注意:以下文档只适用于TOP接口,请谨慎使用!

文档中心 > 基础技术

安全保障中心

更新时间:2019/01/16 访问次数:192881

一、产品介绍

 应用通过用户授权调用TOP提供的API可以获取和操作用户、商品、订单等数据,为了防止这些数据泄露和恶意篡改,TOP提供保障应用安全的一系列服务。这些服务包括:设置IP白名单、服务器托管报备、黑盒漏洞扫描、数据存储加密、设置授权用户数、API调用监控和用户授权监控。根据这些服务收集到的数据构建应用的安全指数,统一衡量应用的安全状况。

主要在开放平台后台查看和设置:

二、产品详情

1、服务详情

 序号  服务名称  服务简介 详情 入口
1 设置IP白名单

供开发者设置服务器的IP白名单。设置后,该AppKey只允许在IP白名单范围内的服务器IP过来调用API,非白名单IP无法调用API。比如,即使AppKey 和Secret 被盗,如果盗用者不是从您的服务器IP发起的API调用请求,则会被TOP拒绝。

报错信息如下:

 

<code>11</code>
<msg>Insufficient isv permissions</msg>
<sub_code>isv.permission-ip-whitelist-limit</sub_code>
<sub_msg>
The appkey 123456789 is only allowed to call from *.*.*.*, but your ip is #.#.#.#
</sub_msg>
</error_response>

 

 

 

 

 

 

 

 

点此查看IP白名单列表

控制台->应用管理->安全中心->IP白名单设置

如下图:

 

 

2 服务器托管报备 主要供开发者设置主机是否托管  点此查看服务器托管报备

控制台->应用管理->应用设置->服务器托管报备

如下图:

3 黑盒漏洞扫描 通过TOP主动监控,帮助ISV发现应用的缺陷,提升应用品质。 点此查看详情

控制台->应用管理->安全中心->缺陷列表

如下图:

4 数据存储加密 提供针对消费者敏感数据存储的加密能力,用于防止因外部或内部安全威胁所导致的数据泄露问题,从而提高数据安全的防护水平。 点此查看详情

控制台->应用管理->安全中心->数据存储加密

如下图:

5 设置授权用户数 应用面向不同数量的用户群体,对应的安全级别会不同。该设置也是主要影响应用安全等级的因素。  

控制台->应用管理->应用设置->授权管理

6 API调用监控 根据应用采取的安全措施,决定应用调用API时访问的范围不同。 系统监控
7 用户授权监控 对应用的授权用户数突增突降进行监控 系统监控

 

2、查看应用安全

1、管理证书页面

点击  控制台->应用管理  在应用首页即可查看应用安全等级

 

2、安全服务页面

 

 

 

三、规则

应用安全等级计算公式如下:

其中:

1.TAE目前只向店铺模块应用开放。

2.IP白名单的设置在:控制台->应用管理->安全中心->IP白名单设置

3.安全漏洞见:控制台->应用管理->安全中心->缺陷列表

 

安全等级说明

为了更加灵活的对淘宝开放平台开放的数据进行安全管控, 降低用户数据泄露或者被恶意修改的风险,推出了安全等级的概念。
淘宝开放平台对API(或者API字段)及 应用分别打了r1、r2、w1、w2 和 0,1,2,3四种安全级别的标记。与 r1、r2、w1、w2对应的是在access token(session key)颁发时增加了4个过期时间:r1_expires_in、r2_expires_in、w1_expires_in、w2_expires_in。这4个值分别用来表示此access token 调用各级别API(或字段)的有效期,如下:(受安全等级限制的应用有:第三方IT工具、服务商后台系统、店铺模块后台这3类应用;商家后台系统和新业务这类卖家自用型应用暂不受影响。)

安全等级 API级别 正式环境测试 上线运行中 是否可刷新 Refresh刷新时长
3级 R1 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
3级 R2 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
3级 W1 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
3级 W2 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
2级 R1 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
2级 R2 24小时 72小时 已上线应用与订购时长一致,正式环境测试24小时有效
2级 W1 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
2级 W2 30分钟 30分钟  
1级 R1 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
1级 R2 24小时 24小时  
1级 W1 24小时 同订购时长 已上线应用与订购时长一致,正式环境测试24小时有效
1级 W2 5分钟 5分钟  
0级 R1 30分钟 30分钟  
0级 R2 0分钟 0分钟  
0级 W1 30分钟 30分钟  
0级 W2 0分钟 0分钟  
 

安全等级相关内容请参见文档:

//open.taobao.com/doc/detail.htm?id=1002#s2

四、安全规范

 为了保证开放平台上应用的安全性,我们制定了详细的应用安全规范,要求所有接入淘宝开放平台的第三方应用必须严格遵守。具体安全规范内容请参见文档:

//open.taobao.com/doc/detail.htm?spm=a219a.7386797.0.0.bBwnPn&id=813

FAQ

关于此文档暂时还没有FAQ
返回
顶部