1. HTTPS注册页

    http的注册页面的话,登录或者注册请求中的用户名及密码在数据发送过程中是以明文的方式发送的,这样在经过路由器等中间点的时候就很有可能被截获,token也一样

  2. 公钥加密私钥解密

    支付宝的h5支付页面就是这么做的,当页面打开时,服务器就会在这个页面中埋一个公钥(就像未登录跳转中说的那样,用一个hidden属性的文本区),在提交密码时,先用公钥将密码加密了,之后再提交到服务器,服务器收到之后,用本身自己保存的私钥对其进行解密,解密完后就知道密码了

  3. 用户密码salt防止破解(CSDN,网易邮箱未加密密码泄漏)

    就是给用户密码添加salt之后在进行保存,防止数据库泄露导致用户密码泄露

  4. token有效期

  5. 单一平台的单点登陆,登陆IP异常检验

    • 单点登录:

    一个平台登录了,另外平台之前登录的token就被设置为无效,这样那一次进入网站时,突然发现得重新登录,那就是可能是被异地登录,账户密码Kenneth已经泄露了

    • 登录IP异常检验:

    通过比较两次登录的ip,如果差别的省份比较大,就可以通过拦截器给用户发个站内信什么的,通知用户被异地登录了

  6. 用户状态的权限判断

    某些页面需要相关的权限才能访问,不要每个页面都随便让人就能访问,容易泄露信息

  7. 添加验证码机制,防止爆破和批量注册

    防止垃圾信息留在网站上,对网站功能或者正常使用产生伤害