web开发之数据安全
来源:互联网 发布:炒白银软件 编辑:程序博客网 时间:2024/06/05 13:25
关于接口安全,一般非常简单的作用,只是用户验证,即合法性检查。我一个老同事一直这样用,个人感觉也未尝不可。每次请求接口的时候 验证下access_token,比如这个token是个 md5值,再在这个值上面加几个随机数,这这值就不是MD5的值了,可破解的难道就大大增加了。
if($_POST['access_token']!=$access_token)
{
exit('access_token error');//每次访问接口的时候 必须先调用验证token的判断。
}
系统安全,https的使用,据说使用这个有一定的成本,包括客户端执行效率成本和费用成本(需要向ca申请证书)。除非高要求的,一般不会采用这种方式。具体怎么用,还不甚了解,需要学习学习。
1,传输过程中的安全问题
为了防止在不安全的网络环境下传输的数据被截获和篡改,api 接口必须使用 https 协议(网上抄的,感觉不是很对,什么叫必须)。
2,客户端的安全问题
在客户端对数据进行对称加密再提交的意义是非常有限的,因为key被暴露在客户端代码中。如果一定要加密,可以使用非对称加密算法。客户端加密的主要目的是避免关键数据以明文存储于内存甚至磁盘中,防止这些数据被用户篡改。
3,服务端的安全问题
这个问题涉及面太广,关键就是不要信任任何从客户端提交上来的数据(无论你的客户端设计得多么天衣无缝),每一个参数都要做校验。
实际开发中,一个同事的做法是,md5加密当前日期,他再解密,这个应该是认证,但是数据并没有加密。
0 0
- web开发之数据安全
- 方正web开发平台之Web安全
- java web开发之安全事项
- java web开发之安全事项
- java web开发之安全事项
- iOS开发-数据安全之加密
- web数据安全
- web安全开发手册
- Web安全开发注意事项
- Web安全开发注意事项
- Web 安全开发注意事项
- Web安全开发注意事项
- web安全之FCKeditor
- Web安全之XSS
- Web安全之CSRF
- web安全之token
- Web安全之XSS
- WEB 安全之Token
- Linux网络编程(socket)
- myeclipse2014快捷功能之tostring
- LeetCode:Binary Tree Traversal(二叉树遍历非递归)
- 字典
- Android项目中sdk 23无法使用HttpGet 和HttpClient的问题解决--只需改一行
- web开发之数据安全
- LeetCode 根据前序和中序遍历构造二叉树的三种解法
- Reconstruct Itinerary
- 关于新浪微博里面长图加载功能的一点窥探
- Kubernetes1.3新特性:集群联盟-在全球快速部署和管理应用
- 日志系列
- umeng分享到微信和微信朋友圈只显示ShareContent的bug
- easyUI获取Json的内嵌数据
- pandas入门-数据结构(2)