比如接口必须 https 必须使用签名的方式啥的
产品有部分接口可能要对外提供,为了安全<del>省事</del>,计划使用商用 SSL 证书+自定义 CA&客户端证书。
双向验证然后根据 nginx 解析后的 serial 、dn 直接鉴权(吊销和可信都在自己库里存了 id+状态),不搞签名啥的
然后就想到之前搞微信支付接口的时候,他要双向证书+签名。
stripe 就很简单粗暴 curl -u key: 就行了
然后就好奇问一下,有没有什么公开资料或相关法律法规啥的有规定一些必须怎么做的。比如商户证书必须要通过 CFCA 下载啊,API 接口至少要保证有两种以上的安全策略啊啥的。 还是全凭自己公司自己做安全评估
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.