java - 最终用户可以使用哪些 Braintree 业务对象 ID
问题描述
Braintree API 向业务对象返回各种内部 ID,包括Subscription、Plan、PaymentMethod等的 ID。与最终用户的应用程序(在用户设备上运行的前端代码)共享这些 ID 是否存在任何安全问题?(最终用户不会看到这些 ID,但它们会通过网络传输。)
详细示例:
用户向应用程序添加付款方式。App 服务器将请求转发给 Braintree,例如:
val result = gateway.paymentMethod.create(
new PaymentMethodRequest()
.customerId(user.billing.get.braintree.customerID)
.paymentMethodNonce(nonce)
.billingAddressId(user.billing.get.braintree.addressID.get)
.options()
.makeDefault(true)
.verifyCard(true)
.failOnDuplicatePaymentMethod(false)
.done()
)
然后对结果进行如下处理:
Option(result.getTarget)
.map {
case card: CreditCard =>
braintreePaymentMethod(
card.getClass.getCanonicalName,
card.getToken,
card.getImageUrl,
card.isDefault,
"ending " + card.getLast4
)
}
.getOrElse(throw Payments.Exception.Braintree(result.getMessage))
card.getToken返回支付方式的令牌,如接口:
public interface PaymentMethod {
String getToken();
boolean isDefault();
String getImageUrl();
String getCustomerId();
List<Subscription> getSubscriptions();
}
获取到的上述tokengetToken然后用于检查支付方式的存在,并用于移除、列出和更新支付方式。
在内部,在应用程序中,此令牌也可用于识别付款方式。
回顾:与用户共享此令牌是否存在任何安全问题?
解决方案
Braintree 标识符和令牌对用户不感兴趣或不相关。没有理由分享它们。卡片的最后 4 个是您需要展示的所有内容,以供日后参考。
推荐阅读
- c++ - OpenGL Instanced 渲染形状搞砸了
- java - 从 Vaadin ListBox 重新加载和删除
- javascript - 用新整数 JavaScript 替换计算器中的错误消息
- docker - 在 ubuntu 上使用 apache 运行 docker gitlab
- r - 如何使用 dummyVars 包扩展带有虚拟变量的数据框?
- git - 无法使用 Github 桌面创建本地存储库
- curl - Windows 上的 CURL 没有响应
- vba - 当与您的 chrome 版本匹配的 chromedriver 尚未推出时,您会怎么做?
- powershell - Powershell cat 命令 - 为什么输出文件大小远大于输入文件大小的总和?
- thinkscript - 如何将特定烛台的 ATR 保留在变量中,而不随每个新烛台而改变