Stripe payments 条带连接帐户id、客户id安全问题

我只是想知道是否可以使条带帐户id（用于连接）和客户id在浏览器上可见。除身份证持有人外，是否有其他人通过获取身份证而滥用身份证的方式？（例如，将挣来的钱移动到他们的帐户或更改此人的信息作为攻击方法）

所有来自帐户id的敏感信息都需要您的条带密钥（或帐户的条带密钥，对于Connect帐户）。这就是说，如果对这些密钥的访问被破坏，那么拥有随时可用的帐户ID只会让攻击者更容易

---

使用公钥，我不确定你是否可以直接向用户添加卡。只需创建卡令牌什么的。

我认为向客户机公开条带AccountID是非常好的。正如其他人所说，除非攻击者获得您的密钥，否则这些ID对攻击者毫无用处

---

其他答案认为，暴露的ID+泄露的秘密使攻击者更容易攻击。没错，但如果攻击者掌握了你的秘密，你就完蛋了。需要1个GET请求，列出所有的帐号。

< P>我考虑类似于电子邮件地址的条形码连接帐户ID。电子邮件地址需要公开，以便人们向您发送电子邮件。如果他们想阅读您的电子邮件，他们需要您的登录名（如密码）。

为了操纵您平台上的用户帐户或条带客户，攻击者还需要您平台帐户的密钥。也就是说，作为一个好的实践，您可能希望公开使用应用程序特有的标识符，并将这些标识符链接到数据库中的条带ID。谢谢您的建议。您能推荐任何可能有助于将此类标识符链接到条带ID的源吗？我已经为每个客户和帐户使用了一个唯一的标识符，但如果我能知道一些开发链接的资源，那将是非常感谢的。它可以很简单地定义数据库模式，在您的端上有一个UUID列，其中包含应用程序的id，在另一个列中存储相关的条带id（例如cus_xxxyyzzz、act_xxxyyzzz）。您自己的id将在浏览器中可见，对于带条带的事务，您的后端将查找相关表，提取条带id并使用该条带id请求条带。非常简单且易于理解。非常感谢你。