概述

通过为我们的合作伙伴提供互联网开发接口从而输出我们的业务能力和技术能力。外部用户通过互联网渠道，调用我们的应用程序接口，获取我们的能力，如下图所示

   应用程序接口服务层将应用方请求转发至业务系统处理，并将处理结果反馈应用方或用户，包含认证鉴权、流量控制、监控分析、报文交换、服务组合等功能，不涉及具体业务逻辑处理，实现对应用程序接口和应用方的管理。

接口类型

1. 服务端对服务端集成方式
1. 应用方服务端使用我们提供的服务端 SDK，间接访问应用程序接口。服务端SDK封装通用接入算法不包含业务逻辑，以降低应用方接入开发难度
2. 应用方服务端以REST、SOAP 协议的方式直接调用我们的应用程序接口

1. 移动终端对服务端集成方式
1. 应用方移动终端应用软件使用我们提供的移动终端应用 SDK，间接访问我们的应用程序
   接口。移动端SDK除封装接入算法外还可以封装密码数据的安全加固
2. 应用方移动终端应用软件直接调用应用程序接口

安全等级

我们可以按照是否与用户直接关联来对接口的安全进行等级分类，我们把与用户直接关联的接口的安全等级定义为A2级；与用户无直接关联的接口的安全等级定义为A1级

比如

• A2级的接口

  支付、转账、账户余额、交易历史、账户限额

• A1级的接口

  产品和服务信息查询应用类

身份认证安全设计

对于应用方身份认证应使用的验证要素包括

• App_ID：应用唯一标识（Application unique ID）

• App_Secret：应用鉴别密文（Application Secret）

• 数字证书：

• 公私钥对

对于 A2 级别接口、应用方身份认证时，应使用包含数字证书或公私钥对的方式进行双向身份认证

交互安全设计

1. 有效性验证，如接口版本、参数格式

1. 交互数据的完整性进行保护，对应A2级别的接口应用方应使用数字签名来保证数据的完整性和不可抵赖性

1. 其他安全措施
1. 清除临时文件、内存的敏感信息
2. 加密
3. 防键盘窃听
4. 自定义软键盘
5. 防截屏

授权管理

应根据不同应用方的服务需求，按照最小授权原则，对其相应接口权限进行授权管理，当服务需求变更时，需及时评估和调整接口权限

攻击防护

安全监控

应对接口使用情况进行监控，完整记录接口访问日志。相关日志应至少包括交易流水号、应用唯一标识、接口唯一标识、调用耗时、时间戳、返回结果（成功或失败）等；

应用方接口日志中应以部分屏蔽的方式记录敏感信息，除此之外的个人融信息不应在应用方接口日志中进行记录

密钥管理

加密和签名宜分配不同的密钥，且相互分离。

不应以编码的方式将私钥明文（或密文）编写在应用程序相关代码中，App_Secret或私钥不应存储于应用方本地配置文件中，防止因代码泄露引发密钥泄露。

应依据行应用程序接口等级设置不同的密钥有效期，并对密钥进行定期更新。

安全部署

  应用程序接口和应用方都应在互联网边界部署如防火墙、IDS/IPS、DDoS防护等具备访问控制、入侵防范相关安全防护能力的网络安全防护措施。