我见过类似的问题,但没有一个问题符合我的观点。
我正在开发一个带有firebase(没有后端)和反应原生的应用程序。付款是我的应用程序的一个重要功能,所以Stripe是我的平台。我专门使用 Stripe Connect ,因此像npm install --save tipsi-stripe这样的包装程序包是不可能的。
问题是条带要求我将以下导入添加到我的react-native项目的App.js中:
var stripe = require('stripe')('stripe API key');
问题1:我不应该这样做,因为基本上任何下载我的应用程序的人都可以访问API密钥吗?
问题2:我是否应该使用https(例如:axios软件包)连接到firebase云功能,然后在那里发送所有敏感信息,并从云功能中向Stripe发出API请求?
很抱歉,如果这个问题对某些人来说有点明显,我只想确定我在做什么,因为这是我第一次实施Stripe。
修改
我最终使用react本机程序包tipsi-stripe来标记(===安全地处理)卡和银行帐户信息,然后我会通过云功能https触发器执行任何条带请求以维护Stripe API密钥秘密。
答案 0 :(得分:1)
我没有使用Stripe API,但这听起来应该在后端完成,以保护您的API密钥。考虑在Firebase函数中创建一个http端点,该端点将触发所有条带化请求并保持api密钥隐藏。
答案 1 :(得分:0)
我最终使用带条纹tipsi-stripe包装器的firebase云功能。