网关安全之应用访问授权设计
移动网关提供了API访问安全支持
a、支持通过API授权配置对调用者进行鉴权操作
b、支持按应用维度对API进行发布和管理。每个应用有独立的API订阅凭证,互相不能访问。
c、支持对调用者进行设备号黑白名单配置
d、支持对客户端进行应用API白名单配置
三、移动平台安全设计之移动终端
移动App建设和传统的B/S模式不同,它是有一个介质运行在最终用户终端,这个介质的安全性也至关重要,下面我们看看移动终端的安全设计。
3.1移动终端基础架构设计
移动平台基座架构安全设计主要包含以下四大方面:
a、数据传输安全
提供完整的应用更新流程API,提供应用包、热更新包完整性校验,防止介质被攻击修改注入攻击代码。
提供令牌管理:用户登录成功后,将认证成功后的TGC、门户访问的token、微应用订阅关系 缓存到本地。
提供鉴权服务:在打开微应用时,通过调用接口获取微应用访问token并传递给微应用。
b、应用资源存储访问安全
提供完善的应用资源访问API,物理隔离应用、微应用资源。
c、日志管理安全
提供开发期、发布期日志管理能力,有效防止发布App日志敏感信息泄露。
d、界面&输入安全
提供安全可配置化的水印等能力,有效防止重要信息外泄。
3.2移动终端安全架构设计
数据传输安全设计
移动终端是需要和服务器端通讯的,普元移动平台在设计之初主要从以下四个方面从终端报障数据传输安全,防止中间人攻击:
a、Root&越狱检测,给出明确的提示信息
b、服务器端证书校验
c、VitualXposed 等hook框架检测,给出明确提示,不允许App运行
d、使用加密的安全通道与服务器端交互
数据存储安全设计