javascript - Stripe 连接 |帐号 ID 可以安全公开吗？

Question

我有一个以 Stripe 和 Laravel 作为后端的当前设置。一切都按预期完美运行，但我有一个关于安全性的问题。

因为我有一个 React 前端来接受付款，所以我使用包 @stripe/react-stripe-js这是 Stripes 的官方包。

使用该软件包，您显然必须在 Stripe 中加载并传递您的公钥，在这种情况下，您需要传递连接的帐户 ID。到目前为止，我已经这样做了，但是前端使用 API 调用来查看订单和价格等，该调用位于连接的帐户 ID，因此我可以将其附加到加载 strip 方法中。

const stripePromise = loadStripe(
  'xxxxx',
  {
    stripeAccount: 'xxxxx',
  }
)

由于这必须以纯文本形式返回，以便 Stripe 可以读取它，我想知道其他人对公开关联帐户 ID 是否安全的看法。

我真的看不到任何其他方式，我可以以某种方式加密/解密，但即便如此，客户端版本仍然可以访问它，因此它仍然可见。

我已经阅读了可以在这里找到的 Stripe 文档 https://stripe.com/docs/connect/authentication#adding-the-connected-account-id-to-a-client-side-application似乎他们以纯文本形式保存它。

综上所述， key 显然永远不会暴露给前端，所有创建支付意图的操作都在后端处理。

Answer 1

是的，可以公开 Connect 帐户 ID。
Stripe 帐户 ID(例如 acct_123)旨在通过您各自的 Stripe API key 在客户端和服务器端使用。
只有当您的平台“连接”到现有的 Stripe 账户时，账户 ID 才会起作用，否则，如果与不相关的平台 API key 一起使用，账户 ID 将毫无用处(Stripe API 会验证这一点并返回错误)。