我只是想知道是否可以在浏览器上显示Stripe帐户ID(对于Connect)和客户ID。有没有其他人通过获取ID而滥用其持有人的方式? (例如,将赚取的钱转移到他们的帐户或将此人的信息更改为攻击方法)
来自帐户ID的所有敏感信息都需要您的条带密钥(或帐户的密钥,用于Connect帐户)。话虽这么说,如果对这些密钥的访问受到损害,让帐户ID随时可用只会使攻击者更容易。
使用公钥,我不确定您是否可以直接向用户添加卡。只需创建卡令牌即可。
我认为将条带accountIds暴露给客户端是完全正常的。像其他人所说的那样,除非攻击者获得你的密钥,否则这些ID对攻击者毫无用处。
其他答案认为暴露的ids +泄露的秘密使攻击者更容易。这是真的,但如果攻击者有你的秘密,那你无论如何都要搞砸了。需要1个GET请求才能列出所有accountIds。