平台功能-应用安全保障设置
一、产品介绍
应用通过用户授权调用TOP提供的API可以获取和操作用户、商品、订单等数据,为了防止这些数据泄露和恶意篡改,TOP提供保障应用安全的一系列服务。这些服务包括:敏感操作保护、设置IP白名单、服务器host在万网、黑盒漏洞扫描、设置授权用户数、API调用监控和用户授权监控。根据这些服务收集到的数据构建应用的安全指数,统一衡量应用的安全状况。
二、产品详情
1、服务详情
| 序号 | 服务名称 | 服务简介 | 详情 | 入口 |
| 1 | 敏感操作保护 | 对开放平台操作的保护,在查看或重置Secret,修改回调URL,删除应用时需二次验证。 | 点此查看详情 | 开发者中心->安全中心->敏感操作保护,如下图:
|
| 2 | 设置IP白名单 | 供开发者设置服务器的IP白名单。设置后,该AppKey只允许在IP白名单范围内的服务器IP过来调用API,非白名单IP无法调用API。比如,即使AppKey 和Secret 被盗,如果盗用者不是从您的服务器IP发起的API调用请求,则会被TOP拒绝。 报错信息如下: 11
The appkey 123456789 is only allowed to call from *.*.*.*, but your ip is #.#.#.#
|
点此查看IP白名单列表 | 1、开发者中心->安全中心->IP白名单设置,如下图:
2、开发者中心->应用页面左侧,如下图:
|
| 3 | 服务器host在万网 | 中国万网为淘宝开放平台ISV用户提供专属定制的云主机,与淘宝使用相同的机房环境及线路,与淘宝网的内网互联,默认符合淘宝对主机的安全要求。通过将服务器host在万网,保障服务器的安全性。 | 点此查看详情 | 开发者中心->应用页面左侧,如下图:
|
| 4 | 黑盒漏洞扫描 | 通过TOP主动监控,帮助ISV发现应用的缺陷,提升应用品质。 | 点此查看详情 | 开发者中心->监控中心->缺陷列表,如下图:
|
| 5 | 设置授权用户数 | 应用面向不同数量的用户群体,对应的安全级别会不同。 | 开发者中心->应用页面左侧,如下图:
|
|
| 6 | API调用监控 | 根据应用采取的安全措施,决定应用调用API时访问的范围不同。 | 系统监控 | 无 |
| 7 | 用户授权监控 | 对应用的授权用户数突增突降进行监控 | 系统监控 | 无 |
2、查看应用安全指数
1、管理证书页面
点击“应用管理”- “管理证书”
2、安全服务页面
点击“安全中心“ - ”应用健康指数“
3、查看应用安全服务
安全服务页面
点击“安全中心“ - ”应用健康指数“
三、规则
应用安全等级计算公式如下:
其中:
1.TAE目前只向店铺模块应用开放。
2.IP白名单的设置在:开发者中心->安全中心->IP白名单设置
3.使用用户SDK是指:
a.B/S应用需要在用户使用的每个页面(推荐是公共的页头)添加用户SDK用于验证用户使用行为,不使用此用户SDK的将被平台视为无用户操作使用的应用。
用户SDK如下:
(其中xxxxxx换成自己的appkey即可)
b.C/S应用暂不影响。
4.安全漏洞见:开发者中心->监控中心->缺陷列表
2、授权用户数与应用标签关系
应用标签 |
创建时默认规则 |
发布服务审核通过前 |
发布服务审核通过后 |
淘宝客网站 |
只能自己使用 |
只能自己使用,不可选择小部分和所有人使用 |
只能自己使用 |
无线买家应用 |
小部分人使用 |
可选择自己用和小部分人使用,不可选择所有人使用 |
三个范围都可选择 |
买家应用 |
小部分人使用 |
可选择自己用和小部分人使用,不可选择所有人使用 |
三个范围都可选择 |
在线订购应用 |
小部分人使用 |
可选择自己用和小部分人使用,不可选择所有人使用 |
三个范围都可选择 |
店铺模块应用 |
小部分人使用 |
可选择自己用和小部分人使用,不可选择所有人使用 |
三个范围都可选择 |
商家后台系统 |
小部分人使用(5个人) |
可选择自己用和小部分人使用,不可选择所有人使用 |
不可选择所有人使用 |
安全等级相关内容请参见文档:
//open.taobao.com/doc/detail.htm?id=1002#s2
四、安全规范
为了保证开放平台上应用的安全性,我们制定了详细的应用安全规范,要求所有接入淘宝开放平台的第三方应用必须严格遵守。具体安全规范内容请参见文档:
//open.taobao.com/doc/detail.htm?spm=a219a.7386797.0.0.bBwnPn&id=813
FAQ
- 关于此文档暂时还没有FAQ