Fonctions de plateforme-paramètres de sécurité de l'application
1. Présentation du produit
Les applications peuvent obtenir et exploiter des données sur les utilisateurs, les produits, les commandes et autres en appelant l'API fournie par TOP via l'autorisation de l'utilisateur. Afin d'éviter ces fuites de données et falsifications malveillantes, TOP fournit une série de services pour. assurer la sécurité des applications. Ces services comprennent : la protection des opérations sensibles, la configuration de la liste blanche IP, l'hôte du serveur sur Wanwang, l'analyse des vulnérabilités de la boîte noire, la définition du nombre d'utilisateurs autorisés, la surveillance des appels API et la surveillance des autorisations des utilisateurs. Construisez un index de sécurité des applications basé sur les données collectées par ces services pour mesurer uniformément l'état de sécurité de l'application.
2. Détails du produit
1. Détails du service
| Numéro de série | Nom du service | Présentation du service | Détails | Entrée |
| 1. | Protection des opérations sensibles | pour plateforme ouverte opérations Pour la protection, une vérification secondaire est requise lors de l'affichage ou de la réinitialisation des secrets, de la modification des URL de rappel et de la suppression d'applications. | Cliquez ici pour afficher les détails | Centre de développement -> Centre de sécurité -> Protection des opérations sensibles, comme indiqué ci-dessous :
|
| 2 | Définir une liste blanche IP | à configurer par les développeurs Liste blanche IP des serveurs. Après le réglage, l'AppKey autorise uniquement les adresses IP des serveurs figurant dans la plage de la liste blanche d'adresses IP à appeler l'API, et les adresses IP non inscrites sur la liste blanche ne peuvent pas appeler l'API. Par exemple, même si l'AppKey et le Secret sont volés, si la demande d'appel API n'est pas initiée depuis l'IP de votre serveur, elle sera rejetée par TOP. Le message d'erreur est le suivant : <code>11</code> <msg>Autorisations isv insuffisantes</msg> <sub_code>isv.permission-ip-whitelist-limit< ;/sub_code > ; <sub_msg> La clé d'application 123456789 n'est autorisée à appeler que depuis *.*.*.*, mais votre adresse IP est #.#.#.# </sub_msg> </error_response> ; | Cliquez ici pour afficher la liste blanche IP | 1.
2. Centre de développement -> Le côté gauche de la page de l'application, comme indiqué ci-dessous :
|
| 3 | L'hôte du serveur est à Wanwang | Chine Wanwang fournit un éditeur de logiciels indépendant pour la plateforme ouverte Taobao. Utilisateurs L'hôte cloud personnalisé exclusif utilise le même environnement et les mêmes lignes de salle informatique que Taobao et est interconnecté avec l'intranet de Taobao. Par défaut, il répond aux exigences de sécurité de Taobao pour l'hôte. En hébergeant le serveur sur Wanwang, la sécurité du serveur est garantie. | Cliquez ici pour afficher les détails | Centre des développeurs-> Le côté gauche de la page de l'application, comme indiqué ci-dessous :
|
| 4 | Analyse des vulnérabilités de la boîte noire | Grâce à la surveillance active TOP, aide Les éditeurs de logiciels découvrent les vulnérabilités des applications et améliorent la qualité des applications. | Cliquez ici pour afficher les détails | Centre de développement -> Centre de surveillance -> Liste des défauts, comme indiqué ci-dessous :
|
| 5 | Définissez le nombre d'utilisateurs autorisés | L'application cible différents nombre de groupes d'utilisateurs, les niveaux de sécurité correspondants seront différents. | Developer Center->Le côté gauche de la page de l'application, comme indiqué ci-dessous :
| |
| 6 | Surveillance des appels API | Selon les mesures de sécurité prises par l'application, la portée d'accès lorsque l'application appelle l'API est déterminé différent. | Surveillance du système | Aucun |
| 7 | Surveillance des autorisations des utilisateurs | Surveiller l'augmentation et la diminution soudaines du nombre d'utilisateurs autorisés de l'application | Surveillance du système | Aucun |
2. Vérifiez l'index de sécurité de l'application
1. Page de gestion du certificat
Cliquez sur "Gestion des applications" - "Gérer le certificat"
2. Application "Indice de santé"
3. Consultez le service de sécurité des applications
Page du service de sécurité
Cliquez sur "Centre de sécurité" - "Indice de santé des applications"
3. Règles
La formule de calcul du niveau de sécurité des applications est la suivante :
Parmi elles :
1.TAE n'est actuellement ouvert que pour stocker les applications du module.
2. Le paramètre de la liste blanche IP se trouve dans : Centre de développement->Centre de sécurité->Paramètre de la liste blanche IP
3. Utiliser le SDK utilisateur signifie :
a.B/SL'application doit ajouter le SDK utilisateur à chaque page utilisée par l'utilisateur (il est recommandé d'être un en-tête de page public) pour vérifier le comportement d'utilisation de l'utilisateur. utiliser ce SDK utilisateur sera La plate-forme considère les applications sans opérations utilisateur.
Le SDK utilisateur est le suivant : <script type="text/javascript" src="http://a.tbcdn.cn/apps/isvportal/securesdk/securesdk.js" id="J_secure_sdk_script" data-appkey="xxxxxxx"> ;</script> (remplacez xxxxxx par votre propre clé d'application) b. Les applications C/S ne sont pas affectées pour le moment. 4. Vulnérabilité de sécurité : Voir : App tags Avant que l'examen du service de publication soit réussi Après l'examen du service de publication est passé Site Taobao Peut être utilisé uniquement par toi-même Peut être utilisé uniquement par vous-même, vous ne pouvez pas choisir un petit nombre et tout le monde à utiliser Peut être utilisé uniquement par vous-même Application d'acheteur sans fil Utilisé par un petit nombre de personnes Vous pouvez choisir de l'utiliser par vous-même ou par un petit nombre de personnes, vous ne pouvez pas choisir de l'utiliser par tout le monde Vous pouvez choisir parmi trois gammes Buyer App Utilisée par un petit nombre de personnes Vous pouvez choisir de l'utiliser par vous-même et par un petit nombre de personnes, vous ne pouvez pas choisir de l'utiliser par tout le monde Vous pouvez choisir parmi trois gammes Application de commande en ligne Utilisée par un petit nombre de personnes Vous pouvez choisir de l'utiliser par vous-même ou par un petit nombre de personnes, mais vous ne pouvez pas choisir de l'utiliser par tout le monde Vous pouvez choisir parmi trois gammes Application du module Boutique Utilisée par un petit nombre de personnes Vous pouvez choisir de l'utiliser par vous-même ou par un petit nombre de personnes, mais vous ne pouvez pas choisir de l'utiliser par tout le monde Vous pouvez choisir parmi trois gammes Système backend marchand Utilisé par un petit nombre de personnes (5 personnes) Vous pouvez choisir de l'utiliser par vous-même et par un petit nombre de personnes, mais vous ne pouvez pas choisir de l'utiliser par tout le monde Vous ne pouvez pas choisir de l'utiliser par tout le monde Veuillez consulter Document : //open.taobao.com/doc/detail.htm?id=1002#s2 //open.taobao.com/doc/detail.htm?spm=a219a.7386797.0.0.bBwnPn&id=813 FAQRègles par défaut lors de la création
IV. d'applications sur la plateforme ouverte, nous avons formulé des normes détaillées de sécurité des applications exigeant que toutes les applications tierces connectées à la plateforme ouverte de Taobao doivent les respecter strictement. Pour les spécifications de sécurité spécifiques, veuillez vous référer au document :
