- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
Plaid Link API documentation指出成功的 Plaid 链接的结果返回具有以下属性的 public_token
:
Once a user has successfully onboarded via Plaid Link, the module will provide a public_token. This is in contrast to typical Plaid API requests, which return an access_token.
Is safe to expose in an app or browser
Cannot be used to retrieve account and routing numbers (for auth) or transactions (for connect) directly
Can be exchanged for a Plaid access_token via the /exchange_token endpoint.
据推测,这与 access_token
形成对比,这意味着 access_token
是一个 secret 。然而,据我所知,every Plaid endpoint采用 access_token
的方法还需要客户端的 ID 和 secret
值。
假设 secret
实际上是保密的,公开访问 token 在理论上是否安全?如果没有,我错过了什么?如果是这样,公共(public) token 有什么意义?
最佳答案
您的假设是正确的,access_token
应该保密。
公开access_token
的唯一原因是要么向用户显示该信息(没有理由这样做),要么向客户端提供信息以便稍后将其发回(例如与用于身份验证的 OAuth token 一样)。
但是如果您公开了 access_token
,这意味着您的 API 期望用户在请求信息时发送他们自己的访问 token 。您的 API 信任该用户输入。如果用户获得了对另一个用户的 access_token
的访问权限,他们可以将其发送到您的 API,并获得对另一个用户帐户的访问权限。
为了防止这种未经授权的访问,您需要跟踪哪个用户可以访问哪些 token ,并且您必须根据任何请求对其进行验证,以确保没有未经授权的访问。
到那时,您需要问问自己,为什么首先公开 access_token
?客户端 ID 是公开信息,因此您可以相信您的 secret
不会被公开。如果您的 secret 被泄露,并且您的access_tokens
已被视为公开,那么所有用户的所有银行信息都将被泄露。
为确保您的用户数据尽可能安全,切勿将 access_token
提供给最终用户。
关于security - Plaid 访问 token 是 secret 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40473684/
我正在使用 plaid-ruby,尝试使用 webhook 添加用户: Plaid.add_user 'connect', params['username'],
我查看了 API 文档,但没有看到有关如何获取 Logo 的任何内容,但显然格子呢在链接应用程序中显示了它们。有什么方法可以让我作为 API 的一部分或通过使用“项目”ID 的其他机制访问这些 Log
我正在使用格子呢。使用交换 api 生成公共(public) token 创建者访问 token 后。现在访问 token 用于创建 api 调用但会出错。 The provided API keys
对不起我的英语不好,我不是母语人士所以请不要贬低我太多。我是编程初学者,正在从互联网上的教程中学习。今天是我第一次在 Stack Overflow 上提问。这可能是一个愚蠢的问题,我知道有很多类似的问
从 Plaid 交易调用中收到的每个 transaction_id 都是唯一的吗?或者它们是否需要与其他东西(例如帐户 ID)配对才能保持唯一?具体来说,来自两个不同金融机构的两个不同用户是否有可能在
我正在使用 Plaid Link 及其 custom integration 到目前为止,我能够获取机构列表。这很棒,因为我不必对机构列表进行硬编码,并且可以显示用于选择机构的自定义模式对话框。 现在
我正在尝试创建一些代码来将我的银行交易下载到谷歌表格。我正在尝试通过使用谷歌脚本并对 Plaid 进行 API 调用来做到这一点。我目前设置了一个免费的沙盒帐户,但在过去几天尝试了几种方法后仍无法成功
我有一个由 Plaid 支持的案例打开,但自 12/26 开放以来它甚至没有被触及,也许他们上周都在休假。 我们曾将先前的 API 用于网站,并希望将其用于新网站。我们发现 API 自上次以来发生了巨
我在本地测试Firebase功能时遇到问题。 我有一些要保护的关键api key 。因此,我使用functions.config()。 当使用firebase emulators:start或fire
Plaid Link API documentation指出成功的 Plaid 链接的结果返回具有以下属性的 public_token: Once a user has successfully on
用例:用户向 Plaid 提供了“amex”的凭据。由于某种原因,该用户更改了他们的密码。 Plaid 无法再代表用户访问 Amex。 问题:我认为现在,错误凭证的信息流是当 Plaid 客户端检查更
Plaid Link API documentation指出成功的 Plaid 链接的结果返回具有以下属性的 public_token: Once a user has successfully on
对这个可能愚蠢的问题表示歉意 - 我对编码/JavaScript 相当陌生。 我正在使用Plaid's沙箱环境,用于在沙箱环境中提取事务数据。现在,我将以下内容定义为 transactionData:
我想编写一个 Google Apps 脚本,可以从我的银行提取交易数据并将其添加到谷歌电子表格中。我以为Plaid可能是一个不错的选择,但我无法弄清楚如何在谷歌应用程序脚本中使用 Plaid API。
我在我的 android 应用程序中实现了 plaid sdk 版本 - 0.3.0 点击最后一个屏幕的“继续”按钮后,我没有收到成功或任何回调。 点击“继续”后,我收到带有 resultCode
我正在尝试调用 Plaid 测试环境以使用 C# 客户端将 Stripe 与 Plaid 集成。 但是我无法交换 token ,而我可以使用 curl 客户端成功交换。代码 super 简单。
当我使用 un:user_good 和 pw:pass_good 时,我会看到附加的屏幕 并且它不返回 accessToken我已经在我的 AppDelegate 中添加了我的公钥 [![@IB
我似乎无法让我的 plaid.jpg 成为我任何页面的背景,更不用说所有页面了,我已经尝试通过 body、html、*、“home”的特定 id 选择它。没有任何作用。图像为 300 x 421 像素
还有其他人对 Plaid 的 linkTokenCreate 方法有疑问吗?我使用 node.js 作为后端,当我将它与前端一起运行时,错误从涉及此函数的行开始。 即使我使用标准的快速启动选项,我仍然
我正在尝试遵循 Plaid 的文档 from here我似乎无法弄清楚我从哪里得到 public_token从我做格子布的时候开始发展环境。他们是这么说的: 在他们的第二个例子中: from plai
我是一名优秀的程序员,十分优秀!