持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第15天,点击查看活动详情
1. 网络层: 采用HTTPS TLS 1.2 (防止拦截篡改)
2. 应用层:采用验签或采用AccessToken (防止任意调用)
3. 应用层: 增加时间戳 (防止重放攻击,时间戳有效时间为20秒~15分钟)
4. 应用层: 敏感信息加密 (防止客户端泄露)
5. 应用层: 服务端接口敏感数据脱敏返回 (防止敏感信息泄露)
6. 应用层:支付接口一次性(如接口为支付接口,确保支付订单的唯一性,防止重复提交)
7. 提交参数进行过滤(防止sql注入、xss等)
8. 授权体系注意水平权限验证与垂直权限验证
9. 采用api站库分离
10. Api接口要实时监控审计
11. 异常操作行为(如频繁查询,越权访问等)进行日志记录
12. 登陆日志、操作日志等日志支持统一外发
