上一篇 <<<安全框架--OAuth2
下一篇 >>>并发编程-多线程基础
-
业务安全
a、身份认证(口令、动态口令、生物特征识别)
b、图形验证码
c、关键操作短信等二次验证 -
协议
a、使用https协议,底层使用对称和非对称加密密码文传输,保证通道传输安全
b、使用数字证书 -
参数
a、敏感数据使用对称或非对称加密技术
b、使用数字签名技术,保证数据的完整性、发送者的身份认证及防抵赖发生
c、使用消息摘要(MD5加盐)技术,保证数据的完整性、防篡改和防抵赖 -
网关
a、xss、黑白名单、服务保护、限流、熔断、sql注入等 -
接口
a、做好接口幂等性
b、代码防注入、各种锁机制、注释异常等各种规范制度的执行
c、接口传输时数据能少则少,敏感数据使用第三方,不要在请求中携带
d、使用权限系统,包括数据功能操作权限和数据权限
c、使用OAuth2安全协议开放接口 -
运维
a、nginx结合lua语言配置相应的安全策略,防止DDOS攻击
b、专门的漏洞扫描工具
相关文章链接:
<<<Web常用攻击手段-XSS
<<<Web常用攻击手段-SQL注入
<<<Web常用攻击手段-Http请求防盗链
<<<Web常用攻击手段-CSRF攻击
<<<Web常用攻击手段-上传文件漏洞
<<<Web常用攻击手段-忘记密码
<<<Web常用攻击手段-其他漏洞
<<<安全技术--数据加密/认证技术
<<<安全技术--Https相关知识
<<<安全技术--接口幂等性设计
<<<安全框架--SpringSecurity
<<<安全框架--JWT
<<<安全框架--OAuth2
网友评论