安全来源设置
安全来源配置是云开发服务的重要安全机制,通过配置 Web 端和终端应用(小程序、App 等)白名单,确保只有授权的来源才能访问您的云开发资源。
安全域名
配置方法
控制台操作步骤
- 登录云开发控制台
- 在左侧导航栏选择【环境配置】>【安全来源】
- 在"Web安全域名"区域点击【添加域名】按钮
- 在弹出的对话框中填写需要授权的域名:
- 支持完整域名(如
www.example.com) - 支持通配符(如
*.example.com) - 支持端口号(如
example.com:8080)
- 支持完整域名(如
- 点击【确定】完成添加
配置示例
# 允许所有子域名
*.example.com
# 允许特定域名
www.example.com
# 允许带端口的域名
localhost:3000
注意事项
- 每个环境最多可配置50个安全域名
- 配置后约1-2分钟生效
- 请勿添加协议头(如
https://) - 默认安全域名包括:
localhost- 本地开发调试env-id.service.tcloudbase.com- HTTP访问服务env-id.tcb.qcloud.la- 文件存储服务env-id.tcloudbaseapp.com- 静态网站托管服务(需开通)
常见问题
为什么配置后仍然无法访问?
请检查如下内容:
- 域名是否拼写正确
- 是否包含协议头(如https://)
- 是否在iframe中访问(需额外配置)
移动应用安全来源
配置流程
控制台操作步骤
- 在【安全来源】配置页面点击【添加应用】
- 填写应用信息:
- 应用名称:便于识别的名称(如"MyApp-iOS")
- 应用标识:
- iOS应用:可以采用Bundle ID(如com.example.myapp)
- Android应用:可以采用应用包名(如com.example.myapp)
- 点击【保存】完成配置
获取应用凭证
- 在已添加应用的操作栏点击【获取凭证】
- 系统生成并显示凭证信息
- 点击【复制】保存凭证信息
注意事项:
- 凭证信息敏感,请勿泄露
- 建议定期轮换应用凭证
- 不同平台(iOS/Android)可以分别配置
- 测试环境和生产环境使用不同凭证
最佳实践
安全策略
- 最小权限原则:仅授权必要的域名和应用
- 环境隔离:测试环境和生产环境使用不同配置
- 平台区分:为iOS和Android创建独立配置
凭证管理
- 每3-6个月轮换一次应用凭证
- 使用密钥管理系统存储敏感凭证
- 离职员工使用的凭证应及时撤销
监控告警
- 配置异常访问告警规则
- 监控API调用来源分布
- 定期审计安全来源配置
配置检查清单
- 是否限制了不必要的域名
- 是否区分了不同环境
- 是否定期轮换凭证
- 是否移除了废弃配置
- 是否配置了监控告警
常见问题
凭证泄露如何处理
按如下流程操作:
- 立即生成新凭证
- 使得新凭证在 APP 上生效
- 撤销旧凭证
- 检查是否有异常访问