Я создаю платежный плагин для веб-сайта, где пользователи могут покупать внутреннюю валюту веб-сайта за реальные деньги. я использую серверную часть, которая обрабатывает процесс оплаты, это. Он предоставляет (помимо прочего) библиотеку JavaScript для связи с их API, поэтому вам не нужно позволять вашей системе касаться конфиденциальных платежных данных, таких как номера кредитных карт и т. д.
Проблема в следующем: на данный момент API-ключ, секретный хеш и другие уязвимые данные жестко запрограммированы только в мой скрипт, который инициирует связь с сервером. так что теоретически каждый несовершенный пользователь может просто скопировать их из браузера и делать с ним гадости, особенно если у них есть доступ к документации по API.
Итак, это небезопасно и определенно не может работать таким образом.
я работаю с cakephp, и я подумал о том, чтобы собрать эти чувствительные ключи с помощью некоторых вызовов ajax для моих контроллеров/моделей после нажатия кнопки отправки. Проблема в том, что это соединение не защищено и может легко стать «человеком посередине».
Существуют ли другие, более эффективные способы защиты моих ключей API в javascript?