会提供一些额外信息
这是标记化的正确使用吗?Stripe提供了node示例来生成令牌,所以我认为这是正确的方式。
假设您谈论的是在不直接在服务器上处理数据的情况下收集PII的帐户令牌,那么您就有点颠倒了。
预期流量为:
- 在客户端应用程序中加载Stripe.js
- 让您的用户在您的表单中提供他们的详细信息
- 通过Stripe.js和
createToken('account', {...})将这些详细信息提交给Stripe以获得帐户令牌(或'person'用于个人令牌( - 使用该帐户令牌创建或更新具有令牌化PII(或个人(的连接帐户