构建一个HTML小部件来嵌入付费内容-如何确保与后端的通信安全

我正在创建一个小部件，当页面访问者付款时，它会显示内容。我在小部件内处理付款表单，并使用Stripe进行信用卡处理、收费等。

我的问题是：我想让用户更容易为内容付费，现在，我是我的工作概念证明我只要求电子邮件，然后：

• 检查我的系统上是否已经有此电子邮件，与我的API服务器检查是否有此产品的相关付款，然后让用户访问内容
• 如果系统中不存在电子邮件，则会创建该电子邮件，并且只返回Stripe可发布密钥
• 如果电子邮件存在，但没有与此产品相关的付款，只需返回Stripe可发布密钥即可
• 当小部件获得Stripe密钥时，它会显示用于获取Stripe令牌的支付（信用卡）表单，并且该令牌与电子邮件一起发送回我的API服务器。如果一切正常，那么小部件将检索内容并将其显示给用户

现在，问题是：除了使用HTTPS之外，如何确保小部件和服务器之间的通信安全？我已经支持应用程序id/secret对，如何使用它们来验证从小部件到服务器的请求？该小部件将插入任意域上的页面中，因此使用Referer/Origin标头是不可能的。

我不认为这真的很重要，但如果有帮助的话，我会使用Django 1.7和Django Rest Framework 3.0.5。

谢谢！