1

我正在使用 razorpay 作为我一直在开发的网站的支付网关。网关 api 需要一个密钥,根据文档,我需要将它放在我的 javascript 调用中。这对于开发环境来说是可以的,但我对将生产密钥放在 JS 中高度怀疑,因为它可以在很多方面被滥用。处理这种情况的理想方法是什么?我应该从后端(java)发送经过编码的密钥(看起来不对)吗?

4

1 回答 1

1

有两个实体。一个是秘密,另一个是关键。

需要在脚本中传递密钥才能创建 razorpay 支付表单。这没有问题。

对于所有需要保密的 razorpay 交易,您应该在服务器上创建自己的 API。永远不要把它放在客户端 javascript 中。

例如,在创建订单时,您将需要传递秘密。因此,制作一个 api,您可以在其中传递系统中的参考号并从 razorpay 取回 order_id。在服务器端代码上对razorpay 执行所有操作。这样秘密就不会暴露给最终用户。

于 2019-05-09T06:02:26.717 回答