跳到主要内容

安全来源

安全来源配置是云开发服务的核心安全机制,通过严格的访问控制确保只有授权的来源能够访问您的云开发资源。本文将详细介绍如何配置和管理Web安全域名与移动应用安全来源。

安全域名配置

什么是安全域名?

安全域名是一种访问控制机制,只有在白名单中的域名才能调用云开发的资源,有效防止资源被非法调用。

配置方法

控制台操作步骤

  1. 登录云开发控制台/环境配置/安全来源
  2. 在"安全域名"区域点击【添加域名】按钮
  3. 在弹出的对话框中填写需要授权的域名:
    • 支持完整域名(如 www.example.com
    • 支持通配符(如 *.example.com
    • 支持端口号(如 example.com:8080
  4. 点击【确定】完成添加

配置示例

# 允许所有子域名
*.example.com

# 允许特定域名
www.example.com

# 允许带端口的域名
localhost:3000

注意事项

  • 配额限制:每个环境最多可配置50个安全域名
  • 生效时间:配置后约1-2分钟生效
  • 格式要求:请勿添加协议头(如https://
  • 默认安全域名:系统自动配置以下域名:
    • localhost - 本地开发调试
    • env-id.service.tcloudbase.com - HTTP访问服务
    • env-id.tcb.qcloud.la - 文件存储服务
    • env-id.tcloudbaseapp.com - 静态网站托管服务(需开通)

常见问题排查

域名配置后仍然无法访问?

请检查以下几点:

  1. 域名拼写是否正确(包括大小写)
  2. 是否错误地包含了协议头(如https://
  3. 是否在iframe中访问(需在安全域名后添加特殊标记)
  4. 是否等待了足够的生效时间(1-2分钟)
  5. 浏览器控制台是否有相关错误提示

移动应用安全来源

为什么需要配置移动应用安全来源?

移动应用安全来源可以防止您的云资源被未授权的应用调用,有效保护您的数据安全和业务逻辑。

配置流程

控制台操作步骤

  1. 在【安全来源】配置页面点击【添加应用】

  2. 填写应用信息:

    • 应用名称:便于识别的名称(如"MyApp-iOS-Production")

    • 应用标识

      • iOS应用:使用Bundle ID(如 com.example.myapp
      • Android应用:使用应用包名(如 com.example.myapp
      • 小程序:使用AppID(如 wx1234567890
  3. 点击【保存】完成配置

获取与使用应用凭证

  1. 在已添加应用的操作栏点击【获取凭证】
  2. 系统生成并显示环境信息
  3. 点击【复制】保存私钥信息

安全提示

  • 私钥信息高度敏感,请勿硬编码或明文存储
  • 建议使用安全存储机制或远程配置获取凭证
  • 定期轮换应用凭证
  • 不同环境(开发、测试、生产)应使用不同凭证

最佳实践

安全策略

  1. 最小权限原则:仅授权必要的域名和应用
  2. 环境隔离:测试环境和生产环境使用不同配置
  3. 平台区分:为iOS、Android和小程序创建独立配置
  4. 版本控制:主要版本更新时更换应用凭证

凭证管理

  • 使用密钥管理系统(KMS)存储敏感凭证
  • 离职员工使用的凭证应立即撤销
  • 使用CI/CD流程自动注入凭证,避免人工操作

监控与审计

  • 配置异常访问告警规则(如地理位置异常、访问量突增)
  • 监控API调用来源分布和频率
  • 定期审计安全来源配置
  • 启用访问日志并定期分析

配置检查清单

  • 是否限制了不必要的域名和应用
  • 是否区分了开发、测试和生产环境
  • 是否定期轮换凭证(3-6个月)
  • 是否移除了废弃配置和无用凭证
  • 是否配置了监控告警机制
  • 是否有凭证泄露的应急响应流程

常见问题

凭证泄露如何处理?

如发现凭证泄露,请立即按照以下流程处理:

  1. 立即在控制台生成新凭证
  2. 更新应用代码并发布新版本
  3. 在控制台撤销旧凭证
  4. 检查云开发日志,排查是否有异常访问