wordpress - pruebas - woocommerce paypal 2018

Credenciales de Paypal API, preocupación de seguridad (2)

Bueno, siempre puedes generar botones de pago dinámicos (similar a lo que hace el asistente en paypal) en función de los parámetros que tu usuario ingresa en tu complemento y usa el punto final de pago exprés. Pero perderás algunas características (como la personalización completa del pago) proceso)

Estoy desarrollando un plugin de WP que permitirá pagos y facturación de Paypal. Este complemento permitirá a los usuarios usar sus propias cuentas Paypal al aceptar pagos.

Lo que entiendo hasta ahora es que necesito usar REST para habilitar la API de Facturación. Entonces me deja con dos opciones:

Permita que los usuarios creen su propia aplicación e ingresen la identificación del cliente y la clave secreta en la configuración del complemento.
Usar mi propia aplicación que creé (solo para este propósito) e ir con Pago a terceros en su lugar: http://paypal.github.io/PayPal-PHP-SDK/sample/doc/payments/CreateThirdPartyPayment.html

Mi preocupación por la primera es que al guardar las claves en la base de datos y su sitio se vea comprometido de alguna manera, los hackers pueden ejecutar la API en nombre de su aplicación.

El segundo mostrará las claves secretas en el archivo del complemento en sí, pero de nuevo, dado que la aplicación solo se utilizará para este fin y el beneficiario / comerciante solo se especificará en la configuración del complemento, supongo que está bien. Otra ventaja sería que el usuario no necesita crear su propia aplicación.

¿Cuál es mejor de los dos o quizás puedas recomendar una tercera opción?

¡Gracias!

Almacene las claves de la API en su base de datos pero eliminelas y córtelas porque son contraseñas. Como está utilizando un CMS de terceros, debe suponer que, tarde o temprano, tendrá un exploit de día cero y, tarde o temprano, tendrá un hacker con acceso de administrador a su administrador de CMS. Diseña tu base de datos y complementos con este hecho en mente.