web开发之数据安全

       关于接口安全，一般非常简单的作用，只是用户验证，即合法性检查。我一个老同事一直这样用,个人感觉也未尝不可。每次请求接口的时候 验证下access_token，比如这个token是个 md5值，再在这个值上面加几个随机数，这这值就不是MD5的值了，可破解的难道就大大增加了。

if($_POST['access_token']!=$access_token)

{

       exit('access_token error');//每次访问接口的时候 必须先调用验证token的判断。

}

     系统安全，https的使用，据说使用这个有一定的成本，包括客户端执行效率成本和费用成本（需要向ca申请证书）。除非高要求的，一般不会采用这种方式。具体怎么用，还不甚了解，需要学习学习。

1，传输过程中的安全问题
为了防止在不安全的网络环境下传输的数据被截获和篡改，api 接口必须使用 https 协议（网上抄的，感觉不是很对，什么叫必须）。

2，客户端的安全问题
在客户端对数据进行对称加密再提交的意义是非常有限的，因为key被暴露在客户端代码中。如果一定要加密，可以使用非对称加密算法。客户端加密的主要目的是避免关键数据以明文存储于内存甚至磁盘中，防止这些数据被用户篡改。

3，服务端的安全问题
这个问题涉及面太广，关键就是不要信任任何从客户端提交上来的数据（无论你的客户端设计得多么天衣无缝），每一个参数都要做校验。

实际开发中，一个同事的做法是，md5加密当前日期，他再解密，这个应该是认证，但是数据并没有加密。