作者q10242 (黑田祐司)
看板Soft_Job
標題[請益] 為什麼證券下單的架構是這樣
時間Sun Aug 11 11:51:16 2019
最近因為一時興起,開始研究程式交易
去跑了幾個交易商 申請了API
不過券商的API都不是一般的Restful API
而是要你安裝他們編譯好的軟體,要你對自己的電腦下單,他的軟體就會代替你下單
也就是SDK的意思
問了他們工程師,為什麼不做成Restful 他們說因為會有安全問題
而且無論是哪個券商都這麼說
可能是小弟才學粗淺 所以想問一下
但如果是走一般的TCP/IP
用一個編譯好的程式把API包起來跟直接走Http request 安全性上有差嗎?
還有為什麼券商都這樣做
如果安全性真的有差別 那Line Pay之類的支付服務不也應該用同樣的做法?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.245.65.133 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1565495480.A.131.html
※ 編輯: q10242 (60.245.65.133 臺灣), 08/11/2019 11:53:03
1F:→ ruthertw: 每家有不同考量,傳統作法如果一直沒被改過,之後也不太會 08/11 11:57
2F:→ ruthertw: 有所變動 08/11 11:58
3F:推 xam: 可能要等TonyQ那樣的人到券商去才有機會... 08/11 12:02
4F:噓 knives: 有句俗語,沒壞的東西為什麼你要去動 08/11 12:04
5F:→ MonyemLi: 框架發展史、客戶層級、管理層想法都會影響公司產品。 08/11 12:08
6F:→ MonyemLi: 裡面應該也是http通訊協定 08/11 12:08
7F:→ MonyemLi: RMI,SOAP,RESTful,每個新協定出來就要客戶換一次,還 08/11 12:14
8F:→ MonyemLi: 是公司要維護多套? 08/11 12:14
9F:推 ripple0129: 多數大公司的決策者,都是不懂技術的 08/11 12:21
10F:推 chocopie: 能不變就不變,能不開放就不開放 08/11 12:25
看樣子也不像是這種態度
最近又告訴我某某語言的SDK要下架重做
看起來不像是不願意改變
※ 編輯: q10242 (60.245.65.133 臺灣), 08/11/2019 12:31:19
11F:→ x000032001: 因為裡面人技術不夠力 08/11 12:52
12F:→ MOONY135: 出錯你要debug嗎? 大概是這樣 08/11 13:27
13F:推 king22649: 不想動 怕出事 08/11 13:30
14F:→ MOONY135: 再來就是架構疊的太深 要整套做好可能要三四年以上 08/11 13:31
15F:推 anandydy529: 要錢的東西出事誰負責 08/11 15:11
16F:推 Lorekeeper: 財務相關的系統沒出大包或是重大疑慮就不會亂換系統的 08/11 15:22
17F:→ Lorekeeper: 不然新系統出問題,長官的職位,你的工作就不保了 08/11 15:23
18F:推 cyutjason: 直接http 被ddos攻擊很難找到人和防禦 08/11 16:17
19F:推 highland: 打rest api的門檻太低,太容易被ddos,但主要原因還是因 08/11 16:59
20F:→ highland: 延用舊的架構和舊的code 08/11 17:00
21F:→ sarafciel: 因為沒必要 而且沒效率 08/11 17:20
22F:噓 darkMood: 工程師還真閒,還回答你的問題,應該通通開除才是,哈 08/11 17:21
23F:→ darkMood: 人家的考慮是千百種因素,你的想法卻只有一個原因..... 08/11 17:22
24F:噓 alihue: 可以順便 叫他們導入 docker、用 micro service 和 k8s 08/11 17:24
25F:推 APTON: 用API的人太少,做起來不合成本也是原因之一 08/11 17:45
26F:→ setsuan: 回答您的問題: 1. 程式交易有專版可以問. 2.Trading專有 08/11 18:11
27F:→ setsuan: 名詞看起來瞭解有限. 3.有開戶入金嗎? 08/11 18:13
28F:推 setsuan: 下單前功課不少 08/11 18:31
29F:推 setsuan: Trading流程不同, 可以用到的技術不同 08/11 18:43
30F:→ fgkor123: 講的line pay不用請款一樣= =... 08/11 19:12
31F:→ fgkor123: line pay會去跟銀行要驗證資料,銀行是最後一關 08/11 19:14
32F:→ fgkor123: line pay是不存交易細節的,用他那一套銀行還不被告死.. 08/11 19:18
33F:→ fgkor123: "一些"交易細節,銀行都會存好存滿 08/11 19:19
34F:→ fgkor123: 去年linepay新聞,支付標準安全層級和可追溯性都比較小 08/11 19:43
35F:推 jass970991: 有喔 但每家不同 去看看fix協議 08/11 19:44
36F:→ a741230: 下單要收委託成交回報,Restful API無法主動接受訊息,所 08/11 19:46
37F:→ a741230: 以背後都是Socket傳輸,另外因台灣法規關係要有憑證確認 08/11 19:46
38F:→ a741230: 下單者身份,這也是無法使用Restful API的問題 08/11 19:46
39F:推 OriginStar: 應該說多數SDK是以自身發展為考量,而不是強調統一性 08/11 21:54
40F:推 ted1231: 只要牽扯到金錢交易的問題,安全性的問題擺第一~ㄐ 08/11 23:08
41F:→ ssccg: 收回報可以用websocket也可以用SSE,憑證簽章可以另外做 08/12 09:55
42F:→ ssccg: 只要規格肯給都做的出來,最主要的原因就是不想給太詳細的 08/12 09:59
43F:→ ssccg: 規格,就是要有一支程式在Client端,增加券商能控制的部分 08/12 10:00
44F:→ ssccg: 台灣一堆公司的觀念就是security by obscurity來取代管理 08/12 10:02
45F:推 saitoh: 換新技術壞了出問題客戶流失你要負責嗎 08/12 11:09
46F:推 lnmlee: 待過一年證券的IT 我可以告訴你 這邊IT都是公務員心態居多 08/12 11:41
47F:→ lnmlee: 真要用新技術他們寧願發包也不會改自己的code 他們的開發 08/12 11:41
48F:→ lnmlee: 能量都用在因應法規調整與資訊安全 08/12 11:41
49F:→ lnmlee: 他們的著眼點不在於技術潮不潮 而是做了能不能增加交易量 08/12 11:46
50F:→ lnmlee: 與客戶基數 08/12 11:46
51F:→ sintsu: 樓上專業 08/12 12:14
52F:→ a741230: 背後要跑一隻程式...你該不會是用python吧,某大券商的py 08/12 12:18
53F:→ a741230: thon API就是用讀寫文字檔到方式溝通,真是蠢到不行 08/12 12:18
54F:推 neo5277: 樓上說的是forever嗎? 08/12 12:29
55F:→ wei771988: 你是不是在真靠北工程師也有發文? 08/12 13:09
56F:→ ChungLi5566: 怕被當成報價伺服器 第三方資料撈免錢 08/12 15:27
57F:→ abc01251: 安全問題 指的是 他的職涯安全 不是資訊安全 08/12 17:25
58F:推 ceowu: 有法規問題啊 08/13 02:47
59F:推 srwhite: 好像是憑證問題 js做憑證這幾年才開始發展 08/13 08:32
60F:推 visa9527: 你想想 COBOL 為何活到今天,這疑問有點像初出茅廬問的 08/13 10:08
61F:→ haha02: 改系統成本高風險大又不一定會增加營收 何必呢 新技術跟架 08/13 10:13
62F:→ haha02: 構的出世是要解決以前無法處理的痛點 若這個痛點影響公司 08/13 10:13
63F:→ haha02: 業務不大 那真的不如不要改 08/13 10:13
64F:推 gpower18: 有一些加密的細節不想被人知道滿正常的吧,說不定也有 08/14 08:49
65F:→ gpower18: 做Client Side Load Balancing等等,資安有很多方面,這 08/14 08:49
66F:→ gpower18: 樣做還是有好的地方吧 08/14 08:49
67F:推 f12sd2e2aa: 這跟台灣公司什麼關係? gcp也是有提供sdk啊 08/14 12:26
68F:推 zased: 這是責任歸屬問題。 08/17 09:52