使用条带集成保护google firebase云函数

Question

我们正在使用谷歌云平台托管我们的条带支付网关。云函数将支付意图发送到stripe，并使用session对象发送stripe调用的回调。

在google云平台内部，我们不确定设置云功能的权限。现在，我们允许所有的公共访问，我们担心黑客可以从我们的index.js (云函数所在的地方)看到我们的密钥，或者有能力操纵index.js内部的代码。

有了上面描述的函数的目的，什么是最安全的权限设置，不允许任何公共用户读取或操作我们的函数？我们想要的就是允许用户调用函数，

​

​

谢谢

Answer 1

我已经使用Golang SDK和JavaScript SDK的组合为应用程序实现了条纹，我将其作为应用程序部署到Cloud Run。所以我的配置和你的略有不同。

您应该能够：

通过将的

1. 密钥保留为环境变量，以便JavsScript仅访问内存中的这些密钥，Stripe API提供了一些保护。您可能需要考虑在触发流的经过身份验证的处理程序和接受条纹回调的受限处理程序之间使用秘密Manager.
2. Differentiate。
3. 您可以使用云IAP (谷歌身份验证，要求用户是项目的一部分)或云端点和Firebase身份验证
4. ，您可以将对回调的访问限制为对条纹的端点的访问

我不是保安。

您所学到的知识将成为Stripe和GCP的一个有趣的客户故事。

Answer 2

看看这些人是如何实现他们的条带函数的，他们有一大堆https://functions.store