我正在为一个网站建立一个支付插件,用户可以用真钱购买一些网站实习货币。我用来处理付款流程的后端是this。 它提供(除此之外)JavaScript库以与其API通信,因此您不必让您的系统接触敏感的支付数据,如信用卡号等。
问题是: 现在,api-key,secret hash和其他易受攻击的数据被硬编码到我的脚本中,启动与服务器的通信。所以从理论上讲,每个半血统的用户都可以将它们从浏览器中复制出来,并且可能会对它进行讨厌,特别是如果他们可以访问api文档的话。
所以,这不安全,绝对不能以这种方式生效。
我正在使用cakephp,我想在按下提交按钮后,通过对我的控制器/模型进行一些ajax调用来收集这些敏感键。 问题在于,这种联系并不安全,很容易成为“中间人”。
是否有其他更好的方法可以在javascript中保护我的API密钥?
答案 0 :(得分:-1)
使用基于令牌的身份验证,https和csrf令牌,永远不会,但客户端上的秘密。
使用oauth,这样用户甚至不需要向您发送密码。使用其他人的身份验证系统。