1
ストライプのアカウントID(Connectの場合)と顧客IDをブラウザで表示できるかどうかは疑問です。所有者以外の人がIDを取得して誤用する方法はありますか?Stripe ConnectアカウントID、顧客IDのセキュリティの問題
ストライプのアカウントID(Connectの場合)と顧客IDをブラウザで表示できるかどうかは疑問です。所有者以外の人がIDを取得して誤用する方法はありますか?Stripe ConnectアカウントID、顧客IDのセキュリティの問題
アカウントIDから来るすべての機密情報には、Stripe Secret Key(またはConnectアカウントのアカウントの秘密鍵)が必要です。つまり、これらの鍵へのアクセスが侵害された場合、アカウントIDをすぐに利用できるようにするだけで、攻撃者にとってはずっと簡単になります。
公開鍵では、カードを直接ユーザーに追加することはできません。カードトークンを作成するだけで、それはできません。
プラットフォーム上のユーザーのアカウントまたはストライプカスタマーを操作するには、攻撃者はプラットフォームアカウントの秘密キーも必要とします。 これは、アプリケーションに固有の識別子を公開し、それらをデータベースのStripe IDにリンクすることをお勧めします。 – duck
あなたのアドバイスをありがとう。そのような識別子をStripe IDにリンクするのに役立つ情報源を提案できますか?私はすでに各顧客とアカウントに固有の識別子を使用していますが、リンクを作成するためのリソースがわかっていれば非常に感謝しています。 – James
あなたのアプリケーションのIDを持つUUID列を持っていて、関連するstripe_id(たとえばcus_xxxyyyzzz、acct_xxxyyyzzz)を別の列に格納している、あなたの最後にデータベーススキーマを定義するのと同じくらい単純かもしれません。独自のIDがブラウザに表示され、Stripeとのトランザクションでバックエンドが関連テーブルを検索し、stripe_idをプルし、そのStripe IDを使用してStripeにリクエストを行います。 – duck