的Plaid Link API documentation指出,一個成功的格紋鏈接的結果返回具有以下屬性的public_token
:格紋訪問令牌是祕密嗎?
一旦用戶通過格子鏈接成功onboarded,該模塊將 提供public_token。這與典型的格式API 請求不同,後者返回access_token。
是安全的應用程序或瀏覽器暴露
不能用於檢索帳戶和路由的數字(AUTH)或事務(連接)直接
可用於通過ACCESS_TOKEN格子交換 /exchange_token端點。
推測,這與access_token
相反,這意味着access_token
是一個祕密。但是,據我所知,every Plaid endpoint需要access_token
還需要客戶端ID和secret
值。
假設secret
實際上是保密的,揭露訪問令牌在理論上是安全的嗎?如果不是,我錯過了什麼?如果是這樣,公衆令牌有什麼意義?
我不再在Square工作了,所以我不能訪問我關於這個主題的電子郵件,但我記得得到格子工程師的完全相反的回答,所以我很想知道混淆的地方在哪裏。我認爲我們都是在假設訪問令牌與特定客戶(並因此是祕密)相關的情況下運營的。您的評論表明情況並非如此。這是否意味着我可以使用由我的客戶創建的訪問令牌與其他人的客戶機密? – Troy