去年下半年进入新的项目团队,涉及到现有项目的升级改造、新功能开发,期间发现不少问题,现整理一下予以记录,希望对大家有所帮助。
原有登录流程为:
存在的问题主要有:
- 所有报文http明文传输,包括登录以及敏感信息的发送。
- 登录成功后,后续所有接口访问无需任何校验,比如我要进行修改密码直接post请求,不再做校验,http://ip /modifypwd?userid=888&oldpwd=123&newpwd=999&confirmpwd=999,相 当于只要知道报文格式,就可以查询、修改系统内任何用户的任何的信息。
- 报文为json格式,但无统一规范。
- 所有协议无文档,无说明。
改造流程主要为:
- 全站所有请求修改https协议,基于SSL安全传输,首先保证传输安全。
- 在用户登录时,返回唯一token值,以后所有访问请求,需要校验此值,若不匹配拒绝后续请求。已全站https 所以无需再进行url签名或者对称加密等方式。
- 统一报文规范,分为报文头、报文体,通过报文头确定请求是否成功,成功后再进行后续解析。
- 所有协议规范文档,采用的方式为 每个协议编写单独的html页面,所有的协议说明、接口调试通过页面进行,一方面解决了文档问题,另一方面方便了开发人员调试。
当然还有很多其他解决方案,比如:
- 由于https相比http效率稍慢,很多朋友会在登录以及敏感信息采用https,其他采用http url 签名方式、对称加密方式等,从现在的硬件发展来看,个人感觉效率已不是制约因素,更推荐全站https。
本文首发于个人博客:https://www.jiucool.org/app-security/
相关推荐
### APP与后台服务器数据通讯的安全问题 #### 一、通讯协议概述 在现代移动应用开发中,特别是Android应用,与后台服务器之间的数据通讯是至关重要的环节。为了保证数据的完整性和安全性,开发者需要了解并掌握...
本文将详细解析智联共享电池BMS与手机App及后台服务之间的通讯协议,旨在为开发者提供深入的理解和实施指导。 一、通讯协议基础 通讯协议是设备间信息交互的规则和标准,对于BMS系统而言,它规范了数据的传输方式...
7. **安全性与隐私保护**:在构建聊天应用时,必须考虑用户数据的安全性和隐私保护。这包括但不限于数据加密、会话安全、防止中间人攻击以及合规的用户信息处理策略。 8. **性能优化**:为了保证用户体验,即时通讯...
6. **安全性与稳定性** 为了保护用户隐私和数据安全,系统应采用HTTPS协议进行通信,确保数据传输的加密。同时,设计合理的错误处理机制,保证在网络不稳定或服务器故障时,仍能提供基本的服务。 7. **性能优化** ...
- **通讯安全性**:在通讯中断或充电时,APP应能暂停并恢复功能,同时处理异常情况。 安全测试涵盖权限验证、数据加密、隐私保护、安装卸载流程、数据传输等多个方面,以确保用户数据安全和应用的稳定运行。对于...
总的来说,基于APP和通讯设备的户外局域网通讯系统是现代通信技术的综合体现,它结合了软件应用的便捷性与硬件设备的稳定性,为户外环境提供了高效的数据交互平台。随着技术的发展,我们可以期待更智能、更可靠的...
App测试点是移动互联网App测试的关键点,包括安全测试、安装和卸载安全性、数据安全性、通讯安全性等。 五点一、安全测试 安全测试是移动互联网App测试的重要组成部分,包括软件权限、隐私泄露风险、输入有效性...
4. **安全性**:XMPP支持SSL/TLS加密,可以保障数据传输的安全性,同时也可以通过XEP(XMPP Extension Protocols)实现更高级别的安全特性,如端到端加密。 5. **多组件架构**:XMPP服务器通常由多个组件构成,如...
【修复版】ONE兔3.0版本社交社区交友婚恋视频即时通讯双端APP原生源码是一款全面的社交应用解决方案,旨在为用户提供一个安全、高效、互动的平台,实现线上交友、婚恋匹配和即时通讯功能。此系统涵盖了网站PC端、...
因此,超级APP的开发涉及到的技术非常广泛,包括但不限于前端开发(如Android或iOS平台的原生编程)、后端服务构建、数据库设计、安全性实现以及用户体验优化等。 “提取连接”这个标签可能是指从超级APP中获取特定...
移动终端APP与数据安全防护技术指标是针对当前广泛应用的移动设备及其应用程序而设立的一系列安全标准,旨在保护企业和个人的数据安全。这些指标主要关注以下几个核心领域: 1. **兼容性**:确保APP能在多种操作...
- DAO层作为业务处理层与数据库之间的桥梁,确保了数据处理的高效性和安全性。 #### 三、核心功能模块 **1. 即时通讯模块** - 提供实时的文字、语音、图片等多媒体信息传输功能。 - 支持单聊和群聊,便于用户进行...
- **数据加密**:通信过程中,数据采用SSL/TLS加密,保障信息传输的安全性。 - **隐私设置**:用户可以自定义消息阅后即焚、消息回执等功能,强化个人隐私保护。 6. **性能优化** - **异步处理**:大部分网络...
- **SSL/TLS**:用于加密通信,确保数据传输的安全性。 7. **UI设计**: - 使用Android的布局组件如`RecyclerView`显示聊天记录,`EditText`用于输入文字,`Button`发送消息等。 - 聊天界面的设计,包括消息气泡...
10. **安全性与隐私保护**:在用户登录模块,需要处理用户账户和密码的安全验证,防止数据泄露,确保用户信息安全。 通过以上技术的整合,交通信号控制系统的移动终端APP可以实现对交通信号的远程监控和智能管理,...
通讯的安全性** - **安全措施**:包括但不限于数据加密、认证机制等,确保通信过程中的数据安全。 **4. 表情的处理** - **技术挑战**:如何高效地存储和传输表情包等多媒体内容。 **5. LBS服务** - **位置服务...
登录界面需要确保安全性,防止信息泄露;界面设计简洁,操作直观,对用户的输入能迅速响应。系统主要包括登录界面、目录界面、联系人群组列表界面和快速查找界面,以满足不同场景下的需求。 通过这个项目,开发者...