我们以“逐账户授权、服务端持密、最小权限、可追溯、可撤销”为安全设计原则。桌面客户端只发起授权与业务请求,不保存平台应用密钥和账户令牌。
一、OAuth 与令牌安全架构
- 用户从富掌柜客户端选择本机已登录的抖店店铺,并主动进入平台 OAuth 授权页面;
- 平台将授权结果返回至使用 HTTPS 的受控回调地址;
- 授权码由服务端换取令牌,App Secret 不下发至桌面客户端;
- Access Token 与 Refresh Token 在服务端加密保存,并按用户、店铺与千川账户建立隔离关系;
- 桌面客户端通过富掌柜服务端调用所需能力,服务端校验用户与账户授权关系后再请求平台接口。
二、传输与存储保护
TLS 传输保护公开服务和 OAuth 回调使用 HTTPS,降低数据在传输过程中被窃取或篡改的风险。
服务端加密App Secret、Access Token 和 Refresh Token 只在服务器端受控环境处理,令牌以加密形式保存,解密能力与业务访问权限分离。
客户端零持密桌面 EXE 不内置 App Secret,不将完整令牌写入本地文件、注册表、浏览器存储或日志。
三、最小权限与访问控制
首期仅申请账户信息、账户列表、计划列表与详情、投放报表和操作记录等必要只读权限。新建计划、预算、出价和启停等写入权限按真实产品阶段另行申请。服务端对每次请求校验当前用户、店铺、千川账户和授权范围,拒绝越权访问。
四、隔离、日志与审计
- 账户隔离:按用户与授权账户进行逻辑隔离,不向其他用户提供账户访问能力;
- 日志脱敏:日志不记录完整令牌、App Secret、OAuth 授权码、千川登录密码或完整身份敏感信息;
- 操作追溯:对关键授权状态变化和服务端请求保留必要审计记录;
- 权限复核:定期检查服务账号、运维权限和平台应用权限,移除不再需要的访问能力。
五、备份与恢复
对必要配置和受保护数据执行备份,并限制备份访问。恢复流程包括完整性验证和权限复核。业务查询缓存按隐私政策限定期限处理,不通过备份无限期保留。
六、安全事件响应
我们建立发现、研判、隔离、修复、恢复和复盘流程。发现令牌疑似泄露、异常调用或越权风险时,将根据影响范围采取停用令牌、撤销授权、限制访问、修复配置和通知相关用户等措施,并按适用要求向有关方面报告。
七、用户安全建议
- 仅在确认账户与授权范围无误后完成授权;
- 不要向任何人提供平台密码、短信验证码或授权页面控制权;
- 人员离职、设备丢失或不再使用服务时及时撤销授权;
- 发现异常时立即停止操作并通过富掌柜人工客服反馈。
八、安全联系渠道
如需报告安全问题,请通过您获取富掌柜软件时的原服务人员或富掌柜软件内人工客服提交请求。请勿在反馈中发送完整令牌、密码或验证码。