1. 加密敏感資料保證安全,非對稱演算法rsa和對稱演算法des/sm4等;
2. 摘要演算法md5防止篡改,演算法中增加鹽值(雙方約定的乙個秘密值),增加伺服器時間值,用於判斷呼叫提交時間;
3. 採用token的方式校驗是否已經登入,乙個是判斷token是否存在,二是token是否過期;
4. 介面設計需要具有冪等性,相同的呼叫請求,需要能夠鑑別出來,不能做重複資料更新處理;
5. get***byid介面中的id避免採用自增id,避免被自增調用;
6. 增加ip黑白名單,提高安全性,在黑名單中的ip,直接丟棄請求,不予響應,在白名單中的請求,正常處理;
7. 提高日誌的完整性;
8. 介面除錯工具,postman;
支付安全考慮
1.網銀類 像招行支付 工行支付 西聯快匯等 2.綜合電子錢包類 像支付寶 快錢 易寶 paypal moneybookers facebook credits等 3.虛實卡類 神州行 mycrad gash 駿網一 崑崙一 mol等 4.固話聲訊類 像杭州齊順 daopay等 5.手機簡訊類 像聯...
web安全考慮
1.sql注入攻擊 伺服器端程式有時希望接受客戶端輸入並且將他作為查詢的一部分 例如 乙個接收使用者名稱的登入介面可能執行以下 sql select from users where username 如果客戶端輸入以下字串作為使用者名稱 a delete from users sql select...
Open API安全考慮
很初級的簡單想法,先記下來。需要有個年輕聰明的青年才俊論證一下 1 是否用https,這些就沒有必要了。2 嚴謹性 是否有漏洞,這麼做安全性依賴哪些要素,能多大程度上保證。3 必要性 是否有冗餘環節。4 效能 壓一下,注意監控cpu。以下是正文。1 所有的秘鑰都由我們生成並頒發。2 我們需要儲存 1...