APIX：用互联网技术攻陷个人信评估的数据壁垒
[摘要]黑格科技利用互联网大数据术突破传统征信的局限性，为金融机构和消费者提供实时的征信数据和个人用评估服务。
文/郑可君北京黑格科技有限公司，注册成立于2015年2月，是一家新兴的科技金融服务公司。黑格科技利用互联网大数据技术突破传统征信的局限性，为金融机构和消费者提供实时的征信数据和个人信用评估服务。APIX专注为金融机构提供数据服务APIX（）是黑格科技旗下的一款SaaS云服务产品，专注为金融机构提供实时在线用户数据采集，信用评估，第三方征信数据接入服务。平台于2015年2月正式上线运营，目前注册企业用户超过5000家，每天有超过1000家金融机构和互联网金融公司在使用APIX提供的征信数据服务。消费金融场景下的征信风控特点2016年政府工作报告再一次提及消费金融，“在全国开展消费金融公司试点，鼓励金融机构 创新消费信贷产品。”这意味着，消费信贷市场将迎来巨大发展机遇。市场预计，2017年消费信贷规模超过27万亿规模将维持20%以上复合增长率，2019年中国消费信贷规模将超过40万亿。银行及非银金融机构、电商公司、互联网金融平台等都在扎堆争抢布局消费金融这万亿级的蓝海市场。黑格科技联合创始人李超表示：“80、90、00后逐渐成为消费市场的主流人群，他们是中国的未来。这个群体大多没有固定资产，没有有效的征信记录，甚至没有信用卡，但是有着非常开放的消费观念。他们是互联网的原住民，大部分的行为数据都在网络上。同时，互联网消费金融又具有量大，碎片化，额度小和周期短的特征，因此，以更低的成本快速采集用户的有效互联网数据，结合场景建立风控模型，将是消费金融征信风控的主要手段。”90%的数据来源于第三方授权数据总体说来，APIX的数据来源主要有三个渠道：授权采集，机构合作以及网络抓取。与大多数据公司不同，APIX 90%以上的数据来源是用户或机构授权的数据。APIX不仅提供了公安、银联和运营商实名核验等机构授权的数据接口，也为客户提供个性化的实时授权采集接口，帮助合作机构快速的获取用户授权的电商账户、运营商详单、信用卡账单和央行征信等数据的采集和分析。黑格科技CEO李超表示:“在互联网金融场景下，数据的真实性和实时性是非常重要的，很多时候只靠央行的征信报告不能解决征信问题。APIX为客户提供的数据不仅是维度上的有效的补充，实践证明，在贷前的欺诈分析、信用评估和贷后催收往往起到决定性作用。”建立ZestFinance模式的数据采集和信用评估模型ZestFinance是美国知名的互联网信用评估公司，利用互联网大数据为信用不足的人群提供信用评估和信贷服务。APIX将用户授权的运营商、电商、银行卡和人行征信等数据采集清洗，提取有效的风控指标，通过训练的逻辑回归和神经网络算法模型，给出欺诈行为、社交关系、财务能力、行为偏好和信用历史这五项评估指标。完善的SaaS云计算服务平台为了便于企业客户的技术、业务人员更高效的购买和对接数据服务，APIX提供了一套完全自动化的在线SaaS平台。包括用户管理，对账系统，客服工单，接口文档，在线调试工具，额度分配，性能监控等模块。在安全性方面，APIX提供了128位SSL数据加密传输协议以及多种业务访问权限控制模块。创始团队介绍APIX的四位85后创始人均来自国内外一线的互联网和金融企业，都是相识10年以上的同窗或好友。李超，联合创始人，CEO，北京大学计算机系毕业，获理学硕士学位。主攻模式识别，机器学习算法设计。曾就职腾讯微信部门。负责微信支付安全，微信用户特征分析，朋友圈广告推荐等项目的算法设计和产品研发工作。陈凌阳，联合创始人。硕士毕业于北京邮电大学，曾就职微博平台架构部，负责feed系统和推荐引擎的后端研发。对云计算、PaaS和容器技术等企业级云服务有深入研究。杨宇鹏，联合创始人。香港浸会大学，金融硕士，基金分析师。曾就职于香港高银集团，金融工程部门，参与针对境内股指期货市场的算法交易策略设计、研发。在深圳利君骐资产管理公司担任基金分析师，关注TMT领域。曾经成功服务了多家移动互联网，电子商务及新媒体等行业的优秀公司。王章虎，联合创始人。中科院软件所硕士毕业。曾就职于商务搜索部。在百度曾参与亿万级用户的广告系统和海量级数据挖掘系统的后台研发。文章来源：
[责任编辑：mmzheng]
您认为这篇文章与"新一网（08008.HK）"相关度高吗？
Copyright & 1998 - 2017 Tencent. All Rights Reserved
还能输入140字API Store_为开发者提供最全面的API服务API接口设计 注意问题
总结一下API接口开发过程中的注意事项
1、跨平台性
所谓跨平台是指我们的接口要能够支持不同的终端，比如Android、iOS、windowsphone以及桌面软件、网站等。如：不同的终端每页显示的记录数不同
采用通用的解决方案，比如通信协议就采用最常用的HTTP协议，如果是即时通信，可以采用开放的XMPP协议，做游戏的可以采用可靠的TCP协议，除非TCP不够用了，再采用定制的UDP协议。
总结一下API接口开发过程中的注意事项
1、跨平台性
所谓跨平台是指我们的接口要能够支持不同的终端，比如、、windowsphone以及桌面软件、网站等。如：不同的终端每页显示的记录数不同
采用通用的解决方案，比如通信协议就采用最常用的HTTP协议，如果是即时通信，可以采用开放的XMPP协议，做游戏的可以采用可靠的TCP协议，除非TCP不够用了，再采用定制的UDP协议。
数据交换采用xml或者json格式或者webservice等等。总之，要达到的目标就是让不同的端能够很方便的使用你的接口。
2、良好的响应速度
接口应该以最快的速度将数据返回给请求者,要达到的目标就是快，一个页面，秒开最好，超过三秒就需要找找原因了。数据量按需分配，APP客户端需要什么数据就返回什么数据，过多的数据量影响处理速度，最重要的是影响传输效率
3、接口要为移动客户端考虑
比如，在移动端里，下拉刷新和上拉加载更多是很常见的功能，如果接口仍然按照传统的web思路，
只提供按页读取的话，就会造成移动端的额外的数据请求和计算。 这时，接口就应该针对这两种类型的操作提供额外的支持。
4、考虑移动端的网络情况和耗电量
如果让我们说出哪类app比较好，可能还不大好说，但是如果让我们说出哪些app很差，我们肯定会说出那些体积很大、占用内存多、界面很卡、费电的app 不好。对于网络情况，接口应该具备为不同的网络提供不同的内容的能力如果我们能够知道用户的网络情况，只有在wifi的情况下才给用户传输封面图、缩略图 之类的，
是不是可以帮用户节省很多流量呢
5、通用的数据交换格式
目前，对于接口和客户端的数据交换格式，基本上就是三种，xml和json和webservice，而现在使用json的应该占大多数最麻烦的就是处理Date类型，因为JSON本身没有Date类型，因此，JSON库将Date类型的数据序列化时会转为String。这时，不同环境， 不同平台，以及用不同的JSON解析库，转换后的结果经常会不同。比如，你在开发机上可能得到的结果是” 17:11:11”，但放到服务器后结果却变成了“Jan 1,:11 PM” ，客户端进行反序列化时无疑会失败。后来，我取消了所有Date类型，统一采用时间戳表示，就再没有转化的烦恼了。 另外，接口的开发人员有时候会将一些数据错误地转换为了String，导致客户端使用时因类型错误而异常。例如，本来是数字的1，被转成 了"1"，客户端做运算时就会出错，或用switch判断时也会出错，或其他无法转换的情况发生时；例如，为空时JSON正确地表示应该是null，但如 果转为了String就变成了"null"，那问题就来了，我遇到的因为这个错误的转换导致的程序奔溃已经好几次了，第一次的时候，查了一整天才定位到问题所在
6、接口统计功能
在做PC端网站的时候，我们都会给我们的网站加上个统计功能，要么自己写统计系统，要么使用第三方的比如GA
移 动端接口API则需要我们自己实现统计功能，这时就需要我们尽可能多的收集客户端的信息，除了传统的IP、User-Agent之外，还应该收集一些移动 相关的信息，比如手机操作系统，是android还是ios，都是什么版本，用户使用的网络状况，是2G、3G、4G还是WIFI。客户端APP是什么版 本信息。
7、客户端与服务端的肥瘦平衡
在中，由于客户端的修改会很费时费力，特 别是IOS应用还要经过Apple审核，另外，当前IOS开发人员、Android开发人员的人工成本普遍较高，人才紧缺，基于这两点，能在服务器端实现 的功能就不要放在客户端，毕竟服务器端程序的修改要比客户端方便、灵活、快捷的多。
8、隐式用户与显式用户
显式用户指的是，APP程序中有用户系统，一个username、password正确的合法用户，称之为显式的用户，
通常显式用户都需要注册，登录以后能完成一些个人相关的操作。
隐式用户指的是，APP程序本身就没有用户系统，或者一个在没有登录的情况下，使用我们APP的用户。
在这种情况下，可以通过客户端生成的UDID来标识一个用户。
有了用户信息，我们就能够了解不同用户的使用习惯，而不仅仅是全体用户的一个整体的统计信息，
有了这些个体的信息之后，就可以做一些用户分群、个性化推荐之类的事情。
9、安全问题
设计API第一个需要考虑的是API的安全机制。我负责的上一个项目，因为API的安全问题，就被人攻击了两次。之后经过分析，主要存在两个漏洞： 一是因 为缺少对调用者进行安全验证的方式，二是因为数据传输不够安全。那么，制定API的安全机制，主要就是为了解决这两个问题：
保证API的调用者是经过自己授权的App；
保证数据传输的安全。
第一个问题的解决方案，我主要采用设计签名的方式。对每个客户端分别分配一个AppKey和AppSecret。需要调用API时，将AppKey加入请求参数列表，并将AppSecret和所有参数一起，根据某种签名算法生成一个签名字符串，然后调用API时把该签名字符串也一起带上。服务端收到请求之后，根据请求中的AppKey查询相应的AppSecret，按照同样的签名算法，也生成一个签名字符串，当服务端生成的签名和请求带过来的签名一致的时候，那就表示这个请求的调用者是经过自己授权的，证明这个请求是安全的。而且，每个端都有一个Key，也方便不同端的标识和统计。为了防止AppSecret被别人获取，这个AppSecret一般写死在代码里面。另外，签名算法也需要有一定的复杂度，不能轻易被别人破解，最好是采用自己规 定的一套签名算法，而不是采用外部公开的签名算法。另外，在参数列表中再加入一个时间戳，还可以防止部分重放攻击。
第二个问题的解决方案，主要就是采用 HTTPS了。HTTPS因为添加了SSL安全协议，自动对请求数据进行了压缩加密，在一定程序可以防止监听、防止劫持、防止重发，主要就是防止中间人攻击。因此，为了安全考虑，建议对SSL证书进行强校验，包括签名CA是否合法、域名是否匹配、是不是自签名证书、证书是否过期等。
接口不能直接调用OAuth认证（rsa加密），ip白名单
接口的安全工作不能马虎，暴力破解啊、SQL Injection啊、伪造请求和数据啊、重复提交啊也要考虑到,
如果数据特别敏感，可以考虑采用SSL/TLS等加密传输，或者客户端、服务器端约定一个加密和密钥，对来往传输的数据进行加密、解密。如将所有参数加签名算法得到一个签名验证参数sign
表单类接口防止重复提交：调用过的接口sign存起来，检查sign是否存在
10、良好的接口说明文档和测试程序
接口文档要清晰、明了，包含多少个接口，每个接口的地址、参数、请求方式、数据交换格式、参数是否必填、编码格式UTF8，返回值等都要写清楚。
接口测试程序，有条件的话，也可以提供，方便前后端的调试
11、版本的维护
随着业务的变化，客户端APP和服务器端API都会发生变化，增加新的功能，修改已有的功能，
增加功能还好说， 如果是接口需要修改，那么就面临着同一个接口要同时为不同版本的客户端服务的问题。
因此，服务器端接口也要做好相应的版本维护。
主版本更新可以把版本号放入API的URL中/api-v2来指出所使用的API版本
次要版本的修改是通过客户在API调用时发起请求的HTTP头部做指定的头部的版本元素看起来是这样的：
Element-Version: 112、接口数据、状态
接口必须提供明确的数据状态信息，不管是成功的，还是失败的，都必须返回给APP客户端。13、接口、参数命名准确。
无论是接口还是参数，命名都应该有意义，让人一目了然。接口调试技巧前提必须放在外网上
1》服务端return 调试信息，客户端调用并显示结果，
2》在服务端将结果保存成文件在打开文件查看，即日志型调试（或建临时表放在表里）
考虑突然断网或接口信息返回超时异常情况的业务处理（先扣金额更新状态，如有问题自动返回）
&span style="font-size: 14"&$alipaySubmit = new AlipaySubmit($alipay_config);
$url = $alipaySubmit-&alipay_gateway_new.$alipaySubmit-&buildRequestParaToString($parameter);
header("Location: {$url}");&/span&
版权声明：本文内容由互联网用户自发贡献，本社区不拥有所有权，也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，欢迎发送邮件至： 进行举报，并提供相关证据，一经查实，本社区将立刻删除涉嫌侵权内容。
用云栖社区APP，舒服~
【云栖快讯】红轴机械键盘、无线鼠标等753个大奖，先到先得，云栖社区首届博主招募大赛9月21日-11月20日限时开启，为你再添一个高端技术交流场所&&
业内领先的面向企业的一站式研发提效平台，通过项目流程管理和专项自动化提效工具，能够很好地支持互联网敏捷项目的快速...
API 网关（API Gateway），提供高性能、高可用的 API 托管服务，帮助用户对外开放其部署在 ECS...
通过机器学习和数据建模发现潜在的入侵和攻击威胁，帮助客户建设自己的安全监控和防御体系，从而解决因网络攻击导致企业...
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本...
MaxCompute75折抢购
Loading...问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
一直知道https比http安全，传输的数据是加密balalabala。。。那我的api接口使用https协议是不是就不用再在程序中对消息进行加解密了？安全性满分一百分的话，下面几种分数会打几分1，直接使用http2，使用http，但是自己使用加解密函数对数据进行加解密3，使用https4，使用https，又自己使用加解密函数对数据进行加解密
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
低成本的方法肯定是使用 3，https如果你的 api 真的对安全要求很多，也可以使用 https + 自己实现加解密我指的是 不要过度优化，真的有必要的时候，这个看你们业务场景了
说明一点 https 本身就牵涉到加解密的过程，牵涉到非对称加密，对称加密，整个过程会耗时所以相同的接口使用 https 肯定比 http 慢，慢几到几十到几百毫秒，这个你可以自己测试。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
1 = 50分，没有安全性可言，API内容会被明文传输，而且容易被劫持2 = 60分，加解密函数要考虑的问题会比较多，如果只是对称加密，其实并不比方案1安全多少3 = 90分，其实应该把这个方法叫做TLS，它已经足够安全，具体的安全机制可以参考4 = 80分，既然已经实现了TLS，再做一次加密对于破解复杂度来说没有提升，反而损失了性能
分享到微博？
Hi，欢迎来到 SegmentFault 技术社区！⊙▽⊙ 在这里，你可以提出编程相关的疑惑，关注感兴趣的问题，对认可的回答投赞同票；大家会帮你解决编程的问题，和你探讨技术更新，为你的回答投上赞同票。
明天提醒我
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：