我正在为一个网站构建一个支付插件,用户可以在其中用真钱购买一些网站实习生货币。我使用的处理付款过程的后端是这个。它(除其他外)提供了一个 JavaScript 库来与他们的 API 进行通信,因此您不必让您的系统接触敏感的支付数据,如信用卡号码等。
问题是:目前,api-key、秘密哈希和其他易受攻击的数据被硬编码到我的脚本中,该脚本启动了与服务器的通信。所以理论上每个半血统用户都可以将它们从浏览器中复制出来,并可以用它做讨厌的事情,特别是如果他们可以访问 api 文档。
所以,这是不安全的,它绝对不能以这种方式生活。
我正在使用 cakephp,我想在按下提交按钮后通过对我的控制器/模型的一些 ajax 调用来收集那些敏感的键。问题是,这种连接不安全,很容易成为“中间人”。
还有其他更好的方法来保护我在 javascript 中的 API 密钥吗?