网站安全通讯设计

转载请注明From ：http://blog.csdn.net/huntersjm/article/details/39989543

在一家公司实习，公司做app，所以就设计考虑了一些简单的同时有效的安全加密的方案

1：通讯安全加密，如下图的设计，同时，可以讲其中的非对称加密改为MD5等加密方式

2：区分信息的重要性，比如用户名密码可以采用的加密方式为每次通讯前交换密钥进行加密，而Token等则不需要，而一般信息可以选择不加密的方式进行传输。

3：Token失效，之前的设计为登陆之后即失效，重新设计为：a.Token有一定的失效，一定失效即失效 b.传输Token同时传输设备(DeviceToken/Installation),通过Installation来验证是否失效。
4：多次错误的密码尝试，将该账号锁定2小时，同时将传输的Installation锁定2小时。

5：对于交易中出现充值，体现，排名金额超过一定额度(如500)的进行预警，可以采用发送邮件的方式提醒。

6：在业务低峰期进行对账，审核当日账务是否出现异常，异常发送警告邮件。

7：客户端同步问题（客户端多条请求乱序）问题，提现会出现多次请求重复，解决方案，提现前先分配一个提现的id，之后提交提现请求时同时传输提现id。