2019-10-24 App端与服务器之间的安全策略

最新推荐文章于 2020-09-09 10:32:46 发布
最新推荐文章于 2020-09-09 10:32:46 发布
阅读量203 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LHS__BRU_745/article/details/102805268
版权

一:https保证通道安全

二:下发token保证无登录的用户不能随意调用服务

三:token有过期时间,保证服务不被长期木马攻击

四:对于支付等安全功能,需要另外增加支付密码校验和短信验证

五:应用层内做自己的安全协议(对称、非对称、打包证书等等)

移动app通过post请求调用服务器的api接口,为了确保服务器的数据安全和通讯安全,防止数据篡改等恶意攻击,

本人通过查询资料和思考,总结出了一个方案,个人认为能解决基本的接口调用安全问题,具体方案如下。

首先,移动端通过访问公开接口与服务器通讯,使用用户名和密码(当然是MD5加密)作为参数向服务器申请TOKEN,服务器获取用户名和密码,服务器端判断该用户是否法,如果合法,服务端为移动APP应用分配APPID (32位随机字串)以及TOKEN(32位随机字串)同时服务器保存APPID和TOKEN,当然根据应用的不同,服务器可以为该TOKEN(建立有效期如3600s)后台就要建立触发器或者自动作业销毁token。移动端收到APPID和TOKEN进行存储,同时返回给用户与服务器建立连接成功等提示信息。之后,移动端请求其他功能接口,接口参数中要增加APPID和TOKEN,其接口格式如下:method(APPID,Token,…其他参数),服务器首先验证token是否有效,进行数据服务完成之后如果token为临时有效,应重新修改有效期时间起点为调用时刻。最后,APP一直没有访问服务端,如token永久有效,则没有后续操作,若token为临时有效,token过了有效期,验证无法通过则通知用户访问相应接口,重新获取验证token。该方案其实是两步验证,其实对于一般应用,在用户注册的时候,可以同时为用户生成永久验证Token,用户在使用APP进行调用服务端API的时候,将该Token配置到系统中,这样就可以防止恶意用户直接通过访问post请求对服务端的数据造成安全隐患。

————————————————

版权声明:本文为CSDN博主「方剂各」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/liyanspace88888888/article/details/70859909

雨笋情缘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Server 2008系统管理视频教程csdn.txt
04-04
第1章安装WindowsServer20083小时4分钟24节 1-1IT运维职位需要掌握的技能04:40 1-2学习所需基础和硬件要求07:39 1-3WindowsServer2008版本介绍09:21 1-4在虚拟机中安装Windows200812:44 1-5安装WindowsServerCore03:53 1-6安装完成后的操作05:15 1-7安装VMWareTools09:52 1-8操作系统05:50 1-9使用虚拟机克系统09:55 1-10为克隆的系统产生新的SID13:35 1-11克隆系统和版权问题09:31 1-12挂在虚拟机硬盘文件到物理机05:35 1-13虚拟机的网络10:05 1-14将虚拟机网卡指定到特定网络10:04 1-15更改虚拟机网卡的MAC地址01:28 1-16使用已有的硬盘文件创建虚拟机04:13 1-17管理远程计算机运行的虚拟机02:54 1-18设置虚拟机开机自动登录03:13 1-19介绍WindowsPE的用途08:29 1-20WindowsPE重设密码和备份系统10:50 1-21备份系统的方式01:47 1-22使用高级启动选项进入安全模式11:40 1-23修复安装系统06:21 1-24配置WindowsServerCore15:28 第2章配置WindowsServer环境1小时33分钟8节 2-1IE浏览器安全设置13:11 2-2IE服务器17:33 2-3服务器的其他设置05:19 2-4注册表编辑工具regedit08:40 2-5设置文件夹选项和文件默认程序04:57 2-6微软系统配置工具优化系统08:42 2-7管理Windows上的服务19:48 2-8硬件管理15:33 第3章管理WindowsServer2008用户和组1小时57分钟18节 3-1管理用户10:56 3-2用户的SID和用户的身份09:34 3-3禁用管理员02:29 3-4创建隐藏账户08:56 3-5创建不属于管理员组的管理员06:54 3-6使用密码重设盘恢复密码06:16 3-7系统内置的组和自定义组04:05 3-8系统内置的组和自定义组04:05 3-9用户配置文件10:23 3-10管理缓存的网络凭据13:56 3-11缓存网络凭证带来的风险06:18 3-12用IP和名称访问缓存凭证01:34 3-13管理存储的网络凭据02:13 3-14镜像账户09:08 3-15镜像账户裁剪04:40 3-16演示镜像账户的身份06:07 3-17只允许guest访问共享资源06:22 3-18课间103:13 第4章搭建单域环境1小时34分钟13节 4-1工作组和域区别07:23 4-2域环境介绍08:55 4-3改计算机名03:38 4-4安装活动目录11:45 4-5安装完活动目录后的检查06:38 4-6将计算机加入域05:31 4-7让域控制器想DNS注册SRV记录04:38 4-8SRV记录注册失败后检查05:20 4-9统一身份验证06:38 4-10统一管理13:52 4-11域用户和本地用户登录06:45 4-12域中的计算机和域控制器的SID一样造成的问题06:17 4-13产生新的SID之后需要重新加入域07:37 第5章NTFS文件系统1小时35分钟16节 5-1将FAT分区转成NTFS分区09:08 5-2取消继承的权限07:25 5-3验证NTFS文件夹权限09:38 5-4NTFS权限的特点04:40 5-5只允许写入不允许读取的文件夹03:50 5-6创建交作业的文件夹09:11 5-7只允许用户在自己的文件夹中创建文件04:20 5-8获取所有权06:44 5-9获得所有权重置权限05:36 5-10EFS加密细节06:54 5-11加密文件02:55 5-12导出EFS证书04:23 5-13重设密码对EFS的影响04:35 5-14压缩文件和文件夹06:15 5-15磁盘配额04:10 5-16卷影副本06:15 第6章搭建文件服务器1小时46分钟21节 6-1介绍文件服务器03:16 6-2共享权限 读取 参与者 共有者09:34 6-3共享权限和NTFS权限06:16 6-4共享向导自动设置NTFS权限04:42 6-5创建和访问隐藏共享的文件夹02:45 6-6多次共享03:45 6-7查看所有共享和会话04:28 6-8删除隐藏共享01:01 6-9通过更改注册表删除默认共享03:15 6-10文件夹共享依赖Workstation服务01:41 6-11本地连接的选项和访问共享资源故障06:27 6-12配置网络和共享中心打开访问共享的口01:42 6-13安装文件服务器资源管理器 实现文件夹限额08:48 6-14文件屏蔽和文件存储情况报告04:32 6-15分布式文件系统06:36 6-16安装DFS服务05:54 6-17创建基于域的名称空间10:09 6-18验证DFS复制和容错05:11 6-19配置客户缓存04:46 6-20配置DFS单向复制05:35 6-21DFS解决的实际问题05:59 第7章服务器性能监控1小时5分钟8节 7-1性能监控的必要性05:40 7-2任务管理器实施监控计算机性能09:42 7-3性能监视器18:09 7-4系统性能监控报告 网络瓶颈 CPU瓶颈监控08:58 7-5系统性能内存瓶颈检查05:33 7-6日志的类型 在微软帮助网站寻找答案12:20 7-7创建自定义视图查看日志02:25 7-8导入导出归档清除日志02:37 第8章配置系统安全策略1小时39分钟16节 8-1配置系统安全策略03:51 8-2密码策略14:45 8-3账户锁定策略02:24 8-4演示账户锁定和解锁过程06:14 8-5审核账户管理和登录事件07:17 8-6审核对文件和文件夹的访问06:01 8-7授予用户访问网络资源 关机 更改系统时间08:37 8-8拒绝本地登录03:06 8-9安全选项10:35 8-10软件限制策略08:56 8-11禁用自动播放和使用注册表编辑工具05:08 8-12禁止用户运行指定的程序02:07 8-13跟踪用户登录情况01:50 8-14登录服务器自动发送脚本07:02 8-15开通邮件提醒功能02:01 8-16给日志附加事件 有人创建用户给管理员手机发短信09:19 第9章配置和连接网络打印机58分钟9节 9-1本地打印机和网络打印机以及打印服务的概念06:49 9-2添加本地打印机网络接口打印机11:25 9-3连接和使用网络打印机05:21 9-4设置打印机权限和打印时间03:36 9-5设置打印机的优先级03:33 9-6使用打印池实现打印设备负载均衡02:48 9-7使用组策略部署打印机08:09 9-8使用脚本部署打印机13:43 9-9实战:连接网络接口打印机02:58 第10章配置动态磁盘1小时8分钟10节 10-1基本磁盘上的分区06:29 10-2动态磁盘上的卷和卷的类型13:10 10-3添加三个硬盘 转化成动态磁盘 创建简单卷06:14 10-4创建条带卷 镜像卷 RAID-5 跨区卷08:14 10-5验证动态磁盘的容错05:40 10-6添加新硬盘修复RAID-1和RAID-5卷03:48 10-7各种RAID卷的应用场景02:26 10-8软RAID和硬RAID07:25 10-9管理磁盘的盘符和路径09:03 10-10数据恢复数据06:09 第11章远程桌面和终服务2小时41分钟32节 11-1在Windows 2003和Windows7启用远程桌面06:47 11-2在WindowsServer2008启用远程桌面05:52 11-3设置远程桌面网络级身份验证03:56 11-4用户能够使用远程桌面连接服务器04:18 11-5保存访问远程服务器的网络凭据03:47 11-6组策略允许保存的网络凭据访问远程04:12 11-7配置组策略允许使用当前登陆的域用户身份远程连接服务器04:04 11-8查看远程桌面使用的口07:22 11-9更改远程桌面的口09:55 11-10将本地磁盘和打印机映射到远程服务器08:15 11-11将本地打印和磁盘映射到远程05:09 11-12配置远程桌面服务器RDP属性03:08 11-13远程桌面会话限制09:06 11-14限制一个用户一个会话01:16 11-15介绍终服务和终服务 每用户 每设备许可证05:18 11-16安装终服务02:55 11-17安装终服务02:55 11-18终服务 安装许可证03:47 11-19安装终服务和TS Web访问04:10 11-20为终服务指定终服务06:37 11-21设置用户登陆终服务器只能运行指定程序03:20 11-22为不同用户指定登录终服务运行不同程序05:13 11-23终服务的场景06:54 11-24配置和使用Remote APP08:49 11-25访问RemoteAPP的3种方式04:36 11-26终服务负载均衡06:37 11-27安装TS Broker02:45 11-28在DNS服务器上为终服务添加主机记录03:33 11-29为终服务指定TS Broker02:42 11-30验证终服务负载均衡07:39 11-31验证终服务负载均衡要考虑数据同步问题02:30 11-32查看终服务 许可证使用情况04:19
如何保证手机app访问web服务器安全
yushuainihao的博客
10-23 4878
做过android的朋友可能会发现手机的app服务器接口之间的数据交换是非常频繁的,在JAVA-WEB中前台界面与服务器之间有一个安全机制session,它的存在可以过滤掉很多非登陆状态的请求,那如何才能保证普通的移动终ios或是android的请求时合法有效的呢,下面我总结也尝试了几种方式,当然不管哪一种机制,都有其弊,也不是绝对安全的,只能说比不进行任何处理要好的多。 1.请
App服务器之间安全策略
益思于笔滴,识广于累积
04-27 4348
一:https保证通道安全 二:下发token保证无登录的用户不能随意调用服务 三:token有过期时间,保证服务不被长期木马攻击 四:对于支付等安全功能,需要另外增加支付密码校验和短信验证 五:应用层内做自己的安全协议(对称、非对称、打包证书等等) 移动app通过post请求调用服务器的api接口,为了确保服务器的数据安全和通讯安全,防止数据篡改等恶意攻击,本人通过查询资料和思考,总结
开放 API 接口签名验证
yonhu123java的博客
09-09 1639
1. 接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一 AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 重放攻击 虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。 timestamp+nonce方案 nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一
如何保证APP与服务通信安全
渣渣想逆袭
04-18 3379
前言 最近公司外包给别人做的一个APP项目上线了,拿到源码一看那代码质量真是一言难尽啊! 刚上线用户比较少倒也没出啥问题,不过随着用户慢慢变多,问题逐渐暴露出来了。 最严重的问题就是我们的APP服务器的通信接口没有加密处理被人抓包了,有人非法请求我们的接口获取数据。 怎么处理这个问题呢?领导又把这个光荣而艰巨的任务分给了我,没办法只能硬着头皮上啊,经过几天摸索终于总结出了一套还算安全的A...
移动客户服务器安全通信方案
热门推荐
奋斗
04-25 1万+
手机移动服务器安全通信一直是个问题,让人比较头疼,最近在网上查了一些资料,总结了一下得出了一个自我感觉还好的方案,分享一下,也希望得到大家的批评斧正。     CS,C客户,S服务器     在客户软件发布前,客户保存一个公钥,服务器保存一个私钥     C1:客户随机生成一个对称密钥K,使用公钥加密内容(K+账户+密码)。发送给服务器     S2:服务器收到后使用私钥解
移动应用与API 服务器之间安全通信解决方法
dexianhun4576的博客
11-21 257
最近接触到了移动API开发的问题,为了确保应用与API 服务器之间安全通信,防止数据篡改等恶意攻击,和同事探讨出此验证方法: 首先向移动应用分配APP_ID(int) ,APP_KEY(32位随机字串),移动利用APP_ID 与 APP_KEY向服务器请求,服务器判断该应用是否合法; 应用合法则生成临时Token返回给移动应用(Token有效期默认3600s),服务器存...
citrix 中文管理操作手册
11-04
在内容与已发布应用程序之间建立信任关系 42 禁用所选已发布应用程序的命令行验证 42 禁用服务器上所有已发布应用程序的命令行验证 42 配置已发布内容的位置 43 配置内容重定向 43 将内容从客户重定向到服务器 43 ...
ARCH4系统开发指南
05-02
2.8.2 实现Sequence主键生成策略 21 2.9 如何清除Hibernate Session中的对象 22 2.10 使用日期控件 22 2.11 如何引入外部文件 23 2.11.1 主页面采用include方式,引入各个子页面jsp文件 23 2.11.2 主页面用${ctx}...
云计算第二版
04-08
1.5.3 云计算与移动互联网 10 1.5.4 云计算与三网融合 11 1.6 云计算压倒性的成本优势 12 习题 15 参考文献 15 第2章 Google云计算原理与应用 17 2.1 Google文件系统GFS 17 2.1.1 系统架构 18 2.1.2 容错机制 20 ...
oracle学习文档 笔记 全面 深刻 详细 通俗易懂 doc word格式 清晰 连接字符串
05-06
ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。  拉里•埃里森  就业前景 从就业与择业的...
麦肯锡 组织 概述与基本框架gl.ppt
05-05
麦肯锡 组织 概述与基本框架gl.ppt
node-v10.11.0-linux-s390x.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
大型强子对撞机电源转换器设计与运行挑战
05-05
大型强子对撞机电源转换器设计与运行挑战
(优作)低功耗STM32F411开发板(原理图+PCB源文件+官方例程+驱动等)
05-05
本文档提供了一套完整的STM32F411低功耗开发板资源,包含详细的原理图、PCB设计源文件、官方提供的示例程序以及必要的驱动程序。这些资料对于嵌入式系统开发者来说是宝贵的学习资源,特别适合那些希望深入了解STM32F411微控制器及其应用的学生、工程师和电子爱好者。文档旨在帮助用户快速上手STM32F411的开发工作,无论是进行学术研究、产品原型设计还是个人项目实践,都能从中获益。 关键词标签: STM32F411 低功耗 开发板 资料下载
uni-app开发app遇到过那些安全性问题
07-09
2. 数据传输安全:在app服务器之间的数据传输过程中,如果没有适当的加密机制,攻击者可能会截获敏感数据。因此,使用HTTPS协议进行数据传输是一个重要的安全措施。 3. 身份验证与授权:在app中,用户的身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值