文章目錄
- Part1 令牌
- 簽名
- 防抖節流
- 再高逼格一點
- 三層token :
一套完整的能力范圍,要涵蓋哪些方面?
最近在做畢設嘛,這一塊以前從來沒有關注過,這不是大學階段最后一個學生專案了嘛,使勁的折騰,不斷的翻新,對,業務層介面經過我一天半的努力已經全部交付給客戶端了,不過我改主意了,我要返廠重做,在不影響客戶端聯調的前提下,
我要加上這個新功能,
網上這類文章不少,但是我還要寫,表示我現在知道這個東西了,
Part1 令牌
玩過爬蟲的都知道,cookie是個什么東西,
一圖勝千言:
簽名
爬蟲完多了就知道什么叫抓包了嘛,當然,網路攻擊的中間人咱是沒做過,
為了防止中間人攻擊(客戶端發來的請求被第三方攔截篡改),引入引數的簽名機制,
防抖節流
我不當中間人好多年,我拿著一些正當賬號,DOS我玩不夠,我分布式DOS,你怎么辦呢?
首先客戶端需要做防抖,這不能讓我服務端來做,
降級的時候也需要客戶端來做第一道防線,最好是最后一道防線,
怎么辦呢?時間戳,
以上三個總結一下:
客戶端處再做個防抖,
再高逼格一點
三層token :
1 臨時token(有效期短)
2 長期token(有效期長) ,一般在登錄的時候獲取,臨時token失效后,通過長期token獲取,
3 用戶token(做混淆,可選)
備注:不限于三層token,根據業務,安全性和效率做出平衡,
備注:http升級為https,也可以作為提升安全性的手段,移動端一定要做代碼混淆,防止加密演算法泄漏,web端利用cookie,session等記憶體操作來保證安全(記憶體操作相對是安全的,黑客無法獲取用戶的記憶體資訊),最后請記住,沒有絕對的安全,關鍵是你為你的應用安全提高多少門檻,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/320997.html
標籤:其他
上一篇:D 模塊 CTF 防御