其中哪些程序更安全?
直接获取stripe bank account token(从客户端plaid client生成)并将该令牌发送到我的服务器进行处理
或
将plaid account token(从客户端plaid client生成)发送到我的后端服务器并远程检索stripe bank account token?
stripe documentation说我为后者提供了步骤,但是plaid-client flutter api(非官方)提供了直接获取stripe bank account token的方法。
直接获取它可以节省服务器资源,但是我不会以牺牲用户安全为代价。
答案 0 :(得分:2)
您永远不应该拥有一个秘密的客户端,因为任何人都可以查看它并像您一样发出请求。
您应该在此处关注Stripe的文档。您首先获得一个客户端的格子令牌,然后将其发送到您的服务器。在这里,您可以安全地使用您的机密将其交换为Stripe令牌,然后使用Stripe的API将银行帐户保存在客户上。