即使使用令牌,如何在客户端安全的客户对象中保存 Stripe 客户卡信息?

【问题标题】:How is saving a Stripe Customers Card Info in a Customer Object secure on the client side, even with tokens?即使使用令牌,如何在客户端安全的客户对象中保存 Stripe 客户卡信息?
【发布时间】:2015-12-02 23:38:26
【问题描述】:

我想让客户输入他们的卡信息一次并有一个“立即付款”按钮,该按钮将保存用户信息以供将来付款,而他们不必重新输入那里的信息,并且条纹说如果您创建它们可以做到这一点一个用户对象。

当用户输入他们的信息并将其保存在用户对象中时,我不明白这是如何安全的,即使使用令牌也是如此。开发人员不能添加另一个功能与条纹自定义表单“提交”或“立即付款”一起在条纹生成令牌之前或同时将卡信息发送到其他地方吗?如果我愿意,我可以在我的混合离子应用程序中显示他们“当前卡”的最后四位数字吗?有人可以向我解释我错过了什么吗?

我通过电汇向客户发送支付令牌以供关联公司处理付款(我的应用程序仅在客户端),并且由于共享令牌不会使卡面临风险,因此我应该担心任何安全问题知道吗?

【问题讨论】:

    标签: security ionic token stripe-payments


    【解决方案1】:

    是的,邪恶的开发人员可以轻松地对客户的信用卡信息做任何他想做的事,而这与 Stripe 无关。 Stripe 和所有其他支付处理商都假定其开发人员/客户没有出于恶意原因使用他们的服务,我敢肯定,如果这些证据浮出水面,他们的帐户将立即被撤销。

    Stripe 的安全模型允许开发人员信任 Stripe 为他们安全地存储客户的信用卡号,这样他们就可以专注于开发他们的产品,而不必担心构建符合 PCI 的信用卡数据库存储。这个想法是您将客户信用卡号交给 Stripe,以换取令牌(客户 ID),您稍后在对该客户的卡进行后续收费时参考该令牌。

    至于卡的最后 4 位数字,是的,可以通过 Stripe API 轻松获得

    https://stripe.com/docs/api#cards

    【讨论】:

    • 感谢您抽出宝贵时间回答这个问题。我通过电汇向客户发送付款令牌以供关联公司处理付款(我的应用程序仅在客户端),并且由于共享令牌不会使卡面临风险,因此我应该注意哪些安全问题? (我还编辑了我的问题以包括这个)
    • 这似乎是一个不寻常的附属跟踪系统,但只要共享 Stripe 帐户,它就可以工作stripe.com/docs/connect/shared-customers。您可以明文传递令牌,如果没有共享 Stripe 帐户之一的访问权限,任何人都无法从客户的卡中扣款。
    猜你喜欢
    • 2020-05-21
    • 1970-01-01
    • 2020-05-26
    • 2021-04-25
    • 2014-02-20
    • 1970-01-01
    • 1970-01-01
    • 2019-12-31
    • 2014-09-24
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode