我是不是需要自己的服务器才能使用 Stripe API？

Posted 2023-02-26

【中文标题】我是不是需要自己的服务器才能使用 Stripe API？

【英文标题】：Do I need my own server to use the Stripe API?我是否需要自己的服务器才能使用 Stripe API？

【发布时间】：2017-03-13 01:39:35

【问题描述】：

我想通过 Stripe 在我的应用中实现支付。我正在阅读他们的文档，并且一直提到在我从 Stripe 检索令牌后，我将使用自己的服务器向某人收费。 (stripe documentation)

为什么我需要一个服务器来向我的用户收费 为什么我不能只调用 Stripe API 方法来收费 - 我在我的服务器上做了什么特别的事情？有没有什么方法可以在不创建自己的服务器的情况下收费？ firebase 就足够了吗？

谢谢

【问题讨论】：

Firebase 正在服务器上运行，是的。它只是一个令牌字符串。您可以将其存放在任何地方。

@cricket_007 所以所有的文档意味着我要存储令牌？听起来我要从服务器收费 - 而不仅仅是存储它？

也许我也误解了。我真的不知道 Stripe 是如何工作的。但是，如果您对 Java 熟悉，ApacheTomcat、Servlets 和 JAX-RS 是您可以搜索的更多关键字

【参考方案1】：

是的。您需要服务器的原因主要是为了保护 Stripe 提供给您的密钥。你不想在你的移动应用程序中嵌入一个秘密密钥，它为它提供了近乎零的保护。有人可以简单地拆解你的应用程序，即使它被混淆了，然后无助地试图找到散落在各处的密钥。

链接：

Stripe 网站上的This Q&A 简单地回答了这个问题，但没有详细说明。

This blog post 解释了端到端的过程，这可能对您阅读上下文很有帮助。

替代方案：

Webtask stripe script（另见main webtask page）。

Accepton 也可以。

...不过，我建议您自行设置，以便尽可能多地进行控制。 HTTP 和 REST 的定义和细节超出了这个问题的范围，但请放心，让这个工作的代码量是微不足道的（尽管您最初的学习/努力）。

【参考方案2】：

让我用我的解释来扩展他们所说的内容：

通过我们的移动图书馆，我们无需将卡数据直接发送到您的服务器，从而承担了 PCI 合规性的负担。相反，我们的库将卡片数据直接发送到我们的服务器，在那里我们可以将它们转换为令牌。

这意味着人们通常会收到一个信用卡号，并希望将其存储起来以备后用（例如，客户将其输入到您的帐户页面，以便他们可以按月收费），但这使您在法律上有义务符合 PCI 标准，这可能会让人头疼。 Stripe 减轻了您的负担 - 他们将存储信用卡，如果您想稍后收费，您只需给他们他们生成的代表该信用卡的令牌即可。

您的应用将接收回令牌，然后可以将令牌发送到服务器上的端点，在那里它可用于处理付款、建立定期计费或仅保存以供以后使用。

这将在另一部分进行解释，https://stripe.com/docs/mobile/android#using-tokens

使用支付令牌，无论它是如何获得的，都需要使用您的 API 密钥从您的服务器调用 API。 （为了安全起见，您永远不应该在您的应用中嵌入您的 API 密钥。）

（这是drhr提到的。）

由于您需要密钥来进行 API 调用，因此需要从您自己的服务器上完成，因此您确实需要一个服务器。

注意：我记得我没有使用过 Stripe，我只是想分享我对文档的阅读。

附：我认为您的第二个问题是独立的，但是托管 Java webapp 的一些流行且简单的选项是 Heroku 和 AppEngine。但是，对于这样的事情，您可能会采用无服务器方法，例如使用 AWS Lambda https://aws.amazon.com/lambda（谷歌在 Alpha 阶段有一个等价物 https://cloud.google.com/functions/）