プラットフォーム機能 - アプリケーションのセキュリティ設定


1. 製品紹介

アプリケーションは、TOPが提供するAPIをユーザー権限で呼び出すことで、ユーザー、商品、注文などのデータを取得・操作することができ、これらのデータ漏洩や悪意のある改ざんを防ぐことができます。 , TOPは保証されたアプリケーションを提供するさまざまな安全なサービスを提供します。これらのサービスには、機密操作の保護、IP ホワイトリスト設定、Wanwang 上のサーバー ホスト、ブラック ボックス脆弱性スキャン、許可されたユーザー数の設定、API 呼び出しの監視、ユーザー認証の監視が含まれます。これらのサービスによって収集されたデータに基づいてアプリケーション セキュリティ インデックスを構築し、アプリケーションのセキュリティ ステータスを均一に測定します。

2. 製品詳細

1. サービス詳細

##2IP ホワイトリストの設定#ここをクリックして詳細を表示します#4以下に示すように、デベロッパー センター -> モニタリング センター -> 欠陥リスト: ##5承認されたユーザーの数を設定するアプリケーションはさまざまな数のユーザー グループに直面しており、対応するセキュリティ レベルも異なります。 API呼び出し監視ユーザー認証監視#システム監視 #

2. アプリケーション セキュリティ インデックスを表示します

1. 証明書の管理ページ

[アプリケーション管理] - [証明書の管理]をクリックします

T1lvK3XXdoXXaCwpjX.png

2. セキュリティ サービス ページ

#[セキュリティ センター] - [アプリケーション ヘルス インデックス]をクリックします。

T14uW3XolpXXaCwpjX.png

3. アプリケーション セキュリティ サービスを表示します

セキュリティ サービス ページ

[セキュリティ センター] - [アプリケーション ヘルス インデックス]をクリックします

T1V2W3XhtnXXaCwpjX.png

3. ルール

アプリケーションのセキュリティレベルの計算式は以下のとおりです。

T10VeAFhFaXXb1upjX.jpg

そのうち:

1.TAE は現在、次のサービスのみを提供しています。ストアモジュールアプリケーションが開いています。

##2. IP ホワイトリストは次の場所に設定されます: デベロッパー センター -> セキュリティ センター -> IP ホワイトリスト設定##3. ユーザー SDK を使用することは次のことを意味します:

a.

B/Sアプリケーションは、ユーザーの使用動作を検証するために、ユーザーが使用する各ページにユーザー SDK を追加する必要があります (パブリック ページ ヘッダーが推奨されます)。このユーザー SDK は、プラットフォームからユーザーの操作を必要としないアプリケーションとして扱われます。

ユーザー SDK は次のとおりです:

<script type="text/javascript" src="http://a.tbcdn.cn/apps/isvportal/securesdk/securesdk.js" id="J_secure_sdk_script" データ-appkey="xxxxxxx"></script> (xxxxxx を独自のアプリキーに置き換えます)

## b.C/ S アプリケーションは当面は影響を受けません。 #4. セキュリティの脆弱性

参照: 開発者センター -> モニタリング センター -> 欠陥リスト


2. 許可ユーザー数とアプリケーションラベルの関係

シリアル番号 サービス名称 サービス紹介詳細入口
1機密操作保護 オープン プラットフォームの操作を保護するには、シークレットの表示またはリセット、コールバック URL の変更、アプリケーションの削除を行うときに二次検証が必要です。 ここをクリックして詳細を表示します

デベロッパー センター -> セキュリティ センター -> 機密操作の保護 (以下に示すように):

開発者向けに、サーバーの IP ホワイトリストを設定します。設定後、AppKey は IP ホワイトリスト範囲内のサーバー IP のみが API を呼び出すことを許可し、ホワイトリストに登録されていない IP は API を呼び出すことができません。たとえば、AppKey と Secret が盗まれたとしても、API 呼び出しリクエストがサーバー IP から開始されなかった場合、TOP によって拒否されます。

エラー メッセージは次のとおりです:

<code>11</code>
<msg>isv 権限が不十分です</msg> ;
<sub_code>isv.permission-ip-whitelist-limit</sub_code>
<sub_msg>
アプリキー 123456789 は * からの呼び出しのみを許可されています.*. *.* ですが、あなたの IP は #.#.#.
#</sub_msg>
</error_response>
です

IP ホワイトリスト リストを表示するには、ここをクリックしてください。

1. 以下に示すように、デベロッパー センター -> セキュリティ センター -> IP ホワイトリスト設定:

2. デベロッパー センター -> 以下に示すように、アプリケーション ページの左側:

3万王のサーバーホスト中国万王は、タオバオと同じコンピュータルーム環境と回線、タオバオのイントラネットを使用して、タオバオのオープンプラットフォームISVユーザー向けに独占的にカスタマイズされたクラウドホストを提供します相互接続はデフォルトで淘宝網のホストのセキュリティ要件に準拠します。 Wanwang でサーバーをホストすることで、サーバーのセキュリティが保証されます。 デベロッパー センター -> 以下に示すように、アプリケーション ページの左側:

ブラック ボックス脆弱性スキャンTOP アクティブ モニタリングを通じて、ISV がアプリケーションの欠陥を発見し、アプリケーションの品質を向上できるよう支援します。 詳細を表示するにはここをクリックしてください

デベロッパー センター-> 以下に示すように、アプリケーション ページの左側:

##6
アプリケーションが講じるセキュリティ対策に応じて、アプリケーションがAPIを呼び出す際のアクセス範囲が異なります。 システム監視なし7
アプリケーションが突然増加する モニターが増減する ##なし
##個人使用のみセキュリティ レベルに関する関連情報については、こちらをご覧ください。
##アプリケーションラベル

作成時のデフォルトルール

#公開サービスがレビューされて合格する前

公開後サービスは審査され、合格しました

#Taobao ウェブサイト

自分だけが使用でき、小グループや全員を選択して使用することはできません

個人使用のみ

ワイヤレス バイヤー アプリケーション

##少数の人が使用します

#自分と少人数で使用することは選択できますが、全員で使用することは選択できません

#3 つの範囲が利用可能

#バイヤー アプリケーション

少数の人が使用しています#

#自分と少人数で使用することは選択できますが、全員で使用することは選択できません

#3 つの範囲が利用可能

#オンライン注文アプリケーション

少数の人が使用します##

#自分と少人数で使用することは選択できますが、全員で使用することは選択できません

#3 つの範囲を選択可能

#ストア モジュール アプリケーション

少数の人が使用します

#自分と少人数で使用することは選択できますが、全員で使用することは選択できません

#3 つの範囲が利用可能

##マーチャント バックエンド システム

少人数 (5 人) で使用

##

#自分と少人数で使用することは選択できますが、全員で使用することは選択できません

#全員が使用できるように選択することはできません

//open.taabao.com/doc/detail.htm?id=1002#s24. セキュリティ仕様## のドキュメントを参照してください。

# オープン プラットフォームのアプリケーション セキュリティを確保するために、当社は詳細なアプリケーション セキュリティ仕様を策定し、タオバオ オープン プラットフォームにアクセスするすべてのサードパーティ アプリケーションにその仕様を厳密に遵守するよう要求しています。特定のセキュリティ仕様については、次のドキュメントを参照してください:

//open.taabao.com/doc/detail.htm?spm=a219a.7386797.0.0.bBwnPn&id=813

FAQ

このドキュメントに関する FAQ はありません