🛡️ 安全体系
- 良好的安全规范,多维度进行安全控制,银行级系统安全技术支持成功实施经验。
🔐 国产化信创
- 支持国产化软硬件环境,如国产芯片、操作系统、数据库、中间件、国密算法等。
🛡️ 三级等保
- 数据满足各种国密标准,安全体系满足国家《网络安全-三级等保》、《数据安全》功能要求。
🔒 国密算法
- 支持登录限制、接口国密算法加解密、数据脱敏等一系列安全要求。
- 支持 SM2、SM3、SM4 全套国密算法。
- 非对称算法SM2、对称算法SM4、摘要算法SM3。还包含传输加解密(SM2+SM3+SM4)、数据库加解密(SM3+SM4)、配置文件加解密(SM3+SM4)。
验证码
- 支持图形验证码。
- 支持行为验证码。
- 支持短信验证码。
🔑 安全特性
- 采用SaToken轻量级 Java 权限认证框架,功能强大、学习成本低。
- 支持登录认证、权限认证、单点登录、短信验证码登录、第三方授权登录、OAuth2.0 等认证模式。
- 增强的 RBAC 权限设计,资源于接口独立授权,更加灵活。
- 支持按钮级别细粒度独立授权,界面按钮动态展示。
- 支持接口安全机制,支持API接口注解式、路由拦截式鉴权,防止越界访问,可细化控制接口授权,非常简便实现不同客户端只看自己数据等安全性控制;
- 数据字段级范围机制,每个接口与字段都可以配置不同数据范围。
- 支持限流防抖,防重复提交,有效阻止脏数据产生。
- 密码、手机、身份证号等使用国密算法加密传输、加密存储,数据更安全。
- 操作日志使用 SM2 进行完整性保护,满足安全审计要求。
🔐 安全保障
- 安全体系:满足国家三级等保要求,如双因子登录、密码加密、密码复杂度要求、登录错误次数锁定、登录超时退出、数据脱敏等网络安全和数据安全功能
- 接口加解密:支持请求参数和返回内容进行加解密操作,支持国产加密算法和其他国外加密算法
- 请求参数 敏感词 过滤 AC 算法。
- 数据库 MySQL 字段 AES 双向加密解密。
- 完善的权限控制,可控制到页面或按钮。
- 完善的数据权限,可方便实现数据隔离。
- 完善的 XSS 防范及脚本过滤,彻底杜绝 XSS 攻击。
🌍 XSS (跨站脚本攻击)防御
🌐 CSRF (跨站请求伪造)防御
💉 SQL 注入安全保护
综合对比
| 攻击类型 | 攻击层面 | 主要目标 | 关键防御措施 |
|---|---|---|---|
| XSS | 客户端 | 用户数据 | 输入输出编码、CSP |
| CSRF | 会话层 | 用户操作 | CSRF Token、SameSite Cookie |
| SQL 注入 | 服务端 | 数据库 | 参数化查询、ORM |