构建一个HTML小部件来嵌入付费内容-如何确保与后端的通信安全
Building an HTML Widget to embed paid content - how to secure communication with the backend?
我正在创建一个小部件,当页面访问者付款时,它会显示内容。我在小部件内处理付款表单,并使用Stripe进行信用卡处理、收费等。
我的问题是:我想让用户更容易为内容付费,现在,我是我的工作概念证明我只要求电子邮件,然后:
- 检查我的系统上是否已经有此电子邮件,与我的API服务器检查是否有此产品的相关付款,然后让用户访问内容
- 如果系统中不存在电子邮件,则会创建该电子邮件,并且只返回Stripe可发布密钥
- 如果电子邮件存在,但没有与此产品相关的付款,只需返回Stripe可发布密钥即可
- 当小部件获得Stripe密钥时,它会显示用于获取Stripe令牌的支付(信用卡)表单,并且该令牌与电子邮件一起发送回我的API服务器。如果一切正常,那么小部件将检索内容并将其显示给用户
现在,问题是:除了使用HTTPS之外,如何确保小部件和服务器之间的通信安全?我已经支持应用程序id/secret对,如何使用它们来验证从小部件到服务器的请求?该小部件将插入任意域上的页面中,因此使用Referer
/Origin
标头是不可能的。
我不认为这真的很重要,但如果有帮助的话,我会使用Django 1.7和Django Rest Framework 3.0.5。
谢谢!
您可以使用一个名为CoinTent的api。它的子座右铭是"用一个账户和一次点击以小价格购买单个内容。"。。。
相关文章:
- Amd,希望确保某个东西总是最后执行
- 如何在读取XLS/XLSX本地文件时,使用IE的javascript代码启用未标记为安全的ActiveX控件
- 使用javascript存储变量的最安全方式
- 是否存在React Native“;WEB代码安全防护”;
- 内容安全策略:页面's设置阻止加载资源
- 如何使用HTML5与UDP套接字通信
- firefox插件和dev/panel之间的通信
- 构建一个HTML小部件来嵌入付费内容-如何确保与后端的通信安全
- 用于客户端-服务器通信和安全的 API 密钥
- 如何从(ny)网页到Chrome扩展进行安全通信
- Chrome 扩展程序与移动设备之间通过本地网络进行安全通信
- 如何确保只有我自己的网站(客户端代码)可以与Firebase后端通信
- 如何通过XMLHttpRequest确保对Java Servlet的Javascript调用的安全,从而在手动将url输
- 确保HTTP API的安全-无用户密码提示,避免暴露私钥
- 确保javascript前端/REST后端架构网站安全的最佳方法
- Object.getPrototypeOf(val). tostring()确保DOM类型安全吗?
- 如何在客户端angular应用中确保真正的安全
- JavaScript和PHP中的Web服务之间的安全通信
- 将OAuth令牌通信到javascript客户端的安全方式
- 从安全 (https) 互联网网站内通过 http 与 LAN 设备通信