1、用户信息脱敏,包括但不限于密码、姓名、邮箱、电话、地址、证件号等,必须加密后落库。
方式A:MD5+salt。md5准确说不是加密,只是信息摘要,容易受到彩虹表攻击,这里一定要加salt使用。
方式B:对称加密。
2、防串改。采用https协议。在http的基础上加上了ssl,如果要破解,要破CA证书+拿到私钥,对于大部分系统足够了。
3、防重放。app传随机字符串做请求序号,采用redis限制一分钟内同一序号只会处理一次。
请求带上时间戳,超过时间,则不处理。
4、限频率。比如某个接口一分钟内,只允许调用60次。照样可以采用redis实现。
5、全局异常处理,避免堆栈信息外露。打印的日志信息必须过滤敏感信息。