安全机制

为了保证每一个开发人员对用户数据的保护，BIMFACE提供了多种安全防范机制。

1、OAuth2.0

BIMFACE中使用的APP证书和AccessToken和OAuth2.0有关。OAuth是一个关于授权（authorization）的开放网络标准，在全世界得到广泛应用，目前的版本是2.0版。

查看详细介绍

APP证书（AppKey/AppSecret）

开发人员创建应用后，BIMFACE将为其颁发APP证书，包含AppKey和AppSecret。开发人员应妥善保存，切勿泄露。 APP证书永久有效。

AccessToken

1、AccessToken是开发人员调用服务端API的一个令牌信息，相当于一把钥匙，只有拥有了合法的钥匙，开发人员编写的程序才能正常调用BIMFACE云端的API；
2、AccessToken可以通过AppKey和AppSecret换得（此时，你应该知道APP证书的重要性了吧）；
3、为防止令牌信息被恶意破解，AccessToken的有效期只有 7 天，AccessToken失效以后，必须重复第2步骤。

ViewToken

1、在浏览一个特定的模型或图纸时，需要从服务端获取一个该文件的ViewToken；
2、ViewToken是调用JavaScript API的令牌信息，可以通过AccessToken和对应的文件ID换得；
3、为防止令牌信息被恶意破解，ViewToken的有效期只有 12 小时，ViewToken失效以后，必须重复第2步骤。

图：AccessToken与ViewToken的关系

2、安全数据传输(HTTPS)

BIMFACE提供的服务端API基于安全的HTTP数据传输（HTTPS）协议。

3、签名（Signature）

BIMFACE在某些业务流程中会发起回调（Callback），回调时，URL中添加了Siganature参数，该参数根据特定规则及MD5算法生成。应用在接收回调时，须根据规则验证签名，以免遭受攻击。