網(wǎng)關(guān)安全之應(yīng)用訪問授權(quán)設(shè)計(jì)

移動(dòng)網(wǎng)關(guān)提供了API訪問安全支持

a、支持通過API授權(quán)配置對(duì)調(diào)用者進(jìn)行鑒權(quán)操作

b、支持按應(yīng)用維度對(duì)API進(jìn)行發(fā)布和管理。每個(gè)應(yīng)用有獨(dú)立的API訂閱憑證，互相不能訪問。

c、支持對(duì)調(diào)用者進(jìn)行設(shè)備號(hào)黑白名單配置

d、支持對(duì)客戶端進(jìn)行應(yīng)用API白名單配置

三、移動(dòng)平臺(tái)安全設(shè)計(jì)之移動(dòng)終端

移動(dòng)App建設(shè)和傳統(tǒng)的B／S模式不同，它是有一個(gè)介質(zhì)運(yùn)行在最終用戶終端，這個(gè)介質(zhì)的安全性也至關(guān)重要，下面我們看看移動(dòng)終端的安全設(shè)計(jì)。

3．1移動(dòng)終端基礎(chǔ)架構(gòu)設(shè)計(jì)

移動(dòng)平臺(tái)基座架構(gòu)安全設(shè)計(jì)主要包含以下四大方面：

a、數(shù)據(jù)傳輸安全

提供完整的應(yīng)用更新流程API，提供應(yīng)用包、熱更新包完整性校驗(yàn)，防止介質(zhì)被攻擊修改注入攻擊代碼。

提供令牌管理：用戶登錄成功后，將認(rèn)證成功后的TGC、門戶訪問的token、微應(yīng)用訂閱關(guān)系 緩存到本地。

提供鑒權(quán)服務(wù)：在打開微應(yīng)用時(shí)，通過調(diào)用接口獲取微應(yīng)用訪問token并傳遞給微應(yīng)用。

b、應(yīng)用資源存儲(chǔ)訪問安全

提供完善的應(yīng)用資源訪問API，物理隔離應(yīng)用、微應(yīng)用資源。

c、日志管理安全

提供開發(fā)期、發(fā)布期日志管理能力，有效防止發(fā)布App日志敏感信息泄露。

d、界面＆輸入安全

提供安全可配置化的水印等能力，有效防止重要信息外泄。

3．2移動(dòng)終端安全架構(gòu)設(shè)計(jì)

數(shù)據(jù)傳輸安全設(shè)計(jì)

移動(dòng)終端是需要和服務(wù)器端通訊的，普元移動(dòng)平臺(tái)在設(shè)計(jì)之初主要從以下四個(gè)方面從終端報(bào)障數(shù)據(jù)傳輸安全，防止中間人攻擊：

a、Root＆越獄檢測(cè)，給出明確的提示信息

b、服務(wù)器端證書校驗(yàn)

c、VitualXposed 等hook框架檢測(cè)，給出明確提示，不允許App運(yùn)行

d、使用加密的安全通道與服務(wù)器端交互

數(shù)據(jù)存儲(chǔ)安全設(shè)計(jì)