适用对象是谁？

这适用于任何已经通过第三方集成使用其 Stripe API 私钥进行验证的商家。这些集成通常被称为插件，但也可以有其他名称。Stripe 将插件定义为第三方解决方案和 Stripe 之间的任何集成应用，要求用户使用其 API 私钥进行身份验证。插件通常通过进行 API 调用或代表用户对 Stripe API 事件做出反应来与 Stripe API 进行交互。通常，插件运行代码以便 Stripe 可以与其他软件交互（例如在 Wordpress 上接受付款），但它们也可能采取其他形式，如开源库。

正在发生什么变化，为什么？

Stripe 正在提高我们对插件开发者及其用户的安全要求。API 私钥可以无限制地用于任何种类的 API 请求，并给予第三方对用户的 Stripe 账户的全部访问权。它们是账户凭证的一种形式，和用户名与密码一样。如果不良行为者获得密钥，他们可以用它来损害商家的业务和 Stripe 生态系统中的其他方。Stripe 用户有责任保证 API 私钥的安全。Stripe 采取了许多预防措施来确保 API 私钥得到保护。

大多数插件不需要所有的访问权限，而是一个有限的集合。在当今世界，当开发者要求用户手动将他们的账户凭据复制到第三方平台上时，就会引入风险。为了降低用户、开发者和 Stripe 的欺诈风险，我们要求开发者使用受限 API 密钥或 Oauth 进行插件认证。

2024 年 1 月 1 日，Stripe 为 Stripe 应用增加了对受限 API 密钥和 OAuth 2.0 验证的支持，使插件能够在生态系统中更安全地运行。这一安全更新不仅有助于符合 Stripe 的最新安全标准，还使这些第三方集成上的商家能够对其业务和数据有更多的控制。

这些变动何时生效？

2024 年 9 月 30 日，Stripe 要求所有插件开发者采用新的安全验证方法（受限 API 密钥、OAuth 2.0 或 Stripe Connect）来保护用户免受欺诈。所有现有的和新的插件开发者必须使用这些新的安全授权方法之一。对于那些选择通过 Stripe 应用程序使用受限 API 密钥或 OAuth 2.0 的开发者，他们的应用程序在发布到 Stripe 应用市场之前必须经过 Stripe 的审查和批准。

2024 年 10 月 29 日，Stripe 将开始要求所有使用插件的商家通过使用受限 API 密钥或 OAuth 2.0 进行验证来升级其连接的安全性。这是一次计划中的升级，旨在增强 Stripe 第三方集成应用的整体安全性并遵守 Stripe 的最新标准。从 2025 年 6 月开始，Stripe 将对不符合这一安全要求的商家收取费用。

为什么要使用受限 API 密钥或 OAuth？

为了获得更好的安全性和控制，在使用第三方服务进行身份验证时，使用受限 API 密钥或 OAuth 2.0 而不是私钥是非常重要的。受限 API 密钥通过为商家提供对授予第三方权限的精确控制来提高安全性，确保第三方服务仅访问必要的数据和操作。OAuth 2.0 是一种一键式令牌化授权，商家提供给第三方进行集成。与受限 API 密钥类似，OAuth 2.0 为您授予第三方的权限的过程提供了更多的控制和保护。这些选项不仅加强了对未经授权的访问和欺诈的保护，还简化了操作，使集成对您来说更加高效和可靠。

Stripe 应用和安全授权

2024 年 1 月 1 日，Stripe 为 Stripe 应用引入了额外的功能，使插件授权更简单、更安全。Stripe 应用无缝同步系统间的数据，简化身份验证，并可选择在 Stripe 管理平台中显示相关用户界面。所有新的和现有的插件开发者必须通过 Stripe 应用程序构建 OAuth 2.0 或受限 API 密钥授权。所有 Stripe 应用在发布到 Stripe 应用市场之前都会经过审查，以获得准确的权限。执行这些安装步骤，安装由第三方创建的应用程序，可确保仅访问 Stripe 数据的必要部分。

使用 OAuth 进行身份验证

使用 RAK 进行身份验证

商家如何自助更新其安全性

如果您的插件开发者没有更新到 Stripe 应用，您可以自己为您的集成生成一个受限的 API 密钥。遵循以下步骤设置并集成新密钥：

1. 导航到管理平台中的 API 密钥部分。
2. 启动新受限密钥，或者克隆现有受限密钥。
   1. 点击“创建受限密钥”重新开始。默认情况下，所有权限都设置为“无”。
   2. 从您想要克隆的密钥选项中选择“复制密钥”。所克隆密钥的权限被预先设置为新密钥的默认权限。
3. 用您使用的插件名称明确地为您的密钥命名。例如，如果您在 rocketrides.com，您可以将您的密钥命名为“RocketRides 受限密钥”。
4. 调整每个资源的权限，可以选择“无”、“读取”或“写入”。如果使用 Stripe Connect，请指定 Connect 子账户的权限。
5. 点击“创建密钥”，以生成新受限 API 密钥。
6. 通过邮件或短信验证您的操作，然后输入验证码以完成该流程。
7. 复制新显示的密钥值——请记住，这是您复制此密钥值的唯一机会。
8. 记下您保存此密钥的位置，然后点击“完成”。

通过执行这些步骤，您可以确保与第三方服务安全集成，从而充分利用 Stripe 的功能。

新的 API 密钥之旅

一些用户可能会体验到不同的 API 密钥创建过程。如果适用，请遵循以下步骤：

1. 导航到管理平台中的 API 密钥部分。
2. 点击“创建受限密钥”。
3. 选择“向另一个网站提供此密钥”，然后点击“继续”。
4. 输入第三方应用程序或插件的名称和 URL。
5. 除非另有说明，否则请勿选中“自定义此项的权限”。
6. 点击“创建受限密钥”。
7. 通过邮件或短信验证您的操作，然后输入验证码以完成该流程。
8. 复制新显示的密钥值。
9. 将密钥放置在第三方设置的相应字段中以进行集成。

使用 Stripe Connect Onboarding 进行重新认证

或者，您的插件可以允许您使用 Stripe Connect Onboarding 关联到您的 Stripe 账户。如果可以，请按照以下方法执行操作：

1. 转到您想要与 Stripe 账户关联的插件网站或管理平台。
2. 查找支付或集成部分。您的目标是找到“连接 Stripe”选项。
3. 点击“连接 Stripe”按钮。您将被重定向到一个安全的 Stripe 登录页面。
4. 使用凭证登录 Stripe 账户。
5. 如果可用，查看您打算授予插件的权限。相应权限选项会概述插件可以对您的 Stripe 账户执行的操作。
6. 要授予插件访问权限，请点击“授权访问”。
7. 授权后，Stripe 将确认插件现在已关联到您的账户。
8. 最后，您将被重定向到插件网站或管理平台。

更新您的 WooCommerce Stripe 插件

Stripe 和 WooCommerce 正在合作，以确保我们的共享客户使用增强的安全措施，并获得 WooCommerce Stripe 插件的最新功能，如“先买后付”功能。

所有使用 WooCommerce Stripe 插件的商家必须在 2024 年 10 月 29 日前完成以下工作：

1. 将 WooCommerce Stripe 插件更新至最新版本 8.6.1
2. 重新验证您的网站与 Stripe 平台的连接。
3. 开通全新结账体验。

一些 WooCommerce Stripe 插件客户正在使用 Sources API 接受支付方式，这是一个旧的集成，即将被关闭。为了继续安全地接受付款并避免客户发生中断，这些客户必须在 2024 年 10 月 29 日之前完成上述步骤。

请参阅 WooCommerce 的文档来执行这些步骤。WooCommerce 在其 Stripe 插件的公共支持论坛的帖子中，提供了最常见问题的答案。