登录:弱密码检查
登录次数限制,增加验证码检查
注入检查,特殊字符过滤
异常处理:生产环境,不返回原始异常信息
生产环境:关闭debug模式
日志
接口鉴权
URL签名,防篡改
token过期机制
参数安全:功能最小化
数据安全:按需返回,数据最小化
指定GET、HEAD、POST、PUT、DELETE、OPTIONS、TRACE、PATCH方法,增加访问安全
数据库:不明文存储密码,密码加盐
敏感信息加密:手机号、地址、身份证。可自定义规则,对多位数字位移;记录位移参数实现动态加密。
ssl链路
域名检查
最后更新于3年前
