1. 加密敏感数据保证安全,非对称算法RSA和对称算法DES/SM4等;
2. 摘要算法MD5防止篡改,算法中增加盐值(双方约定的一个秘密值),增加服务器时间值,用于判断调用提交时间;
3. 采用token的方式校验是否已经登录,一个是判断token是否存在,二是token是否过期;
4. 接口设计需要具有幂等性,相同的调用请求,需要能够鉴别出来,不能做重复数据更新处理;
5. getXXXById接口中的id避免采用自增id,避免被自增调用;
6. 增加ip黑白名单,提高安全性,在黑名单中的ip,直接丢弃请求,不予响应,在白名单中的请求,正常处理;
7. 提高日志的完整性;
8. 接口调试工具,postman;