开放平台安全性考虑

最新推荐文章于 2023-10-13 16:26:36 发布
最新推荐文章于 2023-10-13 16:26:36 发布
阅读量1.7k 收藏
点赞数
分类专栏: internet

开放平台由于将内部大量的资源开放出去,需要特别考虑安全性问题。这里的安全性是泛指的。我觉得有以下几个方面需要考虑的。

 

安全(Safety)

这个是指数据丢没有丢失的问题

- 数据篡改

- 数据不一致(脏数据):有数据映射关系和分布式情况下很容易出现该问题

- 人为操作失误导致的数据丢失

为了解决这个问题,我们需要建立数据分级体系。不同的数据,我们有不同的安全级别。

- 绝对安全

- 磁盘损坏允许丢数据

- 断电允许丢数据

- 磁盘损坏和断电都允许丢数据

- Cache级别,允许丢失,被替换等

 

安全(Security)

这个是指数据被没有被窃取的问题

- 在用户端被窃取,如客户端获取密码,显示内容被快照等,需要客户保证安全

- 在服务器端被窃取,公司内部做严格的规章制度,存储的数据可以做加密

- 在网络传输中被窃取,通用解决方案(HTTPS,SSL)

为了保证Security,我们首先要对数据进行分级。

简单一点,可以分为:

- Public数据

- Private数据

 

认证鉴权(Authentication)

对于认证,是鉴别你是谁的问题

对于开放平台而言,如果涉及第三方账户,这个问题就是OpenID致力解决的问题。

对于鉴权,是鉴别你是否有此权力的问题

 

授权(Authorization)

这个是指是否给你某种权利的问题

对于授权,如果涉及用户,开放平台和第三方应用时,则OAuth就是解决这个问题的。

追寻北极
关注
专栏目录
开放式API安全防护的七大原则
架构精进之路
01-19 2万+
我是架构精进之路,点击上方“关注”,坚持每天为你分享技术干货,私信我回复“01”,送你一份程序员成长进阶大礼包。 在我们日常工作程序开发过程中,难免会涉及与第三方系统进行数据的交互与...
开放平台安全
03-30 361
什么是开放平台开放平台就是将企业中的业务的核心部分经过抽象和提取,形成面向企业或者面向用户的增值系统,为企业带来新的业务增涨点。因为是企业的核心业务能力,所以平台安全性就成为重中之重。安全方案普通的接口使用Token令牌的方案就可以保证,但是对于一些敏感的接口就需要有针对性的处理,比如使用https。https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密...
开放平台安全性考量 (上)
一剑寒光
03-14 259
  来源:unclejoey.com    作者:Uncle Joey 前言        开放平台概念由来已久。个人第一次接触开放平台开发是在2004年,使用当时如日中天的eBay API为eBay卖家开发管理工具。后来几年又陆续使用过国外的几家电子商务厂商、SNS社交类网站以及Google提供的开放API。近几年来,国内的 开放平台概念越来越热。主要集中在三类网站。...
企业大数据应用面临的六大安全挑战
weixin_13318844580的博客
10-14 482
在过去的几年中,大数据安全性越来越受到关注。实际上,过去两年的《世界质量报告》显示,安全是世界各地技术部门的主要关注点。原因在于,企业已经开始使用许多可见的应用来管理其流程。仅此一项就增加了安全威胁和大数据泄露。这种现象还包括将移动设备统一到企业中。 办公室中几乎每个人都随身携带手机。即使你很在意每个安全小贴士,并且没有连接到公司的网络,即便如此,你也很容易面临安全风险。即使是最轻微的错误也可能导致数据泄露,这也仅包括将手机插入PC或笔记本电脑中的情况。甚至使用第三方软件(例如工作计时器应用程序)最.
如何为开放平台设计一个安全好用的OpenApi
最新发布
weixin_54542328的博客
10-13 898
在提到对于开放接口的安全设计时,一定少不了对于摘要算法的应用(MD5算法是其实现方式之一),在接口设计方面它可以帮助我们完成数据签名的功能,也就是说用来防止请求或者返回的数据被他人篡改。本节我们单从安全的角度出发,看看到底哪些场景下的需求可以借助MD5的方式来实现。其入口参数有三个:key、data、mode。key为加密解密使用的密钥,data为加密解密的数据,mode为其工作模式。当模式为加密模式时,明文按照64位进行分组,形成明文组,key用于对数据加密,当模式为解密模式时,key用于对数据解密。
设计一个java开放平台的总结
06-14
架构是设计开放平台的核心,需要考虑平台的架构、数据库设计、系统设计等方面。具体来说,需要考虑以下几个方面: 网络架构:开放平台需要具有可扩展性和高可用性,因此需要设计合理的网络架构,包括服务器部署、...
开放平台OpenAPI设计:易用性与安全性的兼顾
"本文主要探讨了开放平台的OpenAPI设计,包括其定义、重要性以及在设计时应考虑的关键因素,如易用性、可用性和安全性。文章还提到了开发者在使用OpenAPI时可能遇到的问题及其解决方案,并深入讨论了如何通过优化...
开放平台的OpenAPI架构设计.pdf
10-19
"开放平台的OpenAPI架构设计" 开放平台的OpenAPI架构设计是指在开放平台中实现OpenAPI的...开放平台的OpenAPI架构设计需要考虑安全性、易用性、可扩展性和统一性等多个方面,提供一个良好的开发体验和解决问题的支持。
bcos:BCOS平台(可信,开放和安全
02-25
BCOS平台基于现有的区块链链开放项目进行开发,综合考虑开源项目的成熟度,开发接口友好性,技术组件齐备性,可插件化程度,复杂业务支持程度等多方面的表现,并根据企业级区块链链系统的规范和需求,对开源项目从...
《后端》开放平台API安全设计
王大阳的博客
04-04 2771
在设计开放平台接口过程中,往往会涉及接口传输安全性相关的问题,加上之前面试中也被问到项目中开放平台安全相关问题,因此有时间整理下思路,对于接口加密及签名的相关知识做了一个系统性的总结 开放平台API接口加密,签名策略 参考各大平台策略 支付宝 支付: appid+ PrivateKey私匙 转账+退款:1.RSA2(非对称)公匙加密 2.根证书 3.应用公匙证书 func (s *transferAccountService) newClient() *alipay.Client { client, e
开放平台API安全设计方案
自在轩恒
06-09 4349
一、解决问题: 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 二、问题分析与处理 1.身份合法性保证: clientid+secretkey方案 参数名 是否必须 clientid 开发者标识/应用标识 secretkey 用于接口加密 为开发者分配clientid(开发者标识,确保唯一)和secretkey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 2.请求被篡改防护:预防请求被中途篡改的隐患 参数签名方案 按照请求参数名的字母升序排列
常见开发安全规避和敏感信息处理
Java高手真经
09-12 8960
本文转自:https://docs.open.alipay.com/common/105912 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 显示前 1 位 + *(实际位数) + 后 1 位
支付宝——开放平台第三方应用安全开发指南
密斯特拉·祖
01-29 5351
开放平台第三方应用安全开发指南》给出常见开发场景下,帮助开发人员完善应用安全性的开发建议,同时也对常见的安全漏洞进行描述,并提供对应的修复方案。 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证
SaaS开放平台安全鉴权方式: Oauth鉴权机制及接入说明
行者无疆
10-09 2835
SaaS开放平台鉴权,通常使用Oauth鉴权方式,微信开放平台、淘宝开放平台等都采用了这种鉴权方式。下面介绍一下Oauth鉴权的原理以及如何接入。 1. Oauth是什么 Oauth(开放授权,Open Authorization)是一个开放标准。 允许第三方应用在用户授权的前提下访问户在服务商(平台)那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAu...
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
互联网API开放平台安全设计(五)---APIGateway网关
weixin_40657079的博客
04-04 2477
什么是网关 随着互联网的快速发展,当前以步入移动互联、物联网时代。用户访问系统入口也变得多种方式,由原来单一的PC客户端,变化到PC客户端、各种浏览器、手机移动端及智能终端等。同时系统之间大部分都不是单独运行,经常会涉及与其他系统对接、共享数据的需求。所以系统需要升级框架满足日新月异需求变化,支持业务发展,并将框架升级为微服务架构。“API网关”核心组件是架构用于满足此些需求。 很多互联网平台...
一个接口开放平台,使用简单,易维护,文档全
axe的专栏
03-14 1万+
easyopen一个简单易用的接口开放平台平台封装了常用的参数校验、结果返回等功能,开发者只需实现业务代码即可。git地址:https://gitee.com/durcframework/easyopen
系统开发和安全性分析
人生智慧的博客
12-03 8774
1. 术语 安全性(Safety):风险可接受的状态 损害(harm):人身伤害,财产损失或对环境造成的危害 故障(fault):项目或系统的一个非预期异常,故障的发生可能导致失效 失效(failure):功能缺失,或者系统或系统某部分发生故障 危害(hazard): ①造成harm的潜在根源②由失效、故障、外部事件、错误或者这些组合造成的一种潜在的不安全状况 风险:损害发生的概率以及
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值