在小火堆 我们做了哪些来保证用户的数据接口安全?

在小火堆 我们做了哪些来保证用户的数据接口安全?

首先是第一点:

1、敏感信息 的处理。

1.1 说明

是否存在接口返回或展示用户较敏感信息

服务端业务日志是否打印或存储敏感信息

1.2 解决方案

返回或展示较敏感信息(例如手机号、邮箱)需进行打码处理

服务端业务日志不允许打印或存储敏感信息。

第二个: 就是越权漏洞的处理

修改请求URL参数中的ID类参数请求别的账号信息 - 查自己的钱包

修改/删除其它人的资源ID - 拿着自己的token 删别人的商品。

2.2 严格校验 授权的认证token信息 是否和 查询的用户资源的所属用户是否一直。

第三个:跨站请求伪造漏洞

3.1 说明

修改增删修改类请求接口中的referer或token

3.2 解决方案

对增删修改类请求接口的referer做白名单校验 或 在参数中增加随机token。

第四个: sql注入漏洞

4.1 说明

修改请求中用于查询类的参数

4.2 解决方案

禁止使用拼接sql,使用预编译模式,使用mybatis操作sql

数据安全无小事，通过上诉四点措施，保证你的数据接口安全。

0-1的软件定制，就找陈工聊软件开发。