现在,条纹已与我的rails应用程序集成,但我从未使用过给我的密钥,我只使用了可发布的密钥。秘密密钥实际上做了什么?
另外,我的观点中有一些代码:
<script type="text/javascript">
Stripe.setPublishableKey("my-publishable-key-here");
</script>
将可发布的密钥放在那里安全吗?条纹文档实际上做同样的事情,但我不确定。
答案 0 :(得分:2)
可发布密钥用于您的客户端代码,以使用Checkout或Stripe.js来标记付款信息。它只能用于创建令牌,令牌本身不做任何事情(它们只是隐藏敏感信息的支付来源的代表)。
在您的后端代码中使用密钥将任何其他请求发送到Stripe's API。您需要小心,不要泄漏您的密钥,因为它可能被用来访问您的帐户并导致各种麻烦(退还过去的费用,取消订阅,删除已保存的客户等)。
您可以在Stripe信息中心中找到所有API密钥:https://dashboard.stripe.com/account/apikeys。如果您需要,可以通过单击每个键旁边的小“回收”图标来替换新键(“滚出”键)。