我正在开发一个允许Paypal支付和发票的WP插件。此插件允许用户在接受付款时使用自己的 Paypal帐户。
到目前为止我所理解的是我需要使用REST来启用Invoicing API。所以它给我留下了两个选择:
我对第一个问题的关注是,通过保存数据库中的密钥并且他们的网站以某种方式受到损害 - 黑客可以代表他们的应用程序执行API。
第二个将在插件文件本身上显示密钥 - 但是由于应用程序仅用于此目的而且仅在插件设置中指定了收款人/商家,我想这是可以的吗?另一个优点是用户无需创建自己的应用程序。
哪一个更好,或者你可以推荐第三个选项?
谢谢!
答案 0 :(得分:0)
好吧,您可以根据用户在插件中输入的参数生成动态支付按钮(类似于paypal中的向导)并使用快速结账端点。但是您会丢失一些功能(如完成自定义结帐流程)
答案 1 :(得分:0)
将API密钥存储在您的数据库中,但加密并哈希,因为它们是密码。由于您使用的是第三方CMS,因此您应该假设它迟早会有零日漏洞利用,迟早,您将拥有一个拥有CMS管理员root权限的黑客。考虑到这一事实,设计您的数据库和插件。