1
我只是想知道是否可以使Stripe帐户ID(用于连接)和客户ID在浏览器上可见。有没有办法通过获取ID来误用持有人以外的人? (例如,将赚到的钱转移到他们的账户或者改变他人的信息作为攻击的方法)条纹连接帐户ID,客户ID安全问题
A
回答
1
所有来自账户ID的敏感信息都需要您的Stripe Secret Key(或账户连接账户的密钥)。话虽如此,如果对这些密钥的访问受到损害,让账户ID随时可用,这对攻击者来说更容易。
使用公钥时,我不确定你甚至可以直接向用户添加一张卡片。只需创建卡片标记,而不是。
相关问题
- 1. 如何创造客户后检索条纹对象条纹客户ID
- 2. 条纹平衡交易连接帐户
- 3. 条纹连接和托管帐户
- 4. 条纹 - 连接到独立帐户
- 5. Android:用户ID帐户(不ID电话)
- 6. 的Solaris JMS客户端连接到WebLogic11克T3S安全问题
- 7. 谷歌帐户ID?
- 8. 如何将客户连接到帐户?
- 9. Rails路由全局帐户ID
- 10. 带客户和卡片ID的条纹支付API
- 11. 如何从条纹的收费响应中获取客户ID?
- 12. 如何从条纹事件中获取客户ID
- 13. 列表条纹帐户
- 14. 条纹帐户转移
- 15. 客户端验证安全问题
- 16. 客户端套接字连接问题
- 17. 用户ID存储在浏览器中的c#安全问题
- 18. Django URL用户ID与userprofile id问题
- 19. 条纹 - 无法转移到连接的独立帐户
- 20. 流星的脸谱ID和帐户ID
- 21. Adobe Flex Salesforce问题将帐户ID转换为帐户名称
- 22. asp.net多用户控制客户端ID问题
- 23. asp.net默认帐户ID
- 24. WCF客户端连接问题
- 25. TCP/IP客户端连接问题
- 26. WCF客户端连接问题
- 27. 限制由用户帐户ID
- 28. 获取帐户用户ID FBML
- 29. 从MQTT客户端获取已连接客户端ID的列表
- 30. 将信用卡ID发送给客户可否安全?
为了在您的平台上操纵用户帐户或Stripe客户,攻击者还需要您的平台帐户的密钥。 也就是说,作为一种很好的做法,您可能希望公开使用您的应用程序唯一的标识符,并将这些标识符链接到数据库中的Stripe标识符。 – duck
感谢您的建议。你能否建议任何可能有助于将此标识符链接到Stripe ID的源?我已经为每个客户和账户使用了一个唯一的标识符,但是如果我能够知道一些资源来开发链接,我将非常感激。 – James
它可以很简单,只需在您的一端定义数据库模式,该数据库模式的UUID列包含您的应用程序的ID,另一列存储相关的stripe_id(例如cus_xxxyyyzzz,acct_xxxyyyzzz)。您自己的ID将在浏览器中可见,对于Stripe后端处理的交易将查找相关表,使用该Stripe ID拉取stripe_id并向Stripe发出请求。 – duck