我正在开发一个付款完成页面,我还想要一种根据唯一交易“自定义”页面的方法(例如生成指向所购买商品的链接等)为此,我相信我需要某种方式来识别每笔付款。我还在一个示例项目中看到,stripe 将客户端密钥和意图 ID 发送到完成页面,因此可能为任何人提供对支付意图 ID 的读取访问权限吗?
编辑: 刚刚意识到 Stripe 完成时的自动重定向会自动将客户端密钥和意图 ID 放在完成页面的 URL 上,所以我想我的问题变成了 - 使用意图 ID 来识别我的应用程序中的特定项目是否安全? (即任何人都可以看到任何意图 ID;攻击者可以用它们做任何事情吗?)
是的,它是安全的,并且 client_secret 已经在客户端中可用,在 创建 PaymentIntent 的步骤以及确认它们之前。
在客户端再次拥有它是完全安全的。然后,您可以使用 retrievePaymentIntent 检索有关交易的信息子集。在服务器端,相同的检索支付意图 API 将返回完整的交易信息。