跨系统调用的安全机制
对于跨系统调用的产品应用方式下可能出现的安全性风险,可以通过在客户的应用系统中部署本产品提供的安全模块来有效防范。
开发者可在自身的应用系统内部通过该安全模块调用本产品的各种功能,由该安全模块负责对调用指令进行加密、权限控制等处理,并对产品系统发出调用指令。
通过安全模块提供的标准调用方法进行产品功能页面调用时,采用模块化调用方式,调用时会针对参数生成安全校验信息,在发出请求前从请求对象中取到安全校验信息串,根据校验信息串判断是否有权限访问资源,通过此方式有效防止用户通过浏览器工具篡改参数。
安全模块向产品系统发送请求采用POST方式,请求前可以根据配置情况基于密钥进行参数的加密,产品系统接收请求会基于密钥解密,以保证安全性,有效避免URL被复制进行非法访问、参数被修改、以及参数过长被截断等问题。