Stripe API引用说明了有关authentication的信息:

他们给出的示例是这样的:

require "stripe"
Stripe.api_key = "sk_test_BQokikJOvBiI2HlWgH4olfQ2"

在Stripe网页上的帐户设置中可以找到sk_test_BQokikJOvBiI2HlWgH4olfQ2 secret key 。我了解这是我的应用程序与Stripe对话的 secret api key 。

但后来我在getting started with Stripe Connect上阅读了此文档:
When using our official API libraries, we recommend that you pass in the
access_token with every request, instead of setting the API key globally.
This is because the access_token used in any API request depends on the user
you're charging on behalf of.

他们给出的示例是:
# Not recommended: setting global API key state
Stripe.api_key = ACCESS_TOKEN
Stripe::Customer.create(
  :description => "[email protected]"
)

# Recommended: sending API key with every request
Stripe::Customer.create(
  {:description => "[email protected]"},
  ACCESS_TOKEN # user's access token from the Stripe Connect flow
)

在此,在用户通过Stripe Connect连接到应用程序之后,访问 token 将返回给应用程序。访问 token 可用于代表该用户执行操作,例如为他们的卡充值。

因此,它们在每次请求时都传递API key ,但是为什么用户的访问 token 将成为api key ?我从第一个文档中认为api key 应该是我的应用程序的 secret api key ?相反,他们正在设置用户的访问 token 。如果我设置用户的访问 token 而不是我自己的 key ,Stripe将如何识别我的应用程序?

然后,我阅读了他们的有关将Stripe Checkout与Sinatra集成的示例。他们给出的代码示例是:
require 'sinatra'
require 'stripe'

set :publishable_key, ENV['PUBLISHABLE_KEY']
set :secret_key, ENV['SECRET_KEY']

Stripe.api_key = settings.secret_key

....

get '/' do
  erb :index
end

post '/charge' do
  # Amount in cents
  @amount = 500

  customer = Stripe::Customer.create(
    :email => '[email protected]',
    :card  => params[:stripeToken]
  )

  charge = Stripe::Charge.create(
    :amount      => @amount,
    :description => 'Sinatra Charge',
    :currency    => 'usd',
    :customer    => customer.id
  )

  erb :charge
end

因此,在这种情况下,他们将API key 设置为应用程序的 secret key 。他们也不在请求中传递任何访问 token 。所以我有些困惑,为什么在以前的文档中将访问 token 设置为 secret API key ,或者为什么当他们的所有示例文档甚至都没有这样做时,为什么我应该随每个请求传递它。

最佳答案

要了解这一点,您首先应该知道Stripe API可用于构建可为两种受众提供服务的应用程序:

  • 接受来自最终用户作为商家的付款(正常用例)和
  • 为具有自己的Stripe的商家提供附加服务
    帐户(例如,一项服务可以帮助我配置要在不同的Stripe事件中发送的电子邮件)

  • 因此,可以通过两种方式对所有API端点进行授权:
  • 您可以直接从“帐户设置”中获取的API key 方式。这标识您的Stripe帐户
  • 通过Stripe Connect的访问 token 方式。这标识了关联商家的Stripe帐户。

  • Stripe Connect文档告诉您的是,假设您正在构建一个服务于上述用例#2的应用程序,那么您必须记住要使用正确的访问 token 授权每个API调用,并且不要使用全局API key (顺便说一句,用例1)完全可以接受,因为您可能错误地更改了错误的帐户。

    因此,如果要使用用例1,则完全不必担心Stripe Connect。

    关于ruby - Stripe Access token 和API SK key 有什么区别?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/24708503/

    10-13 09:22