系统安全

1.1编码安全

• 登录：弱密码检查

• 登录次数限制，增加验证码检查

• 注入检查，特殊字符过滤

• 异常处理：生产环境，不返回原始异常信息

• 生产环境：关闭debug模式

• 日志

1.2接口安全

• 接口鉴权

• URL签名，防篡改

• token过期机制

• 参数安全：功能最小化

• 数据安全：按需返回，数据最小化

• 指定GET、HEAD、POST、PUT、DELETE、OPTIONS、TRACE、PATCH方法，增加访问安全

1.3数据安全

• 数据库：不明文存储密码，密码加盐

• 敏感信息加密：手机号、地址、身份证。可自定义规则，对多位数字位移；记录位移参数实现动态加密。

1.4链路安全

• ssl链路

• 域名检查

1.5服务器安全