我已将payu集成到我的网站进行交易。我有一个疑问,在他们的开发指南中,他们通过商家密钥,盐,哈希等来形成参数。现在,如果有人在我的网站上做了一个检查元素,那么他/她可以看到这些参数。我想知道人们使用payu apis的最佳方式,以及他们如何确保机制ID,盐只保留在服务器上。我的后端是django,前端是角js
答案 0 :(得分:4)
Afaik,哈希是根据PayU和商家只知道的秘密词在后端计算的(你应该把它保存在环境中),因此如果有人检查表格并且看不到安全问题,就不会出现安全问题。那些元素,paypal,网络资源等也在做同样的事情。无需怀疑,继续完成整合。
为了能够使用他们的API并集成server2server方法,您的雇主应该是PCI合规性,这实际上并不是一件小事。
答案 1 :(得分:-1)
我没有使用过Payu,但是像这样的敏感信息应该存储在Django设置文件中(只有在你有权访问服务器时才能读取)并且只能由Django访问(而不是放在JS中)任何人都可以阅读的文件。
实现类似这样的事情的常规方法是将表单POST到Django View,该视图从设置文件中检索敏感信息,然后调用API。