要求:nodejs (Sails)应用程序需要一个界面(设置页面),以便用户在Stripe上创建帐户后可以添加可发布密钥和秘密密钥。
我对如何做到这一点的想法:有一个设置页面,一旦用户输入两个密钥,应用程序将把密钥写入一个文件。然后,需要密钥的控制器将加载文件并使用它。
对于可发布键,一旦用户将其添加到设置页面中,应用程序将其保存到db中,并且在我的html文件中,我可以通过ajax调用查询db并检索可发布键并将其分配给js变量。
我的问题是:这在安全性方面是好的做法吗?
有什么改进的建议吗?
多谢
这是一个托管应用程序吗?如果是这样,您可以使用Stripe Connect来获取特定于您的应用程序的密钥。他们从不需要与你分享任何东西,他们只是通过OAuth流程,最后你有一个可发布的密钥和一个秘密密钥,你可以用它来代表他们收费。
如果这是一个可安装的应用程序,我建议您将两个键保存在环境变量中,而不是数据库或文件中。