我可以使用 API 在移动设备中使用服务器端支付集成吗

Posted 2023-03-15

【中文标题】我可以使用 API 在移动设备中使用服务器端支付集成吗

【英文标题】：Can I use server side payment integration in mobile using API's

【发布时间】：2019-04-17 17:35:19

【问题描述】：

我正在使用条纹付款。我需要一个建议，通过 API 将卡详细信息发送到服务器然后使用条带付款是否安全。或者我应该使用条带集成从移动设备创建一个令牌，然后将令牌发送到服务器以进行更多处理。

【问题讨论】：

发送实际的卡详细信息意味着您必须符合 PCI 标准，这意味着 $$$。通过使用 Stripe 的 JS 库进行标记化，不惜一切代价避免。

完全同意@ceejayoz - 您需要符合 PCI DSS 标准，这需要花费很多钱。我对 Stripe 没有任何具体知识，但如果他们提供了标记支付信息的选项，那么您应该使用它。

【参考方案1】：

如果您将卡信息发送到您的服务器，则您有责任保护该数据的安全。一些支付网关会在允许您使用网关从服务器而不是浏览器发送卡数据之前要求您进行一些安全审核。

我建议您继续使用 Stripe，不要将信用卡数据发送到您的服务器。如果你被黑了，你就有一个严重的问题。

【参考方案2】：

我认为向您推荐的最佳方式是在不向服务器端发送信用卡数据的情况下将信息保存在 Stripe 中。

我建议你处理令牌（JWT/Passport）

支付卡行业数据安全标准中有一些规则。请遵循这个。这对我也很有用:)

https://www.pcicomplianceguide.org/faq/

【参考方案3】：

是的。

您通过 API 将卡信息从您的移动设备传递到服务器。服务器将联系支付服务，获取结果并在 API 返回中返回结果。