क्या मुझे स्ट्रिप एपीआई का उपयोग करने के लिए अपने सर्वर की आवश्यकता है?

Question

मैं स्ट्रिप के माध्यम से अपने ऐप में भुगतान लागू करना चाहता हूं। मैं उनके दस्तावेज़ीकरण को पढ़ रहा हूं और यह उल्लेख करता रहता है कि मैं स्ट्रिप से टोकन पुनर्प्राप्त करने के बाद किसी को चार्ज करने के लिए अपने सर्वर का उपयोग करूंगा। (stripe documentation)

क्यों मैं एक सर्वर की आवश्यकता क्यों है मेरे उपयोगकर्ता चार्ज करने के लिए कारण है कि मैं सिर्फ धारी एपीआई तरीकों सिर्फ चार्ज करने के लिए फोन नहीं कर सकते हैं - क्या मैं अपने सर्वर पर विशेष कर रहा हूँ? क्या मेरा अपना सर्वर बनाये बिना चार्ज करने का कोई तरीका है? क्या फायरबेस पर्याप्त हो सकता है?

धन्यवाद

Answer 1

मुझे विस्तार वे क्या मेरी व्याख्या के साथ एक सा कह रहे हैं:

हमारे मोबाइल पुस्तकालय के साथ

, हम कार्ड डेटा आपके सर्वर के लिए सीधे भेजने के लिए आवश्यकता को समाप्त करके PCI अनुपालन के बोझ को अपने कंधे। इसके बजाए, हमारे पुस्तकालय सीधे हमारे सर्वर पर कार्ड डेटा भेजते हैं, जहां हम उन्हें टोकन में परिवर्तित कर सकते हैं।

कि क्या इसका मतलब है कि अक्सर एक एक क्रेडिट कार्ड नंबर प्राप्त करता है और बाद में उपयोग (जैसे, ग्राहक अपने खाता पृष्ठ में प्रवेश करती है तो वे मासिक रूप से लिया जा सकता है) के लिए यह स्टोर करने के लिए आशा की जाती है है, लेकिन है कि आप बनाता है कानूनी रूप से पीसीआई मानकों के अनुरूप होने के लिए बाध्य है, जो सिरदर्द हो सकता है। पट्टी आपको इस बोझ से मुक्त करती है - वे क्रेडिट कार्ड स्टोर करेंगे, और यदि आप इसे बाद में चार्ज करना चाहते हैं तो आप उन्हें केवल उस टोकन दे सकते हैं जो उत्पन्न क्रेडिट कार्ड का प्रतिनिधित्व करता है।

आपका ऐप टोकन वापस प्राप्त करेगा, और फिर टोकन को आपके सर्वर पर एक एंडपॉइंट पर भेज सकता है, जहां इसका उपयोग भुगतान संसाधित करने, पुनरावर्ती बिलिंग स्थापित करने या बाद में उपयोग के लिए सहेजा जा सकता है।

यह एक और अनुभाग में समझाया गया है, https://stripe.com/docs/mobile/android#using-tokens

भुगतान टोकन का प्रयोग, लेकिन यह प्राप्त हुई थी, तो आपके सर्वर अपने गुप्त API कुंजी का उपयोग करने से एक API कॉल की आवश्यकता है। (सुरक्षा उद्देश्यों के लिए, आपको अपने ऐप में अपने गुप्त API कुंजी एम्बेड चाहिए कभी नहीं।)

(यह drhr द्वारा उल्लेख किया गया था।)

जब से तुम बनाने के लिए गुप्त कुंजी की जरूरत एपीआई फोन की आवश्यकता होगी अपने सर्वर से किया जाना है, तो आपको एक सर्वर की आवश्यकता है।

नोट: मैंने स्ट्रिप का उपयोग नहीं किया है जो मुझे याद है, मैं सिर्फ दस्तावेज़ों के पढ़ने को पढ़ने की कोशिश कर रहा हूं।

पीएस मुझे लगता है कि आपका दूसरा प्रश्न अलग है, लेकिन जावा वेबएप होस्ट करने के लिए कुछ लोकप्रिय और आसान विकल्प हैं Heroku और AppEngine। इस तरह के कुछ के लिए हालांकि आप एक सर्वर रहित दृष्टिकोण के साथ जा सकते हैं उदा। AWS Lambda https://aws.amazon.com/lambda का उपयोग करके (Google अल्फा चरण https://cloud.google.com/functions/ में समतुल्य है)

Answer 2

हां। आपको सर्वर की आवश्यकता होने का कारण मुख्य रूप से आपकी गुप्त कुंजी की रक्षा करना है, जो स्ट्रिप आपको प्रदान करता है। आप अपने मोबाइल ऐप में एक गुप्त कुंजी एम्बेड नहीं करना चाहते हैं, जो इसके लिए शून्य सुरक्षा के बगल में प्रदान करता है। कोई भी आपके ऐप को आसानी से डिस्सेम्बल कर सकता है, भले ही यह खराब हो गया हो, और असहाय रूप से झूठ बोलने वाली गुप्त कुंजी को खोजने का प्रयास करें।

लिंक:

धारी साइट पर This Q&A यह स्पष्ट रूप से जवाब देता है, लेकिन बहुत विस्तार में जाने नहीं देता है।

This blog post प्रक्रिया अंत-टू-एंड बताता है, जो संदर्भ के लिए पढ़ने के लिए आपके लिए अच्छा हो सकता है।

वैकल्पिक:

1. Webtask stripe script (देखना भी main webtask page)।

2. Accepton भी काम कर सकता है।

... हालांकि, मैं आपकी खुद की स्थापना की अनुशंसा करता हूं ताकि आप जितना संभव हो उतना नियंत्रण बनाए रख सकें। HTTP और REST की परिभाषाएं और विवरण इस प्रश्न के दायरे से बाहर हैं, लेकिन बाकी ने आश्वासन दिया है कि यह काम करने के लिए कोड की मात्रा तुच्छ है (आपके भाग पर प्रारंभिक सीखने/प्रयास के बावजूद)।