paypal - PayPal 用户名、密码和签名是否安全且私密？

Question

我正在开发网络服务，一个用户（公司）可以直接从另一个（公司的客户）接收付款。目前公司需要输入其 PayPal 用户名、密码和签名才能通过 express checkout api 接收付款。用户（在我的例子中是公司）会在远程站点上输入他们的 PayPal 凭据还是安全信息是否正常？我找不到任何关于它的信息。但我发现，一些服务以同样的方式工作：

• http://www.getharvest.com/help/invoices-and-estimates/online-payment-and-gateways/paypal-website-payments-pro
• http://support.getresponse.com/faq/how-find-api-login-data-paypal
• help.wildapricot.com/display/DOC/PayPal+Payments+Pro 我还找到了另一种接收直接付款的方式 - 生成按钮（在 PayPal 网站上或手动），您只需要卖家的 PayPal 电子邮件。这些方法有什么区别，它的优缺点是什么？

Answer 1

是的，它们被认为是私有的。由于它授予您对所有 API 操作的访问权限，因此它也可用于清空您的 PayPal 帐户。

我建议不要收集 API 凭据，而是使用“第三方权限”。
这意味着最初通过弹出对话框请求帐户持有人的许可。授予后，您将收到一个访问令牌。然后可以将此访问令牌包含在 API 调用的 HTTP 标头中，以代表客户进行调用。

您的用户可以手动授予您权限（他们需要登录到他们的 PayPal 帐户并导航到他们个人资料中的正确部分），或者，如果您想让它更容易，您可以实现“权限 API”。

我建议查看https://developer.paypal.com/webapps/developer/docs/classic/products/permissions/了解更多信息。

要开始使用，请通过https://apps.paypal.com/使用 PayPal 注册“应用程序” 。
确保您请求访问权限服务并收到应用程序 ID。

这将是 Live 环境的 AppID。对于沙盒，您可以使用 APP-80W284485P519543T。