去年下半年进入新的项目团队,涉及到现有项目的升级改造、新功能开发,期间发现不少问题,现整理一下予以记录,希望对大家有所帮助。
原有登录流程为:
存在的问题主要有:
- 所有报文http明文传输,包括登录以及敏感信息的发送。
- 登录成功后,后续所有接口访问无需任何校验,比如我要进行修改密码直接post请求,不再做校验,http://ip /modifypwd?userid=888&oldpwd=123&newpwd=999&confirmpwd=999,相 当于只要知道报文格式,就可以查询、修改系统内任何用户的任何的信息。
- 报文为json格式,但无统一规范。
- 所有协议无文档,无说明。
改造流程主要为:
- 全站所有请求修改https协议,基于SSL安全传输,首先保证传输安全。
- 在用户登录时,返回唯一token值,以后所有访问请求,需要校验此值,若不匹配拒绝后续请求。已全站https 所以无需再进行url签名或者对称加密等方式。
- 统一报文规范,分为报文头、报文体,通过报文头确定请求是否成功,成功后再进行后续解析。
- 所有协议规范文档,采用的方式为 每个协议编写单独的html页面,所有的协议说明、接口调试通过页面进行,一方面解决了文档问题,另一方面方便了开发人员调试。
当然还有很多其他解决方案,比如:
- 由于https相比http效率稍慢,很多朋友会在登录以及敏感信息采用https,其他采用http url 签名方式、对称加密方式等,从现在的硬件发展来看,个人感觉效率已不是制约因素,更推荐全站https。
本文首发于个人博客:https://www.jiucool.org/app-security/
相关推荐
### APP与后台服务器数据通讯的安全问题 #### 一、通讯协议概述 在现代移动应用开发中,特别是Android应用,与后台服务器之间的数据通讯是至关重要的环节。为了保证数据的完整性和安全性,开发者需要了解并掌握...
本文将详细解析智联共享电池BMS与手机App及后台服务之间的通讯协议,旨在为开发者提供深入的理解和实施指导。 一、通讯协议基础 通讯协议是设备间信息交互的规则和标准,对于BMS系统而言,它规范了数据的传输方式...
7. **安全性与隐私保护**:在构建聊天应用时,必须考虑用户数据的安全性和隐私保护。这包括但不限于数据加密、会话安全、防止中间人攻击以及合规的用户信息处理策略。 8. **性能优化**:为了保证用户体验,即时通讯...
6. **安全性与稳定性** 为了保护用户隐私和数据安全,系统应采用HTTPS协议进行通信,确保数据传输的加密。同时,设计合理的错误处理机制,保证在网络不稳定或服务器故障时,仍能提供基本的服务。 7. **性能优化** ...
综上所述,移动终端APP与数据安全防护技术指标不仅涵盖了APP的兼容性、可扩展性、安全性、日志管理和后台管理等多个方面,还强调了资质和厂商支持的重要性。这些技术指标的实施,能够极大地提高移动终端的安全性能,...
- **通讯安全性**:在通讯中断或充电时,APP应能暂停并恢复功能,同时处理异常情况。 安全测试涵盖权限验证、数据加密、隐私保护、安装卸载流程、数据传输等多个方面,以确保用户数据安全和应用的稳定运行。对于...
总的来说,基于APP和通讯设备的户外局域网通讯系统是现代通信技术的综合体现,它结合了软件应用的便捷性与硬件设备的稳定性,为户外环境提供了高效的数据交互平台。随着技术的发展,我们可以期待更智能、更可靠的...
App测试点是移动互联网App测试的关键点,包括安全测试、安装和卸载安全性、数据安全性、通讯安全性等。 五点一、安全测试 安全测试是移动互联网App测试的重要组成部分,包括软件权限、隐私泄露风险、输入有效性...
4. **安全性**:XMPP支持SSL/TLS加密,可以保障数据传输的安全性,同时也可以通过XEP(XMPP Extension Protocols)实现更高级别的安全特性,如端到端加密。 5. **多组件架构**:XMPP服务器通常由多个组件构成,如...
【修复版】ONE兔3.0版本社交社区交友婚恋视频即时通讯双端APP原生源码是一款全面的社交应用解决方案,旨在为用户提供一个安全、高效、互动的平台,实现线上交友、婚恋匹配和即时通讯功能。此系统涵盖了网站PC端、...
因此,超级APP的开发涉及到的技术非常广泛,包括但不限于前端开发(如Android或iOS平台的原生编程)、后端服务构建、数据库设计、安全性实现以及用户体验优化等。 “提取连接”这个标签可能是指从超级APP中获取特定...
- DAO层作为业务处理层与数据库之间的桥梁,确保了数据处理的高效性和安全性。 #### 三、核心功能模块 **1. 即时通讯模块** - 提供实时的文字、语音、图片等多媒体信息传输功能。 - 支持单聊和群聊,便于用户进行...
- **数据加密**:通信过程中,数据采用SSL/TLS加密,保障信息传输的安全性。 - **隐私设置**:用户可以自定义消息阅后即焚、消息回执等功能,强化个人隐私保护。 6. **性能优化** - **异步处理**:大部分网络...
- **SSL/TLS**:用于加密通信,确保数据传输的安全性。 7. **UI设计**: - 使用Android的布局组件如`RecyclerView`显示聊天记录,`EditText`用于输入文字,`Button`发送消息等。 - 聊天界面的设计,包括消息气泡...
10. **安全性与隐私保护**:在用户登录模块,需要处理用户账户和密码的安全验证,防止数据泄露,确保用户信息安全。 通过以上技术的整合,交通信号控制系统的移动终端APP可以实现对交通信号的远程监控和智能管理,...
通讯的安全性** - **安全措施**:包括但不限于数据加密、认证机制等,确保通信过程中的数据安全。 **4. 表情的处理** - **技术挑战**:如何高效地存储和传输表情包等多媒体内容。 **5. LBS服务** - **位置服务...
登录界面需要确保安全性,防止信息泄露;界面设计简洁,操作直观,对用户的输入能迅速响应。系统主要包括登录界面、目录界面、联系人群组列表界面和快速查找界面,以满足不同场景下的需求。 通过这个项目,开发者...