首页

新手入门

快速接入

最佳实践

其他

安全性

前言

我们严肃对待安全问题,所有代码都经过检视,每个设计均有安全性考虑。本节涵盖唯ID本身的安全措施、你可进一步采取的安全措施以及如何报告安全问题。

唯ID的安全保障

我们采用诸多安全措施保证开发者和用户的数据安全和交互安全。包括:

基于OAuth 2.0构建

OAuth 2.0已经成为授权的工业级标准,其三段式授权可在简化开发者工作的同时充分保证安全性。唯ID的手机账号是基于OAuth 2.0构建的授权验证系统,可以让用户安全地在第三方应用验证手机号。

全站HTTPS

在网络传输层面,全站采用HTTPS保证数据安全。

密码安全存储

对于密码等敏感数据,采用符合业界标准的方式处理和存储。包括:

  • 不允许明文密码等敏感数据落地到硬盘。
  • 采用基于Blowfish加密算法改进的密码hash算法(而非通用的MD5、SHA1等)加密数据。
  • 引入工作因子(work factor),确保密码的安全性不会随着摩尔定律的发展而降低。
  • 加盐以防止彩虹表攻击。

云架构

应用云架构,面对突发的性能需求,可以提供不间断业务的快速扩容能力。

其他

团队还包括曾在知名银行IT中心从事多年风控、反欺诈工作的安全专家,为安全保驾护航。

你可采取的安全措施

安全是一个整体问题,必须参与系统的各方协调配合,以下是你可进一步采取的安全措施。

设置回调域名(网站)

获取authorization code时,你可设置redirect uri为任意网址,方便的同时也带来一定安全隐患。设置回调域名后,redirect uri必须属于该域名,跳转其他网址会返回错误。

要设置回调域名,请跳转 控制台 / 管理设置 / 安全设置 / 回调域名。

设置服务端IP

设置服务端IP后,仅列表内IP可调用唯ID RESTful API,其他IP调用会返回错误。

要设置服务端IP,请跳转 控制台 / 管理设置 / 安全设置 / 服务端IP。

安全存储client secret

client secret相当于你的应用在唯ID的密码,泄露后可能导致用户数据泄露。存储在客户端,可能被反编译恶意窃取。我们建议:

  1. 将secret放在服务端,由服务端中转接口调用请求。
  2. 使用第三方代码托管服务时,勿将secret提交到代码库。

报告安全问题

在现代软件系统的构建过程中,安全性漏洞无可避免。

为了给我们时间响应并升级系统,我们建议你私下报告安全问题。请联系技术支持,提供问题详情以及重现步骤,我们会尽快响应。如果你不想联系技术支持,可发邮件到help@onlyid.net,也请提供问题的详情以及重现步骤。

修复安全问题的优先级高于修复其他bug。如果一个版本修复了严重的安全问题,我们会标记其为“紧急”,并通知开发者升级。