我在我的移动应用程序项目中使用Stripe进行应用程序付款,如果用户输入卡信息(带或不带条带),如果不是通过HTTPS整个时间,我不太明白任何应用程序的安全性
根据我的理解,如果您想在移动设备上进行任何形式的 (双关语) ,您必须创建一个令牌并将该令牌发送到后端使用HTTPS(并具有私钥)来处理所述付款的服务器(带条带,我对其他人不熟悉)。
正如条纹所述:
值得注意的是Checkout实际上不会产生费用 - 它只会创建令牌。您可以使用这些令牌在服务器上创建实际费用。
如果令牌在服务器端通过SSL而变为充电
使用Checkout提交的所有付款信息均通过安全的HTTPS连接进行。但是,为了保护自己免受某些形式的中间人攻击,我们建议您也使用HTTPS提供包含付款表单的页面。这意味着Checkout表单可能存在的任何页面都应以https://开头,而不仅仅是http://。
我的问题/关注(TL; DR):
因此,您可以创建一个令牌,而无需通过HTTPS,只有只需付款需要通过HTTPS。 但是,这个令牌创建过程是否安全(我的第一个问题)?我不禁认为,任何人输入他们的卡信息,其中信息通过电线发送到条带并返回创建令牌是不安全的,并且在中间攻击中容易受到攻击。
答案 0 :(得分:1)
与Stripe的通信将始终通过HTTPS进行,这意味着卡数据始终通过加密通道发送,尝试通过HTTP进行错误。一旦您获得令牌,该令牌仅适用于一次使用并绑定到您的Stripe帐户。令牌不允许您访问基础卡数据,如果令牌泄露,它只能用于您的密钥(您的应用中不应该有)。