作者q10242 (黑田佑司)
看板Soft_Job
标题[请益] 为什麽证券下单的架构是这样
时间Sun Aug 11 11:51:16 2019
最近因为一时兴起,开始研究程式交易
去跑了几个交易商 申请了API
不过券商的API都不是一般的Restful API
而是要你安装他们编译好的软体,要你对自己的电脑下单,他的软体就会代替你下单
也就是SDK的意思
问了他们工程师,为什麽不做成Restful 他们说因为会有安全问题
而且无论是哪个券商都这麽说
可能是小弟才学粗浅 所以想问一下
但如果是走一般的TCP/IP
用一个编译好的程式把API包起来跟直接走Http request 安全性上有差吗?
还有为什麽券商都这样做
如果安全性真的有差别 那Line Pay之类的支付服务不也应该用同样的做法?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.245.65.133 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1565495480.A.131.html
※ 编辑: q10242 (60.245.65.133 台湾), 08/11/2019 11:53:03
1F:→ ruthertw: 每家有不同考量,传统作法如果一直没被改过,之後也不太会 08/11 11:57
2F:→ ruthertw: 有所变动 08/11 11:58
3F:推 xam: 可能要等TonyQ那样的人到券商去才有机会... 08/11 12:02
4F:嘘 knives: 有句俗语,没坏的东西为什麽你要去动 08/11 12:04
5F:→ MonyemLi: 框架发展史、客户层级、管理层想法都会影响公司产品。 08/11 12:08
6F:→ MonyemLi: 里面应该也是http通讯协定 08/11 12:08
7F:→ MonyemLi: RMI,SOAP,RESTful,每个新协定出来就要客户换一次,还 08/11 12:14
8F:→ MonyemLi: 是公司要维护多套? 08/11 12:14
9F:推 ripple0129: 多数大公司的决策者,都是不懂技术的 08/11 12:21
10F:推 chocopie: 能不变就不变,能不开放就不开放 08/11 12:25
看样子也不像是这种态度
最近又告诉我某某语言的SDK要下架重做
看起来不像是不愿意改变
※ 编辑: q10242 (60.245.65.133 台湾), 08/11/2019 12:31:19
11F:→ x000032001: 因为里面人技术不够力 08/11 12:52
12F:→ MOONY135: 出错你要debug吗? 大概是这样 08/11 13:27
13F:推 king22649: 不想动 怕出事 08/11 13:30
14F:→ MOONY135: 再来就是架构叠的太深 要整套做好可能要三四年以上 08/11 13:31
15F:推 anandydy529: 要钱的东西出事谁负责 08/11 15:11
16F:推 Lorekeeper: 财务相关的系统没出大包或是重大疑虑就不会乱换系统的 08/11 15:22
17F:→ Lorekeeper: 不然新系统出问题,长官的职位,你的工作就不保了 08/11 15:23
18F:推 cyutjason: 直接http 被ddos攻击很难找到人和防御 08/11 16:17
19F:推 highland: 打rest api的门槛太低,太容易被ddos,但主要原因还是因 08/11 16:59
20F:→ highland: 延用旧的架构和旧的code 08/11 17:00
21F:→ sarafciel: 因为没必要 而且没效率 08/11 17:20
22F:嘘 darkMood: 工程师还真闲,还回答你的问题,应该通通开除才是,哈 08/11 17:21
23F:→ darkMood: 人家的考虑是千百种因素,你的想法却只有一个原因..... 08/11 17:22
24F:嘘 alihue: 可以顺便 叫他们导入 docker、用 micro service 和 k8s 08/11 17:24
25F:推 APTON: 用API的人太少,做起来不合成本也是原因之一 08/11 17:45
26F:→ setsuan: 回答您的问题: 1. 程式交易有专版可以问. 2.Trading专有 08/11 18:11
27F:→ setsuan: 名词看起来了解有限. 3.有开户入金吗? 08/11 18:13
28F:推 setsuan: 下单前功课不少 08/11 18:31
29F:推 setsuan: Trading流程不同, 可以用到的技术不同 08/11 18:43
30F:→ fgkor123: 讲的line pay不用请款一样= =... 08/11 19:12
31F:→ fgkor123: line pay会去跟银行要验证资料,银行是最後一关 08/11 19:14
32F:→ fgkor123: line pay是不存交易细节的,用他那一套银行还不被告死.. 08/11 19:18
33F:→ fgkor123: "一些"交易细节,银行都会存好存满 08/11 19:19
34F:→ fgkor123: 去年linepay新闻,支付标准安全层级和可追溯性都比较小 08/11 19:43
35F:推 jass970991: 有喔 但每家不同 去看看fix协议 08/11 19:44
36F:→ a741230: 下单要收委托成交回报,Restful API无法主动接受讯息,所 08/11 19:46
37F:→ a741230: 以背後都是Socket传输,另外因台湾法规关系要有凭证确认 08/11 19:46
38F:→ a741230: 下单者身份,这也是无法使用Restful API的问题 08/11 19:46
39F:推 OriginStar: 应该说多数SDK是以自身发展为考量,而不是强调统一性 08/11 21:54
40F:推 ted1231: 只要牵扯到金钱交易的问题,安全性的问题摆第一~ㄐ 08/11 23:08
41F:→ ssccg: 收回报可以用websocket也可以用SSE,凭证签章可以另外做 08/12 09:55
42F:→ ssccg: 只要规格肯给都做的出来,最主要的原因就是不想给太详细的 08/12 09:59
43F:→ ssccg: 规格,就是要有一支程式在Client端,增加券商能控制的部分 08/12 10:00
44F:→ ssccg: 台湾一堆公司的观念就是security by obscurity来取代管理 08/12 10:02
45F:推 saitoh: 换新技术坏了出问题客户流失你要负责吗 08/12 11:09
46F:推 lnmlee: 待过一年证券的IT 我可以告诉你 这边IT都是公务员心态居多 08/12 11:41
47F:→ lnmlee: 真要用新技术他们宁愿发包也不会改自己的code 他们的开发 08/12 11:41
48F:→ lnmlee: 能量都用在因应法规调整与资讯安全 08/12 11:41
49F:→ lnmlee: 他们的着眼点不在於技术潮不潮 而是做了能不能增加交易量 08/12 11:46
50F:→ lnmlee: 与客户基数 08/12 11:46
51F:→ sintsu: 楼上专业 08/12 12:14
52F:→ a741230: 背後要跑一只程式...你该不会是用python吧,某大券商的py 08/12 12:18
53F:→ a741230: thon API就是用读写文字档到方式沟通,真是蠢到不行 08/12 12:18
54F:推 neo5277: 楼上说的是forever吗? 08/12 12:29
55F:→ wei771988: 你是不是在真靠北工程师也有发文? 08/12 13:09
56F:→ ChungLi5566: 怕被当成报价伺服器 第三方资料捞免钱 08/12 15:27
57F:→ abc01251: 安全问题 指的是 他的职涯安全 不是资讯安全 08/12 17:25
58F:推 ceowu: 有法规问题啊 08/13 02:47
59F:推 srwhite: 好像是凭证问题 js做凭证这几年才开始发展 08/13 08:32
60F:推 visa9527: 你想想 COBOL 为何活到今天,这疑问有点像初出茅庐问的 08/13 10:08
61F:→ haha02: 改系统成本高风险大又不一定会增加营收 何必呢 新技术跟架 08/13 10:13
62F:→ haha02: 构的出世是要解决以前无法处理的痛点 若这个痛点影响公司 08/13 10:13
63F:→ haha02: 业务不大 那真的不如不要改 08/13 10:13
64F:推 gpower18: 有一些加密的细节不想被人知道满正常的吧,说不定也有 08/14 08:49
65F:→ gpower18: 做Client Side Load Balancing等等,资安有很多方面,这 08/14 08:49
66F:→ gpower18: 样做还是有好的地方吧 08/14 08:49
67F:推 f12sd2e2aa: 这跟台湾公司什麽关系? gcp也是有提供sdk啊 08/14 12:26
68F:推 zased: 这是责任归属问题。 08/17 09:52