>我只是想知道是否可以让 Stripe 账户 ID(用于连接(和客户 ID 在浏览器上可见。除了持有人之外,还有其他人可以通过获取身份证来滥用吗?(例如,将赚来的钱转移到他们的帐户或更改此人的信息作为攻击方法(
我认为向
客户端公开条纹帐户ID是完全可以的。正如其他人所说,除非攻击者获得您的密钥,否则这些ID对攻击者毫无用处。
其他答案认为,暴露的ID+泄露的秘密使攻击者更容易。这是真的,但如果攻击者有你的秘密,你无论如何都要搞砸了。需要 1 个 GET 请求才能列出所有帐户 ID。
所有来自账户 ID 的敏感信息都需要您的 Stripe 密钥(对于 Connect 账户,则需要账户的密钥(。 话虽如此,如果对这些密钥的访问受到损害,那么让帐户ID随时可用只会使攻击者更容易。
使用公钥,我不确定您甚至可以直接向用户添加卡片。只需创建卡令牌,然后不创建。
我认为条带连接的账户 ID 类似于电子邮件地址。电子邮件地址需要公开,以便人们向您发送电子邮件。如果他们想阅读您的电子邮件,他们需要您的登录名(例如密码(。