1.用户密码数据的安全性:
考虑到http请求注册页面是明文的,如果注册时token/ticket经过中间商或者路由,别人都看得见,不安全。改进方法有:
-
1.登陆注册页面通过HTTPS网页进行
-
2.公钥加密私钥解密,支付宝h5页面的支付密码加密
打开页面时,服务器在页面埋公钥,提交密码的时候,先用公钥把密码加密,加密完之后 提交到服务器,服务器拿私钥进行解密。 -
3.用户密码+salt防止破解
-
4.token/ticket需要有效期 (隔一段时间就需要重新登陆
-
5.单一平台的单点登陆(登着登着发现掉线了,就知道可能被盗),登陆IP异常检验
-
6.通过用户状态的权限判断
-
7.添加验证码机制,防止爆破和批量注册