如何在不暴露密钥的情况下在客户端创建Stripe支付链接-js教程-PHP中文网

如何在不暴露密钥的情况下在客户端创建Stripe支付链接

聖光之護

发布： 2025-10-21 11:24:27

原创

706人浏览过

如何在不暴露密钥的情况下在客户端创建stripe支付链接

本文旨在解决在纯静态网站环境下，如何在不暴露Stripe密钥的情况下，利用客户端代码创建Stripe支付链接的问题。由于Stripe API创建支付链接需要密钥，直接在客户端操作存在安全风险。本文将探讨不可行性，并提供预生成固定链接或使用后端服务的替代方案，以及推荐使用Checkout Sessions处理动态购物车场景。

直接在客户端创建 Stripe 支付链接，而不暴露您的 Stripe 密钥，这是不可能的。 Stripe API 的设计要求使用密钥来进行身份验证和授权，创建支付链接的 API 调用也不例外。将密钥暴露在客户端代码中会带来严重的安全风险，攻击者可以利用这些密钥进行恶意操作，例如停用支付链接或进行未经授权的交易。

因此，在纯静态网站环境下，你需要考虑以下替代方案：

1. 预生成固定支付链接

对于销售固定数量的商品或服务，最简单的方案是提前在 Stripe 控制台中创建好支付链接。然后，您可以将这些链接直接嵌入到您的静态网站中。这种方法不需要任何服务器端代码，并且避免了在客户端暴露密钥的风险。

例如，您可以通过Stripe后台手动创建几个不同金额的支付链接，然后将这些链接嵌入到您的HTML代码中：

<a href="https://buy.stripe.com/your_payment_link_1">购买商品 A</a>
<a href="https://buy.stripe.com/your_payment_link_2">购买商品 B</a>

登录后复制

优点：

简单易用，无需后端开发。
安全性高，无需在客户端存储或处理密钥。

缺点：

不适用于动态购物车或个性化订单。
需要手动创建和管理支付链接。

2. 使用后端服务生成支付链接

如果您需要根据用户的购物车内容动态生成支付链接，则必须使用后端服务。后端服务可以安全地存储您的 Stripe 密钥，并代表客户端调用 Stripe API。

创客贴设计

创客贴设计，一款智能在线设计工具，设计不求人，AI助你零基础完成专业设计！

查看详情

以下是一个简单的 Node.js 示例，使用 Express 框架和 Stripe Node.js 库来创建支付链接：

const express = require('express');
const stripe = require('stripe')('YOUR_STRIPE_SECRET_KEY'); // 替换为您的 Stripe 密钥
const app = express();
app.use(express.json());

app.post('/create-payment-link', async (req, res) => {
  try {
    const { line_items } = req.body; // 接收来自客户端的购物车数据

    const paymentLink = await stripe.paymentLinks.create({
      line_items: line_items,
      after_completion: {
        type: 'redirect',
        redirect: {
          url: 'https://your-website.com/success?session_id={CHECKOUT_SESSION_ID}', // 替换为您的成功页面
        },
      },
    });

    res.json({ url: paymentLink.url });
  } catch (error) {
    console.error(error);
    res.status(500).json({ error: error.message });
  }
});

app.listen(3000, () => console.log('Server is running on port 3000'));

登录后复制

在客户端，您可以使用 fetch API 向后端服务发送请求，并获取生成的支付链接：

async function createPaymentLink(cartItems) {
  const response = await fetch('/create-payment-link', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json',
    },
    body: JSON.stringify({ line_items: cartItems }),
  });

  const data = await response.json();
  if (data.error) {
    console.error(data.error);
    return;
  }

  window.location.href = data.url; // 重定向到支付链接
}

登录后复制

优点：

可以处理动态购物车和个性化订单。
安全性高，密钥存储在后端服务器上。

缺点：

需要搭建和维护后端服务。
增加了开发的复杂性。

3. 使用 Checkout Sessions 代替 Payment Links

对于动态购物车场景，Stripe 推荐使用 Checkout Sessions 。 Checkout Sessions 提供了更灵活的支付流程，并允许您自定义支付页面。

Checkout Sessions 的使用方式与 Payment Links 类似，也需要在后端创建 Session，并将用户重定向到 Stripe 提供的支付页面。

总结：

在客户端创建 Stripe 支付链接而不暴露密钥是不可行的。您需要选择预生成固定链接或使用后端服务来处理动态购物车场景。对于动态购物车，推荐使用 Checkout Sessions，因为它提供了更灵活和可定制的支付流程。在选择方案时，请权衡安全性、复杂性和功能需求，选择最适合您项目的方案。务必妥善保管您的 Stripe 密钥，避免将其暴露在公共环境中。

以上就是如何在不暴露密钥的情况下在客户端创建Stripe支付链接的详细内容，更多请关注php中文网其它相关文章！