版权声明:本文为博主原创文章,未经博主同意不得转载。 https://blog.csdn.net/iDivines/article/details/89838534
前端一般有App和web两种,服务端后台分为无状态(分布式服务器)和有状态(单个服务器)
前端如何存储秘钥
对于App来说前端可以存储秘钥,通过白盒加密和混淆的手段可以把增加App被破解的成本
对于Web来说是不能存储任何秘钥的
如何保证用户输入的账号密码的安全
1、在web端对用户输入的密码进行MD5
2、在App端可以使用本地存储的秘钥对用户输入的密码进行加密
3、采用https进行传输
4、后台数据库中存储的密码是MD5后的结果
服务端如何信任前端
对于无状态服务器可以采用token的方式,前端登录后服务端分配一个token给前端,前端每次请求API的时候带上这个token,服务端验证token的有效性,验证通过才放行。
对于有状态的服务器可以采用session的方式,前端登录后服务端在session存储权限信息,前端在请求的时候浏览器会自动带上session_id,服务器可以通过session里存储的权限信息来判断前端的合法性。
如何保证token和session不被人窃取并冒用
token和session_id是在网络中传输的为了防止被窃取最好的方式就是使用https
web端token产生和验证的方案
1、token的报文产生和验证可以参考jwt
2、token的有效期设计短一点(这一点需要平衡下,如果太短需要经常更新token)
3、一定要通过https传输数据防止token被中间人窃取