我只是想知道是否可以在浏览器上显示Stripe帐户ID(对于Connect)和客户ID。有没有其他人通过获取ID而滥用其持有人的方式? (例如,将赚取的钱转移到他们的帐户或将此人的信息更改为攻击方法)
答案 0 :(得分:1)
来自帐户ID的所有敏感信息都需要您的条带密钥(或帐户的密钥,用于Connect帐户)。话虽这么说,如果对这些密钥的访问受到损害,让帐户ID随时可用只会使攻击者更容易。
使用公钥,我不确定您是否可以直接向用户添加卡。只需创建卡片令牌即可。
答案 1 :(得分:0)
我认为将带区带的accountIds暴露给客户端是完全可以的。就像其他人所说的那样,除非攻击者获得了您的秘密密钥,否则这些ID对攻击者毫无用处。
其他答案认为,公开的ID +泄露的机密会使攻击者更容易。没错,但是如果攻击者拥有您的秘密,无论如何您都会被搞砸。需要1个GET请求才能列出所有accountId。
答案 2 :(得分:0)
我认为条带连接的帐户ID与电子邮件地址类似。该电子邮件地址需要公开,以便其他人给您发送电子邮件。如果他们想阅读您的电子邮件,则需要您的登录名(例如密码)。