开放平台安全性考虑

最新推荐文章于 2023-10-13 16:26:36 发布
最新推荐文章于 2023-10-13 16:26:36 发布
阅读量1.9k 收藏
点赞数
分类专栏: 开放平台 文章标签: 开放平台 authorization authentication security 磁盘 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huyiyang2010/article/details/6039038
版权

开放平台由于将内部大量的资源开放出去,需要特别考虑安全性问题。这里的安全性是泛指的。我觉得有以下几个方面需要考虑的。

 

安全(Safety)

这个是指数据丢没有丢失的问题

- 数据篡改

- 数据不一致(脏数据):有数据映射关系和分布式情况下很容易出现该问题

- 人为操作失误导致的数据丢失

为了解决这个问题,我们需要建立数据分级体系。不同的数据,我们有不同的安全级别。

- 绝对安全

- 磁盘损坏允许丢数据

- 断电允许丢数据

- 磁盘损坏和断电都允许丢数据

- Cache级别,允许丢失,被替换等

 

安全(Security)

这个是指数据被没有被窃取的问题

- 在用户端被窃取,如客户端获取密码,显示内容被快照等,需要客户保证安全

- 在服务器端被窃取,公司内部做严格的规章制度,存储的数据可以做加密

- 在网络传输中被窃取,通用解决方案(HTTPS,SSL)

为了保证Security,我们首先要对数据进行分级。

简单一点,可以分为:

- Public数据

- Private数据

 

认证鉴权(Authentication)

对于认证,是鉴别你是谁的问题

对于开放平台而言,如果涉及第三方账户,这个问题就是OpenID致力解决的问题。

对于鉴权,是鉴别你是否有此权力的问题

 

授权(Authorization)

这个是指是否给你某种权利的问题

对于授权,如果涉及用户,开放平台和第三方应用时,则OAuth就是解决这个问题的。

 

人气青蛙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
设计一个java开放平台的总结
06-14
架构是设计开放平台的核心,需要考虑平台的架构、数据库设计、系统设计等方面。具体来说,需要考虑以下几个方面: 网络架构:开放平台需要具有可扩展性和高可用性,因此需要设计合理的网络架构,包括服务器部署、...
企业大数据应用面临的六大安全挑战
weixin_13318844580的博客
10-14 410
在过去的几年中,大数据安全性越来越受到关注。实际上,过去两年的《世界质量报告》显示,安全是世界各地技术部门的主要关注点。原因在于,企业已经开始使用许多可见的应用来管理其流程。仅此一项就增加了安全威胁和大数据泄露。这种现象还包括将移动设备统一到企业中。 办公室中几乎每个人都随身携带手机。即使你很在意每个安全小贴士,并且没有连接到公司的网络,即便如此,你也很容易面临安全风险。即使是最轻微的错误也可能导致数据泄露,这也仅包括将手机插入PC或笔记本电脑中的情况。甚至使用第三方软件(例如工作计时器应用程序)最.
如何为开放平台设计一个安全好用的OpenApi
最新发布
weixin_54542328的博客
10-13 799
在提到对于开放接口的安全设计时,一定少不了对于摘要算法的应用(MD5算法是其实现方式之一),在接口设计方面它可以帮助我们完成数据签名的功能,也就是说用来防止请求或者返回的数据被他人篡改。本节我们单从安全的角度出发,看看到底哪些场景下的需求可以借助MD5的方式来实现。其入口参数有三个:key、data、mode。key为加密解密使用的密钥,data为加密解密的数据,mode为其工作模式。当模式为加密模式时,明文按照64位进行分组,形成明文组,key用于对数据加密,当模式为解密模式时,key用于对数据解密。
《后端》开放平台API安全设计
王大阳的博客
04-04 2701
在设计开放平台接口过程中,往往会涉及接口传输安全性相关的问题,加上之前面试中也被问到项目中开放平台安全相关问题,因此有时间整理下思路,对于接口加密及签名的相关知识做了一个系统性的总结 开放平台API接口加密,签名策略 参考各大平台策略 支付宝 支付: appid+ PrivateKey私匙 转账+退款:1.RSA2(非对称)公匙加密 2.根证书 3.应用公匙证书 func (s *transferAccountService) newClient() *alipay.Client { client, e
开放平台API安全设计方案
自在轩恒
06-09 4272
一、解决问题: 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 二、问题分析与处理 1.身份合法性保证: clientid+secretkey方案 参数名 是否必须 clientid 开发者标识/应用标识 secretkey 用于接口加密 为开发者分配clientid(开发者标识,确保唯一)和secretkey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 2.请求被篡改防护:预防请求被中途篡改的隐患 参数签名方案 按照请求参数名的字母升序排列
开放平台安全
03-30 333
什么是开放平台开放平台就是将企业中的业务的核心部分经过抽象和提取,形成面向企业或者面向用户的增值系统,为企业带来新的业务增涨点。因为是企业的核心业务能力,所以平台的安全性就成为重中之重。安全方案普通的接口使用Token令牌的方案就可以保证,但是对于一些敏感的接口就需要有针对性的处理,比如使用https。https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密...
Android平台通用安全问题分析及策略
03-02
漏洞频发的原因可能有很多,主要有如下几种:与一切都是集中管理的IOS相比,Android提供了一种开放的环境,在获得了灵活性、可以满足各种定制需求的同时,也损失了部分安全性。开发团队通常将精力集中在产品设计、...
bcos:BCOS平台(可信,开放和安全
02-25
BCOS平台基于现有的区块链链开放项目进行开发,综合考虑开源项目的成熟度,开发接口友好性,技术组件齐备性,可插件化程度,复杂业务支持程度等多方面的表现,并根据企业级区块链链系统的规范和需求,对开源项目从...
防火墙网络安全的重要性.docx
06-10
3代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正...
开放平台如何保证接口安全?
juzhenxing的博客
11-04 814
常用解决办法 使用加签名方式,防止篡改数据 使用Https加密传输 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 令牌方式保证接口安全 表设计 CREATE TABLE `table_app` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键', `app_name` varchar(255) NOT N...
常见开发安全规避和敏感信息处理
|] 大世界,小人物
09-12 8752
本文转自:https://docs.open.alipay.com/common/105912 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 显示前 1 位 + *(实际位数) + 后 1 位
SaaS开放平台安全鉴权方式: Oauth鉴权机制及接入说明
行者无疆
10-09 2709
SaaS开放平台鉴权,通常使用Oauth鉴权方式,微信开放平台、淘宝开放平台等都采用了这种鉴权方式。下面介绍一下Oauth鉴权的原理以及如何接入。 1. Oauth是什么 Oauth(开放授权,Open Authorization)是一个开放标准。 允许第三方应用在用户授权的前提下访问户在服务商(平台)那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAu...
互联网API开放平台安全设计(五)---APIGateway网关
weixin_40657079的博客
04-04 2372
什么是网关 随着互联网的快速发展,当前以步入移动互联、物联网时代。用户访问系统入口也变得多种方式,由原来单一的PC客户端,变化到PC客户端、各种浏览器、手机移动端及智能终端等。同时系统之间大部分都不是单独运行,经常会涉及与其他系统对接、共享数据的需求。所以系统需要升级框架满足日新月异需求变化,支持业务发展,并将框架升级为微服务架构。“API网关”核心组件是架构用于满足此些需求。 很多互联网平台...
开放平台安全性考量 (上)
一剑寒光
03-14 202
  来源:unclejoey.com    作者:Uncle Joey 前言        开放平台概念由来已久。个人第一次接触开放平台开发是在2004年,使用当时如日中天的eBay API为eBay卖家开发管理工具。后来几年又陆续使用过国外的几家电子商务厂商、SNS社交类网站以及Google提供的开放API。近几年来,国内的 开放平台概念越来越热。主要集中在三类网站。...
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
支付宝——开放平台第三方应用安全开发指南
密斯特拉·祖
01-29 5207
开放平台第三方应用安全开发指南》给出常见开发场景下,帮助开发人员完善应用安全性的开发建议,同时也对常见的安全漏洞进行描述,并提供对应的修复方案。 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证
开放平台API接口加密,签名策略
weixin_42212026的博客
11-26 6091
在设计开放平台接口过程中,往往会涉及接口传输安全性相关的问题,笔者在详细的查阅大量资料后,结合自身的过往经验,对于接口加密及签名的相关知识做了一个系统性的总结,在方便自己查阅的同时也分享给大家做一些参考,说明不当之处欢迎指正(参考文章下文末列出,如有侵权可及时联系删除) 接口安全性问题主要来源于几方面考虑: 1.防伪装攻击即请求来源是否合法?(案例:在公共网络环境中,第三方 有意或恶意 的调用我们...
前后端API交互如何保证数据安全性
weixin_34009794的博客
06-04 7147
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据安全性非常重要,特别是用户相关的...
开放平台两三点感悟
xiaogugood的专栏
08-28 1957
开放平台两三点感悟 Author:放翁(文初) Mail:[email protected] 围脖:http://t.sina.com.cn/fangweng (多加一个围脖,也潮一把)            有淘宝的同学在旺旺上和我说,你最近很少写blog了哈,是不是忙着照顾孩子啊,我尴尬的笑了笑。是的,照顾“小孩”,自己家的小孩和开放平台这个小孩。以前人家说,三十而立,我今年虚岁
微服务整合支付宝开放平台
08-13
微服务架构是一种将应用程序拆分为多个独立的服务的设计模式,每个服务都可以独立开发、部署和扩展。在整合支付宝开放平台时,可以使用微服务架构来实现更灵活和可扩展的解决方案。 以下是在微服务架构中整合支付宝开放平台的一般步骤: 1. 拆分服务:根据业务需求,将应用程序拆分为多个独立的服务。例如,可以将用户管理、商品管理、订单管理等功能拆分为不同的服务。 2. 定义接口:为每个服务定义清晰的接口,以便其他服务可以通过接口调用它们。对于支付功能,您可以定义一个独立的支付服务,并在其接口中提供支付、退款、查询等方法。 3. 集成支付宝开放平台SDK:在支付服务中引入支付宝开放平台的SDK,以便能够与支付宝进行交互。根据支付宝提供的开发文档,完成SDK的集成和配置。 4. 实现支付逻辑:在支付服务中实现具体的支付逻辑,包括生成支付订单、处理支付回调、处理退款请求等。 5. 跨服务调用:在其他服务中需要进行支付操作时,通过调用支付服务提供的接口来实现。例如,在订单服务中,当用户下单时,调用支付服务的支付方法完成支付操作。 6. 异步通信:为了提高系统的性能和可伸缩性,可以使用消息队列或事件总线来实现服务之间的异步通信。例如,支付完成后,支付服务可以发布一个支付成功的消息,其他服务可以订阅该消息来进行后续处理。 7. 监控和日志:在微服务架构中,监控和日志是非常重要的。通过使用监控工具和日志系统,您可以实时监测系统的运行状态,并对发生的问题进行故障排除和分析。 需要注意的是,微服务架构需要考虑到服务之间的通信、数据一致性、安全性等方面的问题。在设计和实现过程中,建议参考相关领域的最佳实践,并进行充分测试和验证。 希望这些步骤对您有所帮助,祝您在整合支付宝开放平台时取得成功!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值