淘宝开放平台开发文档 / 平台功能-应用安全保障设置

平台功能-应用安全保障设置

一、产品介绍

 应用通过用户授权调用TOP提供的API可以获取和操作用户、商品、订单等数据,为了防止这些数据泄露和恶意篡改,TOP提供保障应用安全的一系列服务。这些服务包括:敏感操作保护、设置IP白名单、服务器host在万网、黑盒漏洞扫描、设置授权用户数、API调用监控和用户授权监控。根据这些服务收集到的数据构建应用的安全指数,统一衡量应用的安全状况。

 

二、产品详情

1、服务详情

 序号 服务名称 服务简介详情入口
1敏感操作保护对开放平台操作的保护,在查看或重置Secret,修改回调URL,删除应用时需二次验证。点此查看详情

开发者中心->安全中心->敏感操作保护,如下图:

2设置IP白名单

供开发者设置服务器的IP白名单。设置后,该AppKey只允许在IP白名单范围内的服务器IP过来调用API,非白名单IP无法调用API。比如,即使AppKey 和Secret 被盗,如果盗用者不是从您的服务器IP发起的API调用请求,则会被TOP拒绝。

报错信息如下:

 

<code>11</code>
<msg>Insufficient isv permissions</msg>
<sub_code>isv.permission-ip-whitelist-limit</sub_code>
<sub_msg>
The appkey 123456789 is only allowed to call from *.*.*.*, but your ip is #.#.#.#
</sub_msg>
</error_response>

 

 

 

 

 

 

 

 

点此查看IP白名单列表

1、开发者中心->安全中心->IP白名单设置,如下图:

2、开发者中心->应用页面左侧,如下图:

 

3服务器host在万网中国万网为淘宝开放平台ISV用户提供专属定制的云主机,与淘宝使用相同的机房环境及线路,与淘宝网的内网互联,默认符合淘宝对主机的安全要求。通过将服务器host在万网,保障服务器的安全性。点此查看详情

开发者中心->应用页面左侧,如下图:

4黑盒漏洞扫描通过TOP主动监控,帮助ISV发现应用的缺陷,提升应用品质。点此查看详情

开发者中心->监控中心->缺陷列表,如下图:

5设置授权用户数应用面向不同数量的用户群体,对应的安全级别会不同。 

开发者中心->应用页面左侧,如下图:

6API调用监控根据应用采取的安全措施,决定应用调用API时访问的范围不同。系统监控
7用户授权监控对应用的授权用户数突增突降进行监控系统监控

 

2、查看应用安全指数

1、管理证书页面

点击“应用管理”- “管理证书”

T1lvK3XXdoXXaCwpjX.png

 

2、安全服务页面

点击“安全中心“ - ”应用健康指数“

T14uW3XolpXXaCwpjX.png

 

3、查看应用安全服务

 

安全服务页面

点击“安全中心“ - ”应用健康指数“

 

 

T1V2W3XhtnXXaCwpjX.png

 

三、规则

应用安全等级计算公式如下:

T10VeAFhFaXXb1upjX.jpg

其中:

1.TAE目前只向店铺模块应用开放。

2.IP白名单的设置在:开发者中心->安全中心->IP白名单设置

3.使用用户SDK是指:

    a.B/S应用需要在用户使用的每个页面(推荐是公共的页头)添加用户SDK用于验证用户使用行为,不使用此用户SDK的将被平台视为无用户操作使用的应用。

用户SDK如下:

<script type="text/javascript" src="http://a.tbcdn.cn/apps/isvportal/securesdk/securesdk.js" id="J_secure_sdk_script" data-appkey="xxxxxxx"></script>(其中xxxxxx换成自己的appkey即可)

    b.C/S应用暂不影响。

4.安全漏洞见:开发者中心->监控中心->缺陷列表


 2、授权用户数与应用标签关系

应用标签

创建时默认规则

发布服务审核通过前

发布服务审核通过后

淘宝客网站

只能自己使用

只能自己使用,不可选择小部分和所有人使用

只能自己使用

无线买家应用

小部分人使用

可选择自己用和小部分人使用,不可选择所有人使用

三个范围都可选择

买家应用

小部分人使用

可选择自己用和小部分人使用,不可选择所有人使用

三个范围都可选择

在线订购应用

小部分人使用

可选择自己用和小部分人使用,不可选择所有人使用

三个范围都可选择

店铺模块应用

小部分人使用

可选择自己用和小部分人使用,不可选择所有人使用

三个范围都可选择

商家后台系统

小部分人使用(5个人)

可选择自己用和小部分人使用,不可选择所有人使用

不可选择所有人使用

安全等级相关内容请参见文档:

//open.taobao.com/doc/detail.htm?id=1002#s2

四、安全规范

 为了保证开放平台上应用的安全性,我们制定了详细的应用安全规范,要求所有接入淘宝开放平台的第三方应用必须严格遵守。具体安全规范内容请参见文档:

//open.taobao.com/doc/detail.htm?spm=a219a.7386797.0.0.bBwnPn&id=813

FAQ

  • 关于此文档暂时还没有FAQ