V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
dzdh
V2EX  ›  问与答

就 API 交互类似场景来说,有没有相关法律法规有规定安全规范啥的(纯好奇)

  •  
  •   dzdh · 2021-03-20 23:10:19 +08:00 · 869 次点击
    这是一个创建于 1104 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如接口必须 https 必须使用签名的方式啥的

    产品有部分接口可能要对外提供,为了安全<del>省事</del>,计划使用商用 SSL 证书+自定义 CA&客户端证书。

    双向验证然后根据 nginx 解析后的 serial 、dn 直接鉴权(吊销和可信都在自己库里存了 id+状态),不搞签名啥的

    然后就想到之前搞微信支付接口的时候,他要双向证书+签名。

    stripe 就很简单粗暴 curl -u key: 就行了

    然后就好奇问一下,有没有什么公开资料或相关法律法规啥的有规定一些必须怎么做的。比如商户证书必须要通过 CFCA 下载啊,API 接口至少要保证有两种以上的安全策略啊啥的。 还是全凭自己公司自己做安全评估

    4 条回复    2021-03-22 00:32:25 +08:00
    Zy143L
        1
    Zy143L  
       2021-03-21 03:41:54 +08:00 via Android
    法律法规?没有
    ErnieSauce
        2
    ErnieSauce  
       2021-03-21 10:57:58 +08:00 via iPhone
    部分行业规范里面会有针对外部接口的要求,例如:要对接入的系统具有唯一性标识和鉴别信息,鉴别信息要满足一定的复杂度,要能够记录气质,要有控制权限,要有完整性和保密性检验等等
    dzdh
        3
    dzdh  
    OP
       2021-03-21 11:20:06 +08:00
    @ErnieSauce 比如有哪些公开资料 0.0 『气质』是啥?
    ErnieSauce
        4
    ErnieSauce  
       2021-03-22 00:32:25 +08:00 via iPhone
    @dzdh 日志 不好意思打错了 我这里没有公开资料
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2870 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:28 · PVG 19:28 · LAX 04:28 · JFK 07:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.