【问题标题】:Payment gateway wants the secret key in javascript. I'm concerned about the key security here支付网关需要 javascript 中的密钥。我担心这里的密钥安全
【发布时间】:2019-08-23 01:03:29
【问题描述】:
我正在使用 razorpay 作为我一直在开发的网站的支付网关。网关 api 需要一个密钥,根据文档,我需要将它放在我的 javascript 调用中。这对于开发环境来说是可以的,但我对将生产密钥放在 JS 中高度怀疑,因为它可以在很多方面被滥用。
处理这种情况的理想方法是什么?我应该从后端(java)发送编码的密钥(看起来不对)吗?
【问题讨论】:
标签:
javascript
java
api
security
razorpay
【解决方案1】:
有两个实体。一个是秘密,另一个是关键。
需要在脚本中传递密钥才能创建 razorpay 支付表单。没有问题。
对于所有需要保密的 razorpay 交易,您应该在您的服务器上创建自己的 API。永远不要把它放在客户端 javascript 中。
例如,在创建订单时,您将需要传递秘密。因此,制作一个 api,您可以在其中传递系统中的参考号并从 razorpay 取回 order_id。在服务器端代码上对razorpay 执行所有操作。这样秘密就不会暴露给最终用户。