Plaid Link APIのドキュメントには、Plaid リンクが成功するpublic_tokenと、次のプロパティを持つ が返されると記載されています。
ユーザーが Plaid Link 経由でオンボーディングに成功すると、モジュールは public_token を提供します。これは、access_token を返す典型的な Plaid API リクエストとは対照的です。
アプリまたはブラウザで公開しても安全です
アカウントとルーティング番号 (認証用) またはトランザクション (接続用) を直接取得するために使用することはできません
/exchange_token エンドポイントを介して Plaid access_token と交換できます。
おそらく、これは、がシークレットaccess_tokenであることを意味する とは対照的です。access_tokenただし、私が知る限り、を受け取るすべての Plaid エンドポイントにaccess_tokenは、クライアントの ID とsecret値も必要です。
secretが実際に秘密にされていると仮定すると、アクセストークンを公開することは理論的に安全ですか? そうでない場合、何が欠けていますか?もしそうなら、公開トークンのポイントは何ですか?