app登陆以及与后台通讯安全性
来源:互联网 发布:网络知识竞赛2017平台 编辑:程序博客网 时间:2024/05/20 18:49
去年下半年进入新的项目团队,涉及到现有项目的升级改造、新功能开发,期间发现不少问题,现整理一下予以记录,希望对大家有所帮助。
原有登录流程为:
存在的问题主要有:
- 所有报文http明文传输,包括登录以及敏感信息的发送。
- 登录成功后,后续所有接口访问无需任何校验,比如我要进行修改密码直接post请求,不再做校验,http://ip /modifypwd?userid=888&oldpwd=123&newpwd=999&confirmpwd=999,相 当于只要知道报文格式,就可以查询、修改系统内任何用户的任何的信息。
- 报文为json格式,但无统一规范。
- 所有协议无文档,无说明。
改造流程主要为:
- 全站所有请求修改https协议,基于SSL安全传输,首先保证传输安全。
- 在用户登录时,返回唯一token值,以后所有访问请求,需要校验此值,若不匹配拒绝后续请求。已全站https 所以无需再进行url签名或者对称加密等方式。
- 统一报文规范,分为报文头、报文体,通过报文头确定请求是否成功,成功后再进行后续解析。
- 所有协议规范文档,采用的方式为 每个协议编写单独的html页面,所有的协议说明、接口调试通过页面进行,一方面解决了文档问题,另一方面方便了开发人员调试。
当然还有很多其他解决方案,比如:
- 由于https相比http效率稍慢,很多朋友会在登录以及敏感信息采用https,其他采用http url 签名方式、对称加密方式等,从现在的硬件发展来看,个人感觉效率已不是制约因素,更推荐全站https。
本文首发于个人博客:https://www.jiucool.org/app-security/
0 0
- app登陆以及与后台通讯安全性
- APP安全测试-数据安全性/通讯安全性/人机接口安全性
- app后端设计(4)-- 通讯的安全性
- app后端设计(4)-- 通讯的安全性
- Flash与后台通讯
- app与后台交互以及web与后台交互的比较(app简单测试环境)
- 如何提高wordpress安全性,为登陆后台加道防线。
- as3与后台通讯(php)
- socket iOS 与java 后台进行socket通讯遇到的问题以及解决方法
- tcp通讯_登陆与注册
- 工控机与笔记本通讯---ssh 登陆
- flex通过socket json与后台通讯
- .net中javascript与后台cs通讯
- Android Java_WebSocket实现与后台聊天通讯
- iOS获取后台进程以及安装APP
- App登陆java后台处理和用户权限验证
- 登陆界面的前台与后台
- app 与服务端通讯方式概览
- UITextField 限制输入字数
- stanford-NLP-CLASS1课堂笔记
- C++学习笔记51——在构造函数和析构函数中调用虚函数
- mysql Access denied for user 'root'@'localhost' (using password:NO)解决方案
- AndroidStudio-------IdeaVim插件
- app登陆以及与后台通讯安全性
- ssh整和hibernate时出现错误(二)
- Java中文件File类的基本方法使用演示
- 【LeetCode OJ 203】Remove Linked List Elements
- POJ3368/HDU1806/UVa11235 Frequent Values 游程编码+RMQ
- 51nod 1050 循环数组最大子段和 dp
- 迭代器2
- CentOS中设置系统级代理
- Linux网络编程:原始套接字的魔力【上】