如何解决Stripe 密钥安全?
我让一位开发人员为我建立一个网站,他已经为此工作了大约一个月。他做得很好,看起来很棒。也许我是偏执狂,或者我不是,但这是我第一次涉足在线业务。他需要我的 Stripe api 密钥和秘密密钥。把编码端的秘钥给他安全吗?他要求两者。只是想知道我是否会在某个地方被骗而从自由职业者那里不知道。或者被骗,为时已晚.....对不起,我大部分时间都在编码文盲。如果我在他创建后必须采取任何措施来确保任何资金或我的网站的安全;请告诉我。
解决方法
对于 Stripe 和许多其他类似的 API 系统,有两组密钥。一种用于测试/开发,不进行任何实际的现场工作。另一个是实时设置,它将访问实时 API 并允许拥有密钥的人充当您的业务。
在理想的、安全的组织中,您应该将实时端和测试端完全分开。开发人员将无法访问实时站点,因此根本无法访问实时密钥。不在 UI 中,不在数据库中,什么都没有。这将漏洞仅限于那些被指派保持实时网站运行的人。
因为你和自由职业者一起工作,所以有点模糊。我假设您没有内部团队来处理站点上的维护。如果是这种情况,那么即使您在发布期间自己插入实时密钥,自由职业者也可能是您要联系以解决问题的人,届时他们无论如何都可以访问密钥。
但是,如果自由职业者不是维护或支持网站的人,那么最好的做法是让他们在网站的后端为您提供一个位置您可以在使站点对公众活跃之前自己输入实时密钥。同样,如果自由职业者在网站启动后无法访问该网站,这只是提供安全性。
,如果他是您的开发人员,那么他将需要两个密钥。以下是有关密钥及其功能的更多信息
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。