数据安全说明

安全原则

• 按角色隔离权限：站长、开发者、代理和普通用户只访问其权限范围内的数据。
• 保留关键操作日志：授权、设备、售后、充值、登录和后台管理动作会记录必要审计信息。
• 减少公开暴露：普通用户页面不要求理解应用 ID、后台策略等内部概念。

账号和登录安全

• 支持图片验证码、邮箱验证码、滑块验证或 QQ 快捷登录等安全能力，具体以后台配置为准。
• 站长账号不开放公开注册，建议使用强密码、绑定邮箱并限制可信登录环境。
• 开发者和代理应定期修改密码，不共享后台账号，不在客户端泄露 API 密钥。

数据保护

• 平台仅为授权交付、售后处理、风控审计和服务通知处理必要数据。
• 敏感操作会尽量保留操作者、时间、IP、对象和动作类型，用于追溯问题。
• 备份、日志和缓存数据应由站长按实际部署环境配置访问控制和保存周期。

API 安全建议

• 服务端请求应校验签名、Token、时间戳、应用归属和授权状态。
• 不要把后台账号、数据库密码、站长 Cookie、邮件授权码或支付密钥写入客户端。
• 发现接口被刷、授权异常或客户批量投诉时，应立即停用相关密钥并查看日志。

安全事件处理

如果发现账号被盗、数据泄露、接口被攻击、越权访问或非法授权，请通过滥用举报入口提交证据。平台会根据严重程度进行限制、修复、通知和追溯。