我正在使用 react native 和 Stripe api 开发一个应用程序,以处理有关用户及其信用卡的所有敏感信息。
我正在尝试管理应用程序内的数字钱包:一个用户可以添加/删除或查看他们自己的卡片列表(直接在移动应用程序内)。我对这一点很困惑。现在我使用我的服务器端作为我的应用程序和 Stripe 之间的中介。
例如,要添加信用卡,我可以使用表单插入卡信息,然后创建令牌,最后将该令牌发送到我的服务器端 (POST /users/cards body:{tokenId}) 端点,使用该端点stripe.createSource({ customerId, tokenId }),我可以将卡片保存到客户对象(在我的数据库中,我只存储客户 ID)。
为了删除一张卡片,我使用我的服务器的这个端点:DELETE users/user_id/cards/card_id这个端点用来stripe.deleteCard({ customerId, cardId })从客户那里删除指定的卡片。
为了获取卡片列表:GET users/cards/和端点使用stripe.listCards(customerId)。
我的问题是:我可以这样做吗?有更好的解决方案吗?这是 PCI 合规性吗?我可以使用我的服务器作为我的客户和 Stripe 之间的中间人吗?第二点很简单:在结账阶段(在客户端)我如何让用户选择用于支付的信用卡并用它创建一个令牌?我可以在 POST 请求中将 cardId 发送到我的服务器吗?它安全吗?