1.基本规则
- 所有接口调用请求时必须使用 UTF8 字符编码。
- API 接口入参和出参有可能包含用户输入的信息,为避免 XSS 攻击,开发者应该对数据进行适当的处理,增强用户输入校验,如使用 WAF 进行系统防护。
- 开发者应妥善保管 应用密钥(AppSecret) 防止泄露,如上传 Github 或 Giee 时代码及注释需注意检查是否已删除AppSecret、身份证号、银行卡号等敏感信息。
- 为保障服务稳定性,e签宝正式生产环境禁止进行性能压测和安全渗透测试。e签宝沙箱模拟环境进行性能压测和安全渗透测试时,需先向e签宝技术顾问报备,获得许可后才能进行相关操作。否则,e签宝安全团队有权采取相关措施进行拦截,影响严重时e签宝安全团队将上报网警。
- 按《电子认证服务管理办法》要求,贵司需要在调用e签宝电子签名SDK 3.0 中创建签署账号接口之前向用户展示《数字证书服务协议》。并在用户阅读并明确表达已知晓的情况下,贵司才可以调用创建签署账号接口为用户申请数字证书。因此,开发者的系统中需要含有向用户进行相关服务协议展示的环节,详见《电子签名使用合规性处理说明》。
2.e签宝应用及环境说明
- 沙箱环境中所产生的数据及操作仅用于接口联调测试,所实名认证和签署的文件不具有法律效力。
- 正式业务开展时,请开发者务必切换到正式生产环境中。
- e签宝沙箱模拟环境和正式生产环境中的数据属于物理隔离,数据无法互通。开发者不能直接在正式生产环境中复用沙箱模拟环境中的数据。
- 接口开发调试时,可参考沙箱模拟环境使用说明获取沙箱应用ID进行接口调用。
- 正式开展业务时,可参考正式生产环境使用说明获取正式应用ID并切换到正式生产环境。
- 开发者应该提前 2-3 天向e签宝交付顾问报备上线计划,以便开发者在上线遇到问题时可获得技术支持。
- 开发者在应用上线前,需要通过录制含有相关协议展示页的视频并发送至e签宝的 openapi-support@tsign.cn 邮箱,来证明贵司已向用户尽到相关告知义务。详见《电子签名使用合规性处理说明》中的“提交相关服务协议告知演示视频方法”章节。若在应用上线后7天内仍未提供告知演示视频,e签宝安全风控及法务团队将介入评估并发出《业务整改函》,业务不合规情况严重者,e签宝将停止提供相关接口服务。
3.接口错误码说明
(1)开发者应该根据错误码 errCode 值来判断接口响应的结果,不应该根据 msg 进行业务依赖判断。
(2)随产品迭代,e签宝可能会对所返回的 msg 进行文案优化调整。
(3)接口调用出现报错时,开发者可通过错误码查询工具查找错误排查方法。
4.TLS协议版本说明
(1)调用e签宝相关接口时使用的 JDK 及 HTTP 客户端需要支持 TLS 1.1/1.2,禁用使用 TLS1.0 协议;
(2)用于加载e签宝相关页面的浏览器需要支持TLS 1.1/1.2,若不支持可按以下信息升级浏览器版本:
- IE 升级版本到 IE 11 及以上
- Chrome 升级版本到 Chrome 29 及以上
- Firefox 升级版本到 Firefox 26 及以上
- Android 升级版本到 Android 4.4 及以上
- Safari 升级版本到 Safari 7 及以上
我要纠错