Ein Plugin zu Stripe Apps oder Stripe Connect migrieren
Erfahren Sie mehr über Ihre Migrationsoptionen und entscheiden Sie, wie Sie Ihr Plugin migrieren.
Verwenden Sie dieses Handbuch, um Ihre Drittanbieter-Integration, bei der sich Stripe-Nutzer/innen mit ihrem geheimen API-Schlüssel (auch als Plugin bezeichnet) authentifizieren müssen, zu Stripe Apps oder Stripe Connect zu migrieren.
Zuvor erlaubte Stripe Plugins, die Standard-API-Schlüssel eines Nutzers/einer Nutzerin anzufordern, um sie in ihre Produkte zu integrieren. Ab dem 30. September 2024 müssen alle Plugin-Entwickler/innen sichere Authentifizierungsmethoden (OAuth 2.0, eingeschränkte API-Schlüssel, Stripe Connect) verwenden, um Nutzer/innen vor Betrug zu schützen. Alle neuen und bestehenden Plugin-Entwickler/innen müssen zu einer dieser sicheren Autorisierungsmethoden wechseln, die von Stripe unterstützt werden.
Wenn Ihre Integration bereits Stripe Apps oder Stripe Connect verwendet, gilt dies nicht für Sie oder Ihre Nutzer/innen.
Wählen Sie Ihren Migrationspfad
Stripe bietet mehrere Lösungen für Entwickler/innen, die Plugins migrieren. Erkunden Sie die einzelnen Lösungen:
| Integrationstyp | Geeignet für | Entwickelt für |
|---|---|---|
| Stripe Connect | Ideal für Integrationen, die zentrale Plattformen oder Marktplätze sind | Entwickelt für Integrationen, die das Onboarding neuer Händler/innen durchführen, Zahlungen einbetten und Geldbewegungen verwalten |
| Stripe Apps | Ideal für Integrationen, die Stripe in Tools und Dienste von Drittanbietern integrieren möchten | Entwickelt für das Hinzufügen von erweiterten Funktionen für bestehende Stripe-Händler |
| Manuelles Einrichten von eingeschränkten API-Schlüsseln und Webhooks | Nur verfügbar, wenn Ihre Integration nutzerdefinierte Funktionen verlangt, die von Stripe Connect oder Stripe Apps nicht unterstützt werden | Entwickelt für Nutzer/innen, die jeweils manuell eingeschränkte API-Schlüssel und Webhooks erstellen müssen |
Checkliste für Entscheidungen vor der Migration
Lesen Sie die folgende Checkliste, um sich für den besten Migrationspfad für Ihre Integration und Ihre Nutzer/innen zu entscheiden:
Für das Onboarding neuer Nutzer/innen, die noch kein Stripe-Konto haben, ist oft die erstmalige Erstellung eines Stripe-Kontos notwendig, nur um Ihre Dienstleistung nutzen zu können. Wenn dies der Fall ist, sollten Sie Stripe Connect in Betracht ziehen, da der Onboarding-Ablauf es Nutzern/Nutzerinnen ermöglicht, direkt beim Onboarding ein Stripe-Konto zu erstellen.
Wenn Sie Ihre Integration für andere Plattformen verfügbar machen, ziehen Sie Stripe Apps in Betracht. Sie können Stripe Apps auf den meisten Stripe-Konten installieren, unabhängig von deren Verbindung zu anderen Plattformen. So können Sie Ihre Integration einer breiteren Basis zur Verfügung stellen.
Wenn Sie einen zentralisierten Dienst haben, bei dem Ihre Nutzer/innen eigenen Konten haben, sollten Sie Stripe Connect oder Stripe Apps in Betracht ziehen und die Plattform- oder OAuth 2.0-Authentifizierung verwenden. Durch Verwendung von Stripe Connect oder Stripe Apps wird sichergestellt, dass Ihre Nutzer/innen keine API-Schlüssel kopieren und einfügen müssen, was die Gesamtsicherheit deutlich erhöht und das Onboarding der Nutzer/innen vereinfacht.
Wenn Kundinnen/Kunden Ihre Integration selbst hosten, ist Stripe Apps mit der Authentifizierung mit eingeschränktem API-Schlüssel wahrscheinlich die beste Wahl. Sie müssen Ihren geheimen Schlüssel nicht auf nicht vertrauenswürdigen Servern speichern, was für Stripe Connect oder Stripe Apps mit Plattformauthentifizierung erforderlich ist.
OAuth 2.0 ist eine Option, erfordert jedoch erheblichen Mehraufwand, einschließlich des Hostings eines zentralen Backend-Servers, auf dem Ihre Nutzer/innen Konten erstellen, die URLs ihrer selbst gehosteten Backends speichern und OAuth-Token an diese Backends weiterleiten.
Wenn Sie Webhook-Ereignisse an Ihren eigenen Endpoints erhalten, sollten Sie Stripe Connect oder Stripe Apps in Betracht ziehen, indem Sie die Authentifizierungsmethoden der Plattform oder OAuth 2.0 verwenden, um eine zentrale Webhook-Konfiguration einzurichten. Dadurch können Sie Webhook-Ereignisse für alle Nutzer/innen ihrer verbundenen Konten erhalten.
Wenn Nutzer/innen Webhook-Endpoints an ihren eigenen eindeutigen Endpoints erhalten, weisen Sie sie an, wie sie diese Endpoints manuell konfigurieren. Dies ist bei selbst gehosteten Backends üblich. Wenn Sie einen speziellen Use case haben, der die Verwaltung nutzerdefinierter Webhook-Endpoints für Ihre Nutzer/innen über die API-Berechtigung
webhook_verlangt, wenden Sie sich an den Stripe-Support.write Die Verwendung der verbundenen Konten anderer Plattformen ist unüblich, aber in einigen Fällen sind Plugins so konzipiert, dass sie den transitiven Zugriff des geheimen API-Schlüssels einer Plattform nutzen, um API-Aufrufe im Auftrag der verbundenen Konten der Plattform zu tätigen. Derzeit ist die einzige unterstützte Option, dass Ihre Nutzer/innen eingeschränkte API-Schlüssel manuell erstellen. Bei der Erstellung des Schlüssels muss der/die Nutzer/in die entsprechenden Kontrollfelder aktivieren, um Berechtigungen für seine/ihre verbundenen Konten zu erteilen.
Umstellung auf Stripe Connect
Stripe Connect ist eine Lösung für zentralisierte Plattformen. Um Connect zu verwenden, müssen Sie einen Webdienst hosten, um Ihren API-Schlüssel sicher zu speichern und verbundene Konten zu verwalten.
Die Verwendung Ihres Plattform-API-Schlüssels erfordert, dass alle API-Anfragen an Stripe von Ihren Servern stammen, Ihren API-Schlüssel für die Authentifizierung verwenden und den Stripe-Account-Header verwenden, um das verbundene Konto anzugeben, in dessen Auftrag Sie handeln. Verwenden Sie anstelle von OAuth 2.0 die /v1/accounts API, um Zugriffstoken für jedes verbundene Konto sicher abzurufen. Ihre Server oder die Server Ihrer Kundinnen/Kunden können dann mit diesen Token API-Anfragen an Stripe stellen.
Stripe-Unternehmen können jeweils nur mit einer Connect-Plattform verbunden werden. Mit Connect können Sie das Onboarding von neuen Unternehmen direkt auf Ihrer Plattform durchführen. Unternehmen mit bestehenden Stripe-Konten, die Ihre Plattform nutzen möchten, müssen jedoch neue Konten erstellen, was zusätzliche Arbeit für Ihre Nutzer/innen bedeuten kann.
Weitere Informationen zur Migration von einem Plugin zu Connect finden Sie unter Erstellen einer Mehrparteienintegration mit Connect.
Umstellung auf Stripe Apps
Stripe Apps ist eine Plattform für Entwickler/innen, um Integrationen zu erstellen, die die Funktionalität von Stripe für Unternehmen und ihre Nutzer/innen erweitern oder verbessern. Diese Integrationen können das Verhalten von Stripe direkt anpassen oder Tools und Dienste von Drittanbietern mit Stripe verbinden.
Stripe Apps bietet auch einen Autorisierungsrahmen für den sicheren Zugriff auf Stripe im Auftrag von Unternehmen. Darüber hinaus enthält Stripe Apps Funktionen wie Erweiterungen der Nutzeroberfläche, die die Funktionalität und den Wert Ihres Plugins verbessern können.
Stripe Apps bietet drei Authentifizierungsmethoden für verschiedene Use cases:
- Plattform: Entwickelt für Stripe-native Integrationen, die als zentralisierter Service wie eine SaaS funktionieren. Für API-Anfragen sind der API-Schlüssel des Entwicklers/der Entwicklerin und der Stripe Account-Header erforderlich.
- OAuth 2.0: Verwendet das branchenübliche OAuth 2.0-Protokoll für die Service-zu-Service-Nutzerauthentifizierung. Diese Methode ist ideal für Integrationen, die bereits OAuth (früher bekannt als Connect Extensions) verwenden, und bietet zusätzliche Vorteile wie verbessertes Management, erhöhte Transparenz, Analysen usw. über die Stripe-Apps-Plattform.
- Eingeschränkte API-Schlüssel (RAK): Erzeugt automatisch eingeschränkte API-Schlüssel für jede App, die ein/e Nutzer/in installiert. Jede App erhält einen eindeutigen API-Schlüssel mit nur den erforderlichen Berechtigungen. Nutzer/innen müssen diesen Schlüssel weiterhin manuell kopieren und in Ihre Integration einfügen. Während diese Methode die Sicherheit erhöht, fügt sie zusätzliche Schritte für das Onboarding von Benutzern hinzu.
Authentifizierungstypen für Stripe Apps vergleichen
Bevor Sie Ihr Plugin zu Stripe Apps migrieren, vergleichen Sie die drei Authentifizierungsmethoden:
| Authentifizierung | Vorteile | Kompromisse |
|---|---|---|
| Plattform Standard |
|
|
| OAuth 2.0 empfohlen |
|
|
| RAK |
|
|
Wir empfehlen die Plattform- oder OAuth 2.0-Authentifizierung, da sie Ihren NUtzern/Nutzerinnen eine bessere Sicherheit und einen optimierten Onboarding-Vorgang bietet.
Eine Schritt-für-Schritt-Anleitung zur Migration von Plugins zu Stripe Apps finden Sie unter:
Migration zur manuellen Einrichtung von eingeschränkten API-Schlüsseln und Webhooks
Wenn weder Stripe Connect noch Stripe Apps Ihre Anforderungen erfüllen, können Nutzer/innen ihre Integration in Ihren Dienst manuell einrichten.
Um zu migrieren und die Sicherheitsanforderungen von Stripe einzuhalten, müssen Sie wie folgt vorgehen:
- Einrichtung dokumentieren: Stellen Sie Anweisungen für Unternehmen bereit, um einen eingeschränkten API-Schlüssel zu konfigurieren, der nur über die erforderlichen Berechtigungen verfügt.
- API-Schlüssel validieren: Stellen Sie sicher, dass Unternehmen eingeschränkte API-Schlüssel bereitstellen, die mit dem Präfix
rk_, nichtsk_beginnen. - (Optional) Dokumentieren Sie die Webhook-Einrichtung: Anleitung für Unternehmen zum Einrichten von Webhook-Endpoints, um Daten an die richtige Adresse zu senden.
Notiz
Diese Authentifizierungsmethode führt manuelle Onboarding-Schritte für Unternehmen ein und bietet nicht die Vorteile von Stripe Connect und Stripe Apps.