数据加密
传输加密
所有 API 通信 强制使用 HTTPS,不支持 HTTP 明文传输。
- TLS 版本:TLS 1.2 及以上
- 证书:平台使用权威 CA 签发的 SSL 证书
- HTTP 请求将被重定向到 HTTPS 或直接拒绝
敏感数据处理
平台侧
- AppSecret 加密存储,数据库中不存储明文
- 身份证号 等敏感信息加密存储
- API 日志 中的敏感字段脱敏处理
开发者侧建议
- 不要 在客户端(前端/App)直接调用开放平台 API
- 不要 在代码仓库中硬编码 AppSecret
- 推荐 使用环境变量或配置中心存储密钥
- 推荐 定期轮换 AppSecret(建议 3 个月一次)
数据脱敏
API 响应中的敏感信息会自动脱敏:
| 字段 | 脱敏规则 | 示例 |
|---|---|---|
| 手机号 | 保留前 3 后 4 | 138****1234 |
| 身份证 | 保留前 4 后 4 | 1101****5678 |
| 银行卡 | 保留后 4 | ****5678 |
| 邮箱 | 用户名部分脱敏 | zh***@example.com |