我们正在开发一个网站,该网站将利用OFX标准提供对客户财务数据的访问。但是,为了安全起见,我们使用秘密问题/秘密答案,机器标记等.OFX标准是否提供除了简单用户名/密码之外的任何安全机制?我已经看过架构和一些示例数据,但没有看到任何看起来符合我们需求的东西。有这方面经验的人吗?
答案 0 :(得分:0)
4.1.5通道级别:通常对客户端或服务器透明,通道级安全性内置于通信过程中,保护“管道”两端之间的消息。在HTTP传输,客户端和服务器应用程序期间保护消息使用安全套接字层(SSL)协议。 SSL透明地保护客户端和目标Web服务器之间交换的消息。 SSL使用Web服务器的证书对目标Web服务器进行身份验证。此外,它通过加密和SSL记录完整性提供隐私,即每次传输中发送的数据块不经检测就无法更改。
应用程序级别:透明且独立于传输过程,应用程序级安全性保护从客户端应用程序发送到处理OFX消息的服务器应用程序的用户密码。服务器应用程序通常驻留在目标Web服务器之外,在Internet防火墙后面进行保护。应用程序级安全性需要通道级安全性。
他们有2个级别的安全性。你可能不需要更多。您提供额外的安全性,您将延迟发送您的财务数据。有足够的杠杆来检查和验证OFX的消息,它可能应该适合您的应用程序。