项目概览
驱动 MEXAR 国际汇款系统的核心后端 API。通过 Webhook 与 Kafka 编排各 microservice 之间的通信。已在印尼取得牌照,通过 3 轮印尼央行(Bank Indonesia)审查与第三方渗透测试。
作为 AbleGroup 的 CTO,在仅有 3 名开发者的团队下,主导了整个 MEXAR 系统的架构设计与开发——包含 Back Office、Backend 以及所有的 microservice。
技术栈
- Backend — PHP/Laravel
- Database — PostgreSQL、Redis
- Message Queue — Kafka、RabbitMQ
- 服务间通信 — Webhook、Kafka
安全性
- 身份验证 — 强制 MFA、极短的 session 有效期、GEO 地理位置异常检测
- Cookie 强化 — HttpOnly、Secure、SameSite cookie 属性
- CSRF 防护 — 基于 token 的跨站请求伪造防护
- IDOR 防护 — 所有 API 端点均实施对象级授权
- Security Headers — CSP、HSTS、X-Content-Type-Options、Referrer-Policy
- XSS 防护 — 所有端点皆执行输入净化与输出编码
- ACL 引擎 — 235 项细粒度权限搭配可自定义角色;所有路由默认拒绝(deny-by-default)
- Rate Limiting — 请求节流以防止滥用与暴力破解攻击
- SSL/TLS — 所有 API 流量强制加密通信
- IP Whitelist — 限制对敏感端点与管理操作的访问
- Audit Trail — 完整记录所有用户活动与系统事件,以符合合规与取证分析需求
- 合规 — 通过第三方渗透测试与 3 轮印尼央行审查
核心功能
- 自动交易审查管线 — 基于规则的交易筛查,在可配置的时间区间内评估每个实体、币种与公司的最低/最高金额限制;每个实体的交易频率上限;KYC 状态验证;以及针对受标记实体的 AML 黑名单检查
设计原则
- Idempotency — 幂等的交易处理,确保跨分布式服务的数据一致性
- Scalability — 为水平扩展而设计的 microservice 编排
- Extensibility — 抽象化的服务边界,使得因应法规要求而快速更换合作伙伴与供应商成为可能
