我们正在开发一个网站,该网站将利用 OFX 标准提供对客户财务数据的访问。然而,为了安全,我们使用了秘密问题/秘密答案、机器标记等。OFX 标准是否提供任何安全机制,而不仅仅是简单的用户名/密码?我查看了架构和一些示例数据,但没有看到任何看起来符合我们需求的东西。有人在这方面有经验吗?
问问题
428 次
1 回答
0
4.1.5 通道级别:通常对客户端或服务器透明,通道级别的安全性内置于通信过程中,保护“管道”两端之间的消息。为了在 HTTP 传输期间保护消息,客户端和服务器应用程序使用安全套接字层 (SSL) 协议。SSL 透明地保护客户端和目标 Web 服务器之间交换的消息。SSL 使用 Web 服务器的证书对目标 Web 服务器进行身份验证。此外,它通过加密和 SSL 记录完整性提供隐私,即每次传输中发送的数据块在没有检测到的情况下无法更改。
应用程序级:对传输过程透明且独立于传输过程,应用程序级安全性保护从客户端应用程序一直发送到处理 OFX 消息的服务器应用程序的用户密码。服务器应用程序通常驻留在目标 Web 服务器之外,受 Internet 防火墙保护。应用级安全需要通道级安全。
他们有 2 个安全级别。您可能不需要更多。你增加了额外的安全性,你会延迟发送你的财务数据。使用 OFX 检查和验证消息有充分的杠杆作用,它可能应该适合您的应用程序。
于 2010-10-29T11:28:29.603 回答