Я встречал похожие вопросы, но ни один из них не подходил мне.
Я разрабатываю приложение с firebase (без бэкэнда) и реагирую. Платежи - важная функция моего приложения, поэтому Stripe - это моя платформа. Я специально использую Stripe Connect, поэтому о таких пакетах-оболочках, как npm install --save tipsi-stripe
, не может быть и речи.
Проблема в том, что полоса требует, чтобы я добавил следующий импорт в мой App.js моего проекта, ориентированного на реакцию:
var stripe = require('stripe')('stripe API key');
Вопрос 1: я не должен этого делать, потому что тогда практически любой, кто загружает мое приложение, будет иметь доступ к ключу API, верно?
Вопрос 2: следует ли использовать https (например: пакет axios) для подключения к облачным функциям firebase, а затем отправлять туда всю конфиденциальную информацию и выполнять запросы API к Stripe из облачных функций?
Извините, если вопрос для некоторых очевиден, я просто хочу быть уверенным в том, что делаю, поскольку я впервые внедряю Stripe.
РЕДАКТИРОВАТЬ. В итоге я использовал собственный пакет реакции tipsi-stripe
для токенизации (=== безопасной обработки) информации о карте и банковском счете, и затем я бы сделал любой запрос на удаление через триггер https облачной функции для поддержания секрет ключа Stripe API.