Stripe payments 条带密钥安全？

我有一个开发人员为我建立了一个网站，他已经工作了大约一个月了。他做得很好，看起来很棒。也许我有点偏执，也许我没有，但这是我第一次涉足在线业务。他需要我的条带api密钥和密钥。把编码端的秘密钥匙给他安全吗？他两个都要。我只是想知道我是否会被骗到某个地方，却不知道这是从自由职业者那里得到的。或者被骗，为时已晚……对不起，我大部分时间都在给文盲编码。如果在他创建任何基金或网站后，我必须采取任何措施确保其安全；请让我知道。

如果他是您的开发人员，那么他需要两把钥匙。下面是有关这些键及其功能的更多信息

---

对于Stripe和许多其他类似的API系统，有两组密钥。一个用于测试/开发，不进行任何实际的现场工作。另一个是liveset，它将访问liveapi，并允许拥有密钥的人充当您的业务

在一个理想的、安全的组织中，您可以将活动和测试端完全分开。开发人员将无法访问实时站点，因此根本无法访问实时密钥。不在UI中，不在数据库中，什么都没有。这将该漏洞限制为仅限于那些被指派保持实时站点运行的人

因为你和一个自由职业者一起工作，所以有点模糊。我假设你没有一个内部团队来处理现场的维护工作。如果是这样的话，那么即使你在发布期间自己插入实时密钥，自由职业者也可能是你联系的解决问题的人，届时他们无论如何都可以访问密钥

---

但是，如果自由职业者不是维护或支持网站的人，那么最好的做法是他们在网站后端为您提供一个位置，您可以在向公众开放网站之前自己输入实时密钥。同样，如果自由职业者在网站发布后无法访问该网站，那么这只是提供安全性的东西。

这并不完全准确。他们需要两个测试密钥来进行测试。他们永远不应该需要你的实时密钥。如果开发者是发布和托管的人，他将需要实时密钥。他说他不懂代码，所以一旦网站上线，就需要安装现场密钥。取决于开发人员如何实现这些键，取决于需要多少参与。但是从声音上看，听起来他完全不需要这些东西的钥匙，假设他们创建了一个方法让所有者自己输入，然后启用前端。然而，正如我在回答中详述的那样，如果开发者能够访问发布后的站点和/或数据库，那么这种方法的安全性是毫无意义的。谢谢大家的回复。我是一个不懂编码的人，但即使涉及到编码，我也非常了解如何遵循指令。也许我应该做一把新钥匙和一把秘密钥匙，让他指示我自己输入钥匙？我确实买了一个托管域名。