1
我只是想知道是否可以使Stripe帳戶ID(用於連接)和客戶ID在瀏覽器上可見。有沒有辦法通過獲取ID來誤用持有人以外的人? (例如,將賺到的錢轉移到他們的賬戶或者改變他人的信息作爲攻擊的方法)條紋連接帳戶ID,客戶ID安全問題
A
回答
1
所有來自賬戶ID的敏感信息都需要您的Stripe Secret Key(或賬戶連接賬戶的密鑰)。話雖如此,如果對這些密鑰的訪問受到損害,讓賬戶ID隨時可用,這對攻擊者來說更容易。
使用公鑰時,我不確定你甚至可以直接向用戶添加一張卡片。只需創建卡片標記,而不是。
相關問題
- 1. 如何創造客戶後檢索條紋對象條紋客戶ID
- 2. 條紋平衡交易連接帳戶
- 3. 條紋連接和託管帳戶
- 4. 條紋 - 連接到獨立帳戶
- 5. Android:用戶ID帳戶(不ID電話)
- 6. 的Solaris JMS客戶端連接到WebLogic11克T3S安全問題
- 7. 谷歌帳戶ID?
- 8. 如何將客戶連接到帳戶?
- 9. Rails路由全局帳戶ID
- 10. 帶客戶和卡片ID的條紋支付API
- 11. 如何從條紋的收費響應中獲取客戶ID?
- 12. 如何從條紋事件中獲取客戶ID
- 13. 列表條紋帳戶
- 14. 條紋帳戶轉移
- 15. 客戶端驗證安全問題
- 16. 客戶端套接字連接問題
- 17. 用戶ID存儲在瀏覽器中的c#安全問題
- 18. Django URL用戶ID與userprofile id問題
- 19. 條紋 - 無法轉移到連接的獨立帳戶
- 20. 流星的臉譜ID和帳戶ID
- 21. Adobe Flex Salesforce問題將帳戶ID轉換爲帳戶名稱
- 22. asp.net多用戶控制客戶端ID問題
- 23. asp.net默認帳戶ID
- 24. WCF客戶端連接問題
- 25. TCP/IP客戶端連接問題
- 26. WCF客戶端連接問題
- 27. 限制由用戶帳戶ID
- 28. 獲取帳戶用戶ID FBML
- 29. 從MQTT客戶端獲取已連接客戶端ID的列表
- 30. 將信用卡ID發送給客戶可否安全?
爲了在您的平臺上操縱用戶帳戶或Stripe客戶,攻擊者還需要您的平臺帳戶的密鑰。 也就是說,作爲一種很好的做法,您可能希望公開使用您的應用程序唯一的標識符,並將這些標識符鏈接到數據庫中的Stripe標識符。 – duck
感謝您的建議。你能否建議任何可能有助於將此標識符鏈接到Stripe ID的源?我已經爲每個客戶和賬戶使用了一個唯一的標識符,但是如果我能夠知道一些資源來開發鏈接,我將非常感激。 – James
它可以很簡單,只需在您的一端定義數據庫模式,該數據庫模式的UUID列包含您的應用程序的ID,另一列存儲相關的stripe_id(例如cus_xxxyyyzzz,acct_xxxyyyzzz)。您自己的ID將在瀏覽器中可見,對於Stripe後端處理的交易將查找相關表,使用該Stripe ID拉取stripe_id並向Stripe發出請求。 – duck