Stripe:创建只能收费/不能重定向资金/支付的受限密钥

Question

我必须创建一个条服务器，在K8s环境中运行收费。服务器将在一个容器中运行应该是安全的(著名的最后一句话.)，但是没有我想要的那么多，对这个问题也没有控制。

为了连接到条形和收费/开具发票，服务器将需要一个私钥。Stripe支持有限访问密钥，在我看来，这是一个比完全访问密钥更好的选择。当创建一个有限的访问密钥(需要一个条形帐户，然后可以使用例如https://dashboard.stripe.com/test/apikeys/create)时，可以将许多资源设置为none/read/ key。

我想知道哪一组权限是最小的，这样键：

• 允许：
  • 创建(并可能删除)客户
  • 为客户创建收费项目和发票。
  • 允许取消或退还客户

• 但是不允许：
  • 将资金转入其他账户
  • 会导致汇款/付款的任何其他交易

总之，如果密钥被泄露，只要攻击者不能从帐户中窃取/重定向资金，攻击者就可以免费获得产品(=服务)或随意退款。

Answer 1

看来你需要：

• Write for Customer
• Write for Charge和PaymentIntent

如果您希望允许处理与Subscription相关的事项，那么也要为Subscriptions设置Write。

为剩下的部分设置None。

注意，这并不意味着它是最好的最小权限集。您仍然需要尝试和错误它才能确定某些操作不能执行，例如尝试使用测试模式中的键进行支付，但是它应该会让您在正确的轨道上开始。