OFX --二级安全？

Question

我们正在开发一个网站，该网站将使用OFX标准来提供对客户财务数据的访问。然而，为了安全，我们使用秘密问题/秘密答案，机器标记等。OFX标准是否提供了除了简单的用户名/密码之外的任何安全机制？我已经查看了模式和一些示例数据，但还没有看到任何看起来适合我们需要的内容。有人在这方面有经验吗？

Answer 1

4.1.5通道级:通道级安全性通常对客户端或服务器是透明的，它内置于通信过程中，保护“管道”两端之间的消息。为了在HTTP传输期间保护消息，客户端和服务器应用程序使用安全套接字层(SSL)协议。SSL透明地保护客户端和目标Web服务器之间交换的消息。SSL使用Web服务器的证书对目标Web服务器进行身份验证。此外，它通过加密和SSL记录完整性提供隐私，即每次传输中发送的数据块在未检测到的情况下无法更改。

应用程序级别:对传输过程透明且独立于传输过程，应用程序级别安全保护从客户端应用程序一直发送到处理OFX消息的服务器应用程序的用户密码。服务器应用程序通常驻留在目标Web服务器之外，由Internet防火墙保护。应用程序级别的安全性需要通道级别的安全性。

他们有两个安全级别。您可能不需要更多。如果你设置了额外的安全措施，你就会延迟发送你的财务数据。有足够的杠杆来使用OFX检查和验证消息，它可能适合您的应用程序。