举两个情景栗子：app端请求短信验证码下发接口，如果服务端不做安全性校验，那么很可能会导致短信验证码接口被恶意盗刷。app端发起登录的时候，会向服务端提交用户名/密码参数。如果有人抓到当前请求的数据包，那么当前登录用户的用户名和密码也就泄露了。第一个情景：需要校验请求是由自己的app发起的请求。考虑需要在每个请求中加入校验密钥，这个密钥的规则需要跟服务端约定。这里考虑使用RSA非对称加密，app端......

安装yuminstalldenyhosts因为denyhosts是通过检查/var/log/secure文件来把IP加入deny文件，所以先除空此文件日志，从零开始。deny文件位置:/etc/hosts.deny修改配置文件vi/etc/denyhosts.conf修改下面三项值DENY_THRESHOLD_INVALID=3#无效用户尝试三次，客户端IP加deny文件DENY_THRESHOL......

授权授权确定已通过验证的标识可以执行哪些操作以及可以访问哪些资源。错误授权或弱授权会导致信息泄漏和数据篡改。深入防御是应用程序授权策略的关键安全原则。以下做法可以增强Web应用程序的授权：•使用多重看守。•限制用户对系统级资源的访问。•考虑授权粒度。使用多重看守在服务器端，可以使用IP安全协议(IPSec)策略提供主机限制，以此来限制服务器间的通信。例如，IPSec策略可以限制远离指定Web服务器......

本模块内容Web应用程序为结构设计人员、设计人员和开发人员提出了一系列复杂的安全问题。最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。在设计初始阶段，应该使用可靠的体系结构和设计方法，同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点，将导致在现有基础结构上部署应用程序时，要不可避免地危及安全性。本模块提供了一系列安全的体系结构和设计指南，并按照常见的应用程序漏......

因为最近在帮忙做博客的后台接口让朋友接上做个app玩玩，其中涉及到客户端和服务器间进行交互的安全问题，考虑到用token传输密匙…这里稍稍做下token的考虑…这里记录下在知乎看到的一个见解：token是个凭条，不过它比门票温柔多了，门票丢了重新花钱买，token丢了重新操作下认证一个就可以了，因此token丢失的代价是可以忍受的——前提是你别丢太频繁，要是让用户隔三差五就认证一次那就损失用户体验......