使用 Stripe 订阅 Node.js 进行身份验证

Posted

技术标签:

【中文标题】使用 Stripe 订阅 Node.js 进行身份验证【英文标题】:Authentication with Stripe Subscriptions Node.js 【发布时间】:2020-10-22 16:42:03 【问题描述】:

我无法确定使用 Stripe 攻击订阅身份验证的最佳方法。我有一个预先存在的 MERN 堆栈,它使用 JWT 进行身份验证,存储订阅 ID。但是,要检测取消、发票不完整等变化,我想不出没有套接字的解决方案。

有什么想法吗?

【问题讨论】:

【参考方案1】:

在您续订 JWT 之前,只需检查订阅状态 - 并确保到期时间足够短,让您在未付费访问窗口方面感到舒适。

您还可以使用一些中间件来为每个 ajax 请求(或至少一个常见/频繁的 ajax 请求)执行此操作,如果订阅不再被视为“付费”,则返回 402 并使 JWT 无效。

【讨论】:

是的,所以我的想法是重新加载用户模式,例如,每 5 分钟(从 JWT 到期开始)并在此处比较状态是否存在争议(如果有效),发送一个刷新的用户对象。或者将一般身份验证和订阅保存在单独或嵌入的令牌中。我唯一担心通用身份验证令牌的有效期如此短是验证令牌的刷新 @NicholasDullam 这可能对你有用:auth0.com/blog/blacklist-json-web-token-api-keys【参考方案2】:

查看用于接收事件通知的条带 webhook。

https://stripe.com/docs/webhooks

监听您的 Stripe 帐户上的事件,以便您的集成可以自动触发反应。

当您的帐户发生事件时,Stripe 使用 webhook 通知您的应用程序。 Webhook 对于异步事件特别有用,例如当客户的银行确认付款、客户对收费提出异议或定期付款成功时。

只需三个步骤即可开始在您的 Stripe 集成中使用 webhook:

1.在您的服务器上创建一个 webhook 端点。

2.使用 Stripe CLI 测试您的端点是否正常工作。

3.向 Stripe 注册端点以上线。

创建 webhook 的基本示例

// This example uses Express to receive webhooks
const app = require('express')();

// Use body-parser to retrieve the raw body as a buffer
const bodyParser = require('body-parser');

// Match the raw body to content type application/json
app.post('/webhook', bodyParser.raw(type: 'application/json'), (request, response) => 
  let event;

  try 
    event = JSON.parse(request.body);
   catch (err) 
    response.status(400).send(`Webhook Error: $err.message`);
  

  // Handle the event
  switch (event.type) 
    case 'payment_intent.succeeded':
      const paymentIntent = event.data.object;
      // Then define and call a method to handle the successful payment intent.
      // handlePaymentIntentSucceeded(paymentIntent);
      break;
    case 'payment_method.attached':
      const paymentMethod = event.data.object;
      // Then define and call a method to handle the successful attachment of a PaymentMethod.
      // handlePaymentMethodAttached(paymentMethod);
      break;
    // ... handle other event types
    default:
      // Unexpected event type
      return response.status(400).end();
  

  // Return a response to acknowledge receipt of the event
  response.json(received: true);
);

app.listen(8000, () => console.log('Running on port 8000'));

【讨论】:

是的,就数据库更改而言,我正计划使用网络挂钩。如果有意义的话,我更倾向于在不使用 Web 套接字的情况下刷新凭据客户端。感谢您的回复

以上是关于使用 Stripe 订阅 Node.js 进行身份验证的主要内容,如果未能解决你的问题,请参考以下文章

stripe.confirmCardPayment 不是函数

Stripe:在网络上使用 Apple Pay 进行订阅

Stripe 付费流程和免费计划订阅

在带有 React.js 前端的 Node.js 上使用 Passport.js 进行身份验证

Stripe 测试订阅 Lumen 5.1

Reactjs Stripe 支付不适用于 Node/Express