安全机制

为了保证每一个开发人员对用户数据的保护,BIMFACE提供了多种安全防范机制。

1. OAuth2.0

BIMFACE中使用的APP证书和AccessToken和OAuth2.0有关。OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 您可以参考OAuth相关文章获得更多信息。

APP证书(AppKey/AppSecret)

开发人员创建应用后,BIMFACE将为其颁发APP证书,包含AppKey和AppSecret。开发人员应妥善保存,切勿泄露。APP证书永久有效。

AccessToken

  • AccessToken是开发人员调用服务端API的一个令牌信息,相当于一把钥匙,只有拥有了合法的钥匙,开发人员编写的程序才能正常调用BIMFACE云端的API;
  • AccessToken可以通过AppKey和AppSecret换得(此时,你应该知道APP证书的重要性了吧);
  • 为防止令牌信息被恶意破解,AccessToken的有效期只有 7 天,AccessToken失效以后,必须重复上一步骤。

ViewToken

  • 在浏览一个特定的模型或图纸时,需要从服务端获取一个该文件的ViewToken;
  • ViewToken是调用JavaScript API的令牌信息,可以通过AccessToken和对应的文件ID换得;
  • 为防止令牌信息被恶意破解,ViewToken的有效期只有12小时,ViewToken失效以后,必须重复上一步骤。

image

2. 安全数据传输(HTTPS)

BIMFACE提供的服务端API基于安全的HTTP数据传输(HTTPS)协议。

3. 签名(Signature)

BIMFACE在某些业务流程中会发起回调(Callback),回调时,URL中添加了Siganature参数,该参数根据特定规则及MD5算法生成。应用在接收回调时,须根据规则验证签名,以免遭受攻击。