上个项目的一些反思 I

最新推荐文章于 2024-07-12 16:27:40 发布
最新推荐文章于 2024-07-12 16:27:40 发布
阅读量66 收藏
点赞数
文章标签: 后端 网络 数据库
原文链接:http://www.cnblogs.com/ngi8/p/5127552.html
版权

最近一直在反思之前的项目,发现了很多问题.比如数据安全...

虽然项目需求是只展示最新的数据,所以几乎没用什么本地存储.除了通讯录和用户的Token.

用户通讯录另表,今天反思下用户的Token的存储,我直接用<Preferences>存在了本地.一旦被非法获取,配合API借口,后果不堪设想...

就像这样.

    /*
     *  正如其名,还是存储些用户的设置比较好~
     */

    NSUserDefaults *userDefaults = [NSUserDefaults standardUserDefaults];
    
    //
    [userDefaults setObject:@"USERSTOKEN" forKey:@"token"];

    [userDefaults synchronize];// return bool value
    
    //
    NSString *Token = [userDefaults stringForKey:@"token"];

 

后来有和后端讨论是不是该用MD5,后端表示不需要阿~(FUCK TJ)

不过转念一下,也对.都能读取到你的token了,加密存储也没什么用,大不了连你加密的一起复制就行...想了想,不如加点salt吧.

//需要向服务器验证token的时候调用
+(NSString *)MD5EncryptWith:(NSString*)code
{
    
    NSString *SaltCode = [NSString stringWithFormat:@"%@%@",code,[self daySalt]];
    
    const char *cStr = [SaltCode UTF8String];
    
    unsigned char result[16];
    
    CC_MD5(cStr, (CC_LONG)strlen(cStr), result);
    
    
    NSMutableString *hash = [NSMutableString string];
    
    for (int i = 0; i < 16; i++){
        
        [hash appendFormat:@"%02X", result[i]];
        
    }
    
    return [hash lowercaseString];
}


+(NSString *)daySalt
{
    NSDate *  senddate=[NSDate date];
    
    NSDateFormatter  *dateformatter=[[NSDateFormatter alloc] init];
    
    //精确到小时,如果通过局域网抓包获得token,能保证一小时后失效,当然也可以精确到分,秒.(需要服务器配合)
    [dateformatter setDateFormat:@"YYYYMMddhh"];
    
    return [dateformatter stringFromDate:senddate];
}

弄完这些我就后悔了.我只要换个存储方式就能解决了..比如keychain..

//
//  KeyChainIO.h
//
//  Created by M on 16/1/13.
//  Copyright © 2016年 Meng. All rights reserved.
//

#import <Foundation/Foundation.h>

@interface KeyChainIO : NSObject


+(void)SaveToken:(NSString *)Token;

+(id)ReadToken;

+(void)DeleteToken;

@end

 

//
//  KeyChainIO.m
//
//  Created by M on 16/1/13.
//  Copyright © 2016年 Meng. All rights reserved.
//

#import "KeyChainIO.h"

@implementation KeyChainIO

static NSString * const KEY_IN_KEYCHAIN = @"com.m1989.info";

static NSString * const KEY_Token = @"com.m1989.token";


+(void)SaveToken:(NSString *)Token
{
    NSMutableDictionary *usernamepasswordKVPairs = [NSMutableDictionary dictionary];
    [usernamepasswordKVPairs setObject:Token forKey:KEY_Token];
    [self save:KEY_IN_KEYCHAIN data:usernamepasswordKVPairs];
}

+(id)ReadToken
{
    NSMutableDictionary *usernamepasswordKVPair = (NSMutableDictionary *)[self load:KEY_IN_KEYCHAIN];
    return [usernamepasswordKVPair objectForKey:KEY_Token];
}

+(void)DeleteToken
{
    [self delete:KEY_IN_KEYCHAIN];
}



#pragma mark ==========================

+ (NSMutableDictionary *)getKeychainQuery:(NSString *)service {
    return [NSMutableDictionary dictionaryWithObjectsAndKeys:
            (__bridge_transfer id)kSecClassGenericPassword,(__bridge_transfer id)kSecClass,
            service, (__bridge_transfer id)kSecAttrService,
            service, (__bridge_transfer id)kSecAttrAccount,
            (__bridge_transfer id)kSecAttrAccessibleAfterFirstUnlock,(__bridge_transfer id)kSecAttrAccessible,
            nil];
}

+ (void)save:(NSString *)service data:(id)data {
    //Get search dictionary
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    //Delete old item before add new item
    SecItemDelete((__bridge_retained CFDictionaryRef)keychainQuery);
    //Add new object to search dictionary(Attention:the data format)
    [keychainQuery setObject:[NSKeyedArchiver archivedDataWithRootObject:data] forKey:(__bridge_transfer id)kSecValueData];
    //Add item to keychain with the search dictionary
    SecItemAdd((__bridge_retained CFDictionaryRef)keychainQuery, NULL);
}

+ (id)load:(NSString *)service {
    id ret = nil;
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    //Configure the search setting
    [keychainQuery setObject:(id)kCFBooleanTrue forKey:(__bridge_transfer id)kSecReturnData];
    [keychainQuery setObject:(__bridge_transfer id)kSecMatchLimitOne forKey:(__bridge_transfer id)kSecMatchLimit];
    CFDataRef keyData = NULL;
    if (SecItemCopyMatching((__bridge_retained CFDictionaryRef)keychainQuery, (CFTypeRef *)&keyData) == noErr) {
        @try {
            ret = [NSKeyedUnarchiver unarchiveObjectWithData:(__bridge_transfer NSData *)keyData];
        } @catch (NSException *e) {
            NSLog(@"Unarchive of %@ failed: %@", service, e);
        } @finally {
        }
    }
    return ret;
}

+ (void)delete:(NSString *)service {
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    SecItemDelete((__bridge_retained CFDictionaryRef)keychainQuery);
}

@end

 

+(void)SaveToken:(NSString *)Token;

+(id)ReadToken;

+(void)DeleteToken;

能满足需求了.

 

换成keychain,只能说本地暂时安全了(后来和一做网络安全聊过,如果目标iPhone没有被破解(越狱),其实存储位置和方式是无所谓的,因为iOS的沙盒机制,应用间是彼此独立的,附keychain导出,http://blog.jobbole.com/58832/).

不过如果WiFi被劫持了,或者用户接入了不安全的网络,通过一些抓包软件,也是很容易造成用户数据的泄露.

所以结合MD5再加点salt,客户端发送请求的时候,是自身token结合当前时间(时间戳)进行MD5加密.

服务端做效验的时候,也是取出数据库存储的Token+客服端发送过来的时间进行MD5加密后进行对比

或许能更安全点..或者直接https,只不过有没有过度设计?

其他的,非对称加密RSA,对称加密AES,DES再等着你.

另外Base64是编码方式,不是加密方式.它是可以被解码的...

转载于:https://www.cnblogs.com/ngi8/p/5127552.html

weixin_34391445
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java项目经验
weixin_30699741的博客
04-22 7238
转自CSDN。 Java就是用来做项目的!Java的主要应用领域就是企业级的项目开发!要想从事企业级的项目开发,你必须掌握如下要点:1、掌握项目开发的基本步骤2、具备极强的面向对象的分析与设计技巧3、掌握用例驱动、以架构为核心的主流开发方法没有人愿意自己一辈子就满足于掌握了一些代码实现的技巧,别人告诉你要实现什么,你就用代码堆砌来实现别人的要求!你必须学会从整个项目的角度去思考!你必须学会...
近期做项目的一些反思与总结
清道夫的专栏(3D程序员,炼心,终生编程)
04-14 2558
近期做项目的一些反思与总结        项目进行到现在,已经接近尾声了。在整个项目的制作过程中,自己既有进步的地方,也有暴露出严重问题的地方。让自己感到格外高兴地,是在这个项目阶段,自己真正体会到了面向对象程序设计(OOP)所带来的好处:清晰的类间关系、模块化的划分,抽象化的基类、面对变化所派生出的子类,它们组成了程序整体上的结构,使用起来真的是十分的舒服。但是,与此同时自己也遇到
JAVA面试题第二阶段总结
weixin_44204662的博客
09-26 862
JAVA面试题第一阶段总结 1、描述Servlet调用过程 答:1、在浏览器输入地址,浏览器先去查找hosts文件,将主机名翻译为ip地址,如果找不到就再去查询dns服务器将主机名翻译成ip地址。 2、浏览器根据ip地址和端口号访问服务器,组织http请求信息发送给服务器。3 3、服务器收到请求后首先根据Host请求头判断当前访问的是哪台虚拟主机。 4、服务器根据http请求头中的请求URI判断当前访问的是哪个web应用。 5、服务器根据http请求头的请求RUI判断当前访问的是web应用中的那个web资源
【学习笔记】历时两个月完成的Javaweb项目中错误记录和总结反思
故沉的博客
12-23 776
前言 在此做一些技术方面的错误记录,仅作个人小结用(不涉及任何项目细节) 开始一点点的回忆和更新…… 前端 1. layui分页失效问题 后端 1. yml数组定义及调用 application.yml文件示例 ips: - one - two count: 12 java程序中对yml数组调用 try { Yaml yaml = new Yaml();// 这个需要的jar包为:org.yaml.snakeyaml //MailConf...
项目反思
weixin_30522183的博客
08-05 446
数据库:1.表里记录createTime/updateTime/creator/updator2.数据库自带插入时间和更新时间功能,create_time 自动插入,update_time 自动更新时间。貌似用项目传输时间更好,避免服务器和数据时间不统一等问题。3.LEFT JOIN 关键字会从左表 (table_name1) 那里返回所有的行,即使在右表 (table_name2) 中没有匹配的...
一次项目反思及总结
H_L_S的专栏
08-03 2674
最近一段时间接了一个项目,于是找了两个小伙伴一起做。做这个项目的过程中,不仅暴露的笔者的一些不足,同时也深深体会了到在一个项目的开发过程中,队友的能力及项目沟通的重要性。 暴露的问题 1.作为负责人,在需求的对接方面明显不足,虽然大体方向是对的,但是细节之处却没有太在意,没有与需求方进行更多的讨论,最终导致细节之处经常改动,浪费了人力物力。 2.合作事宜未在事前讨论清楚,比如合同,付款方式等...
第一次项目反思与总结
m0_51787737的博客
11-30 1490
这个项目是我们开始学习Java以来第一个上手的项目,在以前还是有Java小打小小闹,第一次上手这样的项目,从开始的好奇,到后来的无从下手,再到不耐烦,慢慢的自己也适应了这种项目,不在对其感到厌倦,偶尔还可以在其中找到一点点喜悦。下来我就大概和大家介绍以下这个项目
被大创耽误的一堆反思
热门推荐
雀黑够呛哥
04-08 2万+
这是一篇说实话的文章: 这一次大创项目《基于Android的声纹考勤系统》总体来说我觉得自己很失败浪费了很多时间,做了很虚无缥缈的东西。 目录 项目简述: 失败原因的分析: 我个人的原因: 外部原因: 大创项目的总结 一年后的我 大创项目的现状 项目简述: 这个项目是学长已经做好了,我没有参与APP的代码编写,我是负责论文的编写以及填表。论文是我写的,这的确是让我提高...
关于项目delay的反思
忠s
10-16 1705
         背景:最近半年在负责项目组中负责新FTL的研发,团队有2-3人,项目时间经常会delay,经常需要加班赶工,身体情况在上半年直线下降等等常见的问题。项目还没有交付,在此对之前的问题进行总结,希望后面进展避开这些雷。 问题大致分类如下: 1. 任务识别有偏差          拿到需求后,我一般花半天时间对任务进行分解,估算时间和分配资源,然后相关干系人进行确认。任务预算时间...
反思:最终项目LHL
02-18
"反思:最终项目LHL"这个标题可能指的是一个项目或课程的最终阶段,其中“LHL”可能是项目、团队或者个人的缩写,而“反思”则意味着对整个项目进行回顾和总结,旨在学习经验,提升技能。下面我们将深入探讨...
通用技术课程项目实践的反思
08-19
通用技术课程项目实践的反思
上程数据编程实战结课项目.rar
08-18
《上程数据编程实战结课项目》是一个综合性的学习成果展示,它涵盖了多个重要的IT知识点,包括编程实践、项目管理、数据分析以及技术报告撰写。在这个项目中,开发者不仅锻炼了编程技能,还积累了宝贵的项目经验。 ...
一位项目经理的反思(太深刻了!).doc
10-03
一位项目经理的反思(太深刻了!).doc
一位项目经理的深刻反思.doc
10-07
从上述文档中,我们可以提炼出一些关于项目经理工作的核心知识点: 1. **罚款的效果有限**:项目经理不能单纯依赖罚款来驱动团队成员,因为罚款往往只会引起抵触心理,而不是激发责任感。对于高层管理者来说,更...
java后端项目启动失败,解决端口被占用问题
SUMMERENT的博客
07-11 305
报错信息: Web server failed to start . Port 8020 was already in use.netstat -ano | findstr 端口号。taskkill /F /PID 进程ID。举例:关闭8020端口。
后端——全局异常处理
m0_73991249的博客
07-09 401
当我们执行一些错误操作导致程序报错时,程序会捕捉到异常报错,这个异常会存在一个Exception对象里那我们在spring boot工程开发时,当我们执行一个sql查询时报错了,那就会从最底层的Mapper层捕捉到Exception异常,然后一路往Service、Controller传出去那么学过java的应该知道,怎么才能捕捉到这个Exception异常并显示?就得用【try-catch】
更新商品前端接口编写
最新发布
weixin_55639995的博客
07-12 347
那么在vue运行的时候,会加载所有的ref属性特征的元素还有组件。标签中ref的作用就是将 该组件注册到vue对象的ref属性中。使用插槽,那个scope就是代表着一行的数据。然后里面的选项遍历的是 js定义的数据。如果文字显示过多可以使用 文本隐藏显示。表单绑定还有表单数据的绑定。数据绑定使用的表单绑定状态。写form表单然后封装数据。状态的选择使用的是选择框。副标题使用的是文本域。状态页面使用,下拉框。富文本选择器使用组件。使用后端枚举类型去写。
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 299
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值