Ios 我对条带流的自定义是否安全？_Ios_Stripe Payments

Ios 我对条带流的自定义是否安全？

ios stripe-payments

Ios 我对条带流的自定义是否安全？,ios,stripe-payments,Ios,Stripe Payments,我正在努力连接我的iOS Swift应用程序以处理付款。下面是我找到的一个流程图，其中包含了将Stripe与iOS应用程序集成的传统流程图。这是：我想知道是否可以将此流程图更改为以下步骤： [从电话到web服务器]发送包含预订信息的请求令牌 [从web服务器到条带]发送存储在web服务器上的信用卡数据 [从条带到web服务器]返回令牌 [从web服务器到条带]发送回令牌，确认交易 [从条带到web服务器]事务响应 [从web服务器到电话]事务响应显然，主要的区别是首先将带有预订请求信息的令牌

我正在努力连接我的iOS Swift应用程序以处理付款。下面是我找到的一个流程图，其中包含了将Stripe与iOS应用程序集成的传统流程图。这是：我想知道是否可以将此流程图更改为以下步骤：

[从电话到web服务器]发送包含预订信息的请求令牌

[从web服务器到条带]发送存储在web服务器上的信用卡数据

[从条带到web服务器]返回令牌

[从web服务器到条带]发送回令牌，确认交易

[从条带到web服务器]事务响应

[从web服务器到电话]事务响应

显然，主要的区别是首先将带有预订请求信息的令牌发送到web服务器，而不是将信用卡数据发送到stripe。这避免了不断地向用户询问他们的信用卡信息，因为这些信息存储在web服务器上。这看起来安全吗

你的建议是个坏主意，而且没有抓住要点

如果您在服务器上存储信用卡数据，则必须符合PCI标准。（这实际上也可能违反Stripe的条款和条件；我不确定，但你应该检查并询问律师。）这也会给你带来很多潜在问题。想象一下，如果有一天你的服务器遭到黑客攻击。如果你身处一个有争议的地方，或者是一个有很多隐私法律法规的地方（比如欧洲或美国），那么如果卡信息被盗，你的生活会比只有代币被盗更糟糕

使用Stripe API生成客户并将该卡与该客户关联，而不是存储卡数据。存储这些API调用生成的ID，而不是原始卡数据。然后，使用条带生成的客户ID，您可以对该卡进行收费，但不必自己存储卡数据。

您的建议是一个坏主意，它忽略了条带的意义

我想@MarkKeane已经修改了他的图表？看起来它现在正在存储ID（或者如果它主要是购买令牌，还可以选择存储客户ID），我想@MarkKeane已经修改了他的图表？看起来它现在正在存储ID（或者如果是Stripe，它主要是购买令牌，还可以选择存储客户ID）