1、在登陆注册页面使用HTTPS,避免在传输账号密码时使用明文传输。
2、公钥加密私钥解密,在客户端使用公钥加密账号密码等信息,在服务端用私钥解密。
3、用户密码salt防止破解,在数据库存储账号密码时,将密码+salt(UUID生成的随机字符串),再使用MD5加密
4、设置token有效期,过一段时间就要求重新登录
5、单一平台的单点登录,登录IP异常检测。在单一平台,如果另一台设备同时登录一个账号,将上一个登录的ticket设置为1,则上一个登陆设备刷新时就要求再次登录。相同账号登陆如果ip位置相差过大,就可以给用户发送报警信息。
6、用户状态的权限判断。使用拦截器,在用户访问某些页面时,判断是否登陆。
7、添加验证码机制,防止爆破和批量注册。