t194978的博客

实际上，攻防之间没有绝对的安全，我们能做的是尽量提高攻击者的成本。相对方案二，方案三的方法相对已经有很大提升了（同样参数不能无限制调用）,但是仔细一想，还是有问题，攻击者截获请求以后，还是可以在一定时间窗口内通过重放攻击的方式发送请求。但是，对于对外的接口，我们就不得不重视这个问题，外部接口没有做鉴权的操作就直接发布到互联网无疑是。，发现我们已经实现了鉴权的效果，但是每个接口前面都有一大堆鉴权的逻辑，这代码太那啥了。是一样的，未授权系统截获后还是可以通过重放的方式，伪装成认证系统，调用这个接口。

d

4

接口性能优化

2

作为后端开发，不管是什么语言，Java、Go 还是 C++，其背后的后端思想都是类似的。我们做后端开发工程师，主要工作就是：如何把一个接口设计好。所以，今天就给大家介绍，设计好接口的 36 个锦囊。

111

防止直接看到明文：在存储密码时，很多网站使用MD5对用户密码进行加密，这样即使不法分子得到数据库的用户密码的MD5值，也无法知道用户的密码。当用户登录时，系统把用户输入的密码计算成MD5值，然后再去和保存在文件系统中的MD5值进行比较，进而确定输入的密码是否正确。例如，在云存储系统中，通常使用AES算法对用户的数据进行加密，以保护用户的数据安全。需要注意的是，随着技术的进步，MD5的安全性已经逐渐降低，对于需要高安全性的应用场景，推荐使用更安全的哈希算法，如SHA-256等。

非对称加密

一、背景       我们实际系统中有很多操作，是不管做多少次，都应该产生一样的效果或返回一样的结果。 例如1. 前端重复提交选中的数据，应该后台只产生对应这个数据的一个反应结果；2. 我们发起一笔付款请求，应该只扣用户账户一次钱，当遇到网络重发或系统bug重发，也应该只扣一次钱；3. 发送消息，也应该只发一次，同样的短信发给用户，用户...