1. 安全隐患

在地球号的访问控制下,资源的访问是总体安全的。本文解释地球号的安全机制,以及试图破解地球号安全机制所需要的努力。

  1. 地球号令牌机制使用非对称加密算法,后台存放全局唯一的私钥,我们称之为根私钥。它的改变会要求散发出去的所有应用令牌全部改变,地球号后台服务的addapp接口和addlogin接口需要访问这个根密钥。根密钥对外是完全保密的。

  2. 地球号在云授权应用的app的Key和secret,这个通过浏览器SDK,PHP SDK,Python SDK已经暴露了。客户在使用SDK的时候就会看到,不算做秘密。

  3. 用户在地球号平台创建的app的key和secret。这个只有用户自己知道。用户应该尽量避免这个SDK泄露。例如,用户可以把访问服务部署在自己的后端服务器。注意,这里用户也可以为了省事直接把secret暴露在一些源码SDK中,如javascript,php,python。如果这些SDK直接运行在前端。就会暴露key和secret。

  4. 在地球号上创建资源(户群/应用)的用户的账号(尤其是密码),这个只有用户自己知道。地球号的关键资源是需要登陆访问的,客户只有在特定的应用登陆才能获取相应的token,用这个token才可以访问相应的资源。

正式因为1和4这两点的暴露概率小,只要用户保护好自己的密码,其所建的资源不可能被破解。

2. 异常监测

我们主要监测令牌的使用次数,均值,方差,从而来判断它是否异常。

results matching ""

    No results matching ""