防止窃取信息
1、使用非对称加密,即使用HTTPS
2、第二道防线
加密内容是:(有效信息+时间戳),时间的有效期,看自己业务情况。越小越好。(没有绝对的安全)
解密后:截取掉后13位。分成: 有效信息+时间戳。判断时间戳是否在1分钟内。
3、绝对安全
建立密文黑名单,如果此密文被用过了,则不能用了。降低了性能,换来了安全。(redis)
3、防止篡改数据
使用佳倩验签(MD5(加盐)、SHA1
MD5与SHA1都是Hash算法,MD5摘要是128位的,SHA1摘要是160位的,MD5比SHA1快,SHA1比MD5强度高。)
JWT(JSON WEB TOCKEN)
JWT是一种基于JSON的令牌安全验证(在某些特定的场合可以替代Session或者Cookie),无状态,比session轻