前些日子开发了一个人工操作的返利系统,难度不大,只是初次一个人承担前后端的开发工作,有踩过一些坑,也有为了图方便而牺牲了安全性等问题。现在记录下来,以后可以给自己和别人提一下醒。
- 鉴权
一开始的登录页面是有两个单选框,用来选择登录类型的:用户、管理员。但后来dalao看了之后说对用户体验不好,直接在后台进行判别就行。想想也是,因为在数据库中用户的标志是0,管理员是1,直接判断这个字段就行了,也给用户省去了一步操作。
- 缓存更新
我在用layui的前端框架时,因为一些效果不符合我期望,于是我直接在框架源码里修改,后来发现改错了,又还原了。但一直刷新页面发现源码还是没变,也有在Chrome的开发者工具里的Network——Disable cache 了,后来发现原来是忘记在eclipse里刷新项目了,项目的文件依然是上一次加载的。这个问题困扰了我好久。。
- 安全性
当时为了图方便直接将username和password放在cookie里,当然这个是非常低级的操作。。,也可能导致密码泄露。后来就改成在服务器存储一个session,用来保存用户的登录态。一改发现原来用session还更简单。。(第一次做网站。。)
还有就是当时管理员的页面是用静态的html编写,当然打开后会先用js进行身份判断,不符合直接跳转到登录页。但如果禁用了js就跳转不了,并且后台的接口也就暴露了,虽然操作不了。。后台就改用jsp,页面效果一样,但一检测到非管理员便立即跳转到登录页,后台界面什么也看不到。
- layui前端框架
当时选择用这个框架是比较简单,因为许多控件刚好符合我的需要,并且不用再去修改很多,很方便。这个框架是比较小众的,但功能和控件比较丰富,展示效果也不错。有一点就是,在使用表格控件的时候,如果你的总单元格加上工具条的宽度小于表格宽度,在加载表格的时候会闪一下,并且是比较明显的,对客户来说肯定不行。所以就只能调整总宽度和表格宽度一样,这样就ok了。