安全

今天要来谈的是安全,是什么让我要来谈这个我不擅长,也没怎么研究的领域呢!还是因为自己的亲身经历。

也就简单聊聊,算是闲聊和发发感想吧。

淘宝,我相信这里的每个读者都用过,并且也是他们的会员,不管是在上面买东西,还是开发者,都是统一的账号。

  1. 如果你使用了翻墙软件,淘宝账号体系可能会将你的账号登录视作异地登陆,会被标记为异常登录,并且会提示一些错误信息

  2. 如果经常出现1的情况,那么你的账号很可能会被要求重置密码。

很不幸,前两天我就遇到了这样的情况,因为上述原因,被要求重置密码,折腾了半天才弄好。

阿里巴巴系产品现在基本都是可以使用淘宝账号体系来登录的,也是唯一方式吧,所以不管作为开发者,还是普通用户都是用一个账号。

还有一种情况:

如果你是开发者,可能有自己账号还有单独的开发者账号。 或者你有多个淘宝账号,如果频繁切换账号,淘宝账号系统也会对此有一些检测。

所以,在进行使用的时候,也要注意自己的登录环境,以及应用场景,避免不必要的麻烦,虽然说重置密码也不复杂,但是带来的不方便还是显而易见的。

顺便再说说淘宝XXXX提供的SDK,该平台生成的SDK中会有一个安全图片,该图片会被SDK进行校验,以保证我们的应用合法的使用SDK。

使用应用的appkey和其他相关信息(android还需要提供keystore签名的apk文件)一起加密生成的1像素点的加密图片。

Android和iOS 使用的策略是基本上一样的。

这也给我们的应用增加了一层安全性,避免因为安全性问题给我们带来损失,特别是对于电商类来说,损失都会直接是钱。

在这一块,算是第一次接触到一个SDK居然还有安全性认证,看来淘宝做的还真的挺深入的。

补充科普: (OAuth2

OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。

OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。

OAuth是OpenID的一个补充,但是完全不同的服务。

更多内容参考维基百科-OAuth