ユーザーが実際のお金でウェブサイトのインターン通貨を購入できるウェブサイト用の支払いプラグインを構築しています。支払いプロセスを処理する私が使用するバックエンドはthisです。APIと通信するためのJavaScriptライブラリを(他に加えて)提供するため、システムがクレジットカード番号などの機密の支払いデータに触れる必要はありません.
問題は、今のところ、API キー、シークレット ハッシュ、およびその他の脆弱なデータが、サーバーとの通信を開始するスクリプトにハードコードされていることです。したがって、理論的には、すべての半血統のユーザーはブラウザーからそれらをコピーするだけで、特にAPIドキュメントにアクセスできる場合は、それを使って厄介なことをすることができます.
したがって、これは安全ではなく、この方法でライブに移行することは絶対にできません。
私は Cakephp を使用しており、送信ボタンを押した後、コントローラー/モデルへのいくつかの ajax 呼び出しでこれらの機密キーを収集することを考えました。この接続は保護されておらず、簡単に「中間者」になる可能性があるという問題があります。
JavaScript で API キーを保護するための他のより良い方法はありますか?