Appearance
安全要求
概述
本条目定义“灵妙儿带你游西湖”项目的安全要求,涵盖传输安全、身份鉴权、支付安全、敏感信息保护和接口安全等方面。
安全指标要求
| 指标 | 要求 |
|---|---|
| 传输安全 | 全链路 HTTPS |
| 身份鉴权 | Token 鉴权 + 服务端权限校验 |
| 支付安全 | 微信支付回调验签、订单金额服务端校验 |
| 敏感信息 | 手机号、地址加密存储,日志中脱敏展示 |
| 接口安全 | 高频接口限流,关键接口要求幂等键 |
具体说明
传输安全
- 所有通信链路必须采用 HTTPS。
- 确保客户端、服务端及相关服务之间的数据传输安全。
身份鉴权
- 接口访问采用 Token 鉴权。
- 服务端必须执行 权限校验,避免仅依赖客户端控制访问权限。
支付安全
- 微信支付场景下,必须对 支付回调进行验签。
- 订单金额必须由 服务端进行校验,防止客户端篡改。
敏感信息保护
- 手机号、地址 等敏感信息需加密存储。
- 日志中展示敏感字段时必须进行 脱敏处理。
接口安全
- 对高频接口实施 限流,防止滥用和恶意请求。
- 关键接口需支持 幂等键,避免重复提交导致的数据异常。