app登陆以及与后台通讯安全性

最新推荐文章于 2023-02-07 17:37:02 发布
最新推荐文章于 2023-02-07 17:37:02 发布
阅读量400 收藏
点赞数
分类专栏: APP相关 文章标签: app
针对原有登录流程的安全隐患,本文介绍了一套全面的安全升级方案,包括采用HTTPS确保数据传输安全、使用Token进行用户验证、统一报文格式及规范,并提供文档化的API接口说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

去年下半年进入新的项目团队,涉及到现有项目的升级改造、新功能开发,期间发现不少问题,现整理一下予以记录,希望对大家有所帮助。

原有登录流程为:

原有旧的登录流程
 
存在的问题主要有:
  1. 所有报文http明文传输,包括登录以及敏感信息的发送。
  2. 登录成功后,后续所有接口访问无需任何校验,比如我要进行修改密码直接post请求,不再做校验,http://ip /modifypwd?userid=888&oldpwd=123&newpwd=999&confirmpwd=999,相 当于只要知道报文格式,就可以查询、修改系统内任何用户的任何的信息。
  3. 报文为json格式,但无统一规范。
  4. 所有协议无文档,无说明。
改造流程主要为:
  1. 全站所有请求修改https协议,基于SSL安全传输,首先保证传输安全。
  2. 在用户登录时,返回唯一token值,以后所有访问请求,需要校验此值,若不匹配拒绝后续请求。已全站https 所以无需再进行url签名或者对称加密等方式。
  3. 统一报文规范,分为报文头、报文体,通过报文头确定请求是否成功,成功后再进行后续解析。
  4. 所有协议规范文档,采用的方式为 每个协议编写单独的html页面,所有的协议说明、接口调试通过页面进行,一方面解决了文档问题,另一方面方便了开发人员调试。

当然还有很多其他解决方案,比如:

  • 由于https相比http效率稍慢,很多朋友会在登录以及敏感信息采用https,其他采用http  url 签名方式、对称加密方式等,从现在的硬件发展来看,个人感觉效率已不是制约因素,更推荐全站https。

本文首发于个人博客:https://www.jiucool.org/app-security/

安卓app后台通信(数据格式:Json字符串)
01-09
本人菜鸟一枚,大神勿喷。最近做一款app,这几天跟后台调试数据通信,网上搜的工具类大多是直接传的Map,我们后台只认得到Json字符串,没办法,自己动手封装了一个工具类,里面只封装了post方法。成功跟后台实现通信,亲测可用,代码里面的url,只是一个格式,大家需要改成自己的后台地址,主函数MainActivity后面有个人联系方式,有问题可以相互交流。
app后端设计(4)-- 通讯安全性
weixin_30433075的博客
01-31 171
app后台设计中,一个很重要的因素是考虑通讯安全性。 因此,我们需要考虑的要点有: 1. 在app后台,都不能保存任何用户密码的明文 2. 在app后台通讯的过程中,怎么保证用户信息的安全性app中,根据安全考虑,用户的操作分为两类: 1. 用户登录注册操作 2. 用户的其他操作 在第一点,用户登录注册操作中,是会出现用...
APP后台服务器数据通讯的安全问题
02-26
android移动开发后台进行数据通讯的协议和方式方法,以及存在的安全问题有哪些,以及这些问题的解决方法
APP后台以及用户数据被泄露 该如何防护
weixin_67757219的博客
02-07 1092
我们小蚁安全工程师继续对其他系统和服务器进行详细渗透测试,后台服务器也存在安全问题,由于APP的管理员非常多,难免有些管理员设置的密码较为简单,在后台这里发现某些管理员账户存在弱口令漏洞,通过登录该管理员账户,我们在后台设置发现短信接口的key和密钥,由于后台系统里的用户手机号这些信息都是脱敏加密的,我们小蚁安全技术随即对第三方短信通道的key和密钥进行渗透测试,发现该第三方短信API接口存在漏洞,可以绕过白名单IP,直接使用KEY和密钥来请求短信接口,通过返回的数据包,来获得发送短信的手机号列表。
(转)前后端交互如何保证数据安全
jackyrongvip的专栏
12-12 2405
前言 web后端,andorid后端,ios后端,像这种类型的交互其实就属于典型的前端后端进行交互。在B端用户进行交互的过程中,我们通常忽略了其安全性(甚至从未考虑安全性)。比如,请求和响应数据的明文传输,对接口并没有做严格的身份校验。如果我们还是按照这种思路去做C端用户的交互,那么等待着必将是血淋淋的教训。接下来,我带领大家如何在C端用户安全的进行交互。 保证安全性的几...
智联共享电池BMS通讯协议(蓝牙和后台服务).zip_bmsapp通讯_蓝牙APP电池_蓝牙电池协议_通讯协议_锂风bms蓝牙
09-15
本文将详细解析智联共享电池BMS手机App后台服务之间的通讯协议,旨在为开发者提供深入的理解和实施指导。 一、通讯协议基础 通讯协议是设备间信息交互的规则和标准,对于BMS系统而言,它规范了数据的传输方式...
四合一即时通讯聊天源码APP群聊、私聊、朋友圈.zip
11-03
7. **安全性隐私保护**:在构建聊天应用时,必须考虑用户数据的安全性和隐私保护。这包括但不限于数据加密、会话安全、防止中间人攻击以及合规的用户信息处理策略。 8. **性能优化**:为了保证用户体验,即时通讯...
原生社区交友婚恋视频即时通讯双端APP源码 ONE兔2.0版.zip
最新发布
11-28
同时,考虑到应用的安全性和用户体验,开发者在对源码进行二次开发时,应当进行充分的测试,并不断优化应用性能,确保最终产品能够安全、稳定地运行。 总结而言,原生社区交友婚恋视频即时通讯双端APP源码ONE兔2.0...
im即时通讯app软件开发语音海外社交聊天视频交友app群聊搭建源码
11-13
配置文件的作用是优化服务器性能,保障数据传输的安全性快速性。 此外,源码的教程文件对开发者来说十分关键,它提供了详细的使用说明和开发指南,帮助开发者了解如何安装和部署应用程序,以及在开发过程中可能...
一种客户端和后台的通信加密方式
findsafety的专栏
06-28 995
1、通过openssl产生RSA公钥和私钥文件; 2、将公钥存放在移动端;通过字符串的方式。服务端同时拥有公钥和私钥; 3、移动端产生一个随机字符串A(128位),作为AES加密的key;将报文json进行AES加密; 4、服务端并不知道A,因此需要将A传给服务器,否则服务端无法通过AES对JSON报文进行解密。但如果直接发送,A就会暴露,所以对A进行不可逆的RSA加密; 5、移动端发送AES加密...
APP后端通讯安全设计解析(待完善)
笨小孩的专栏
11-25 1892
一、使用HTTPDNS,防止DNS劫持为确保用户端APP正确的服务器进行通讯,我们使用HTTPDNS解析服务。传统的DNS解析服务容易遭到DNS劫持,使用HTTPDNS解析服务,让APP直接通过IP地址服务器进行通讯,而不是通过域名服务器通讯,保障了通讯安全。现有提供HttpDNS解析服务的有以下几家,可以看下他们的官方产品说明文档: 腾讯云:https://cloud.tencent.co
16.app后端如何保证通讯安全--url签名
曾健生的专栏
03-09 3万+
app和后端的通讯过程中,api请求有可能被别人截取或不小心泄露。那么,怎么保证api请求的安全呢?在这篇文章中,介绍一种常见的保证api请求安全的做法--url签名。
设计基于HTML5的APP登录功能及安全调用接口的方式(原理篇)
热门推荐
技术学习与分享
05-06 3万+
最近发现群内大伙对用Hbuilder做的APP怎么做登录功能以及维护登录状态非常困惑,而我前一段时间正好稍微研究了一下,所以把我知道的告诉大家,节约大家查找资料的时间。 你是否真的需要登录功能? 把这个问题放在最前面并不是灌水,而是真的见过很多并不需要登录的APP去做了登录功能,或者是并不需要强制登录的APP把登录作为启动页。 用户对你的APP一无所知,你就要求对方注册并登录,除非A
Java 利用SpringBoot为Android,iOS等移动平台搭建简单的Restful后台接口平台
helang296479893的专栏
05-07 1万+
  作为移动端开发者来说,一般情况下,我们是不需要管理后台接口,只需要调用就可以了;但有时候,我们想要自己来实现接口,就得需要搭建自己的后台接口 当然实现方式有很多,我对Java比较熟悉,这里就说下用Java等框架来实现Restful接口。大学的时候,我们学过利用较为原始的Servelet来实现,当然会显得很臃肿,写起来也很麻烦,所以这里就利用SpringBoot框架来实现,大量的注解会让我们...
App架构设计经验谈:接口的设计
xls51314202005的博客
01-08 1071
App服务器的通信接口如何设计得好,需要考虑的地方挺多的,在此根据我的一些经验做一些总结分享,旨在抛砖引玉。 [b]安全机制的设计[/b] 现在,大部分App的接口都采用RESTful架构,RESTFul最重要的一个设计原则就是,客户端服务器的交互在请求之间是无状态的,也就是说,当涉及到用户状态时,每次请求都要带上身份验证信息。实现上,大部分都采用token的认证方式,一般流程是:...
如何保证HTTP接口请求的安全呢?
MIYAOW
03-19 1万+
在二家公司负责后台开发APP接口开发。 那我们要如何对接口请求进行一个安全校验或者拦截非法请求呐? 1、选择拦截过滤器。 在请求的时候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证 请求不是非法请求。 2、数据加密。我们知道目前大部分APP接口都是通过Http协议进行调用的容易被抓包拦截。 我们可以对客户端和服务端都对数据
APP开发实战9-API接口安全方案
xjbclz的专栏
05-11 5305
3.2安全方案 3.2.1 数据加密 最简单的是使用HTTPS对APP和服务器的交互数据加密。 使用HTTP协议,但自己设计加密方案,加密方式有对称加密和非对称加密: 对称(AES和DES) 非对称(RSA和ECC) 对称加密是加密解密用同样的“钥匙”,非对称加密加密解密用不同的“钥匙”,建议采用更安全的非对称加密方式。 3.2.2 APP访问鉴权 可以设计一个初始化请求命令,发送
app后台登录安全
kidoo1012的博客
02-20 3808
登录安全
java web后台开发跟手机APP后台开发有什么不同? 二者怎么通信?
maguanghui_2012的专栏
08-04 1万+
1.  区别 基本上一样的,ssh也可以为手机APP开发后台。其实对于后台开发来说原理都差不多。只不过app后台开发和web不一样的地方在于传输数据格式不一样,一般来说web访问后返回的是一个html页面,少部分是json格式;而一般app后台开发大部分直接传json格式数据(也有不是json格式的,看项目的选择,但一般来说都是json),少部分会直接返回html5的页面。   还有一
后台返回需密码的App界面安全Demo演示
#### App后台机制 在移动操作系统(如iOS和Android)中,应用程序进入后台是指应用不在前台运行,但仍被操作系统保留在内存中。这样做的目的是为了让应用能够快速恢复到前台,改善用户体验。然而,对于某些敏感应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值