重庆app软件开发安全性设计

作者:管理员发表于:2020-10-05

随着移动互联网的发展、越来越多的相关单位均开始追求移动互联网,不管什么应用都会考虑做个手机端,办公,电商等手机端的流量越来越大。所以相关定制要求开发时也要求做手机端开发

做手机端开发必然就逃不过相应的开发方式原生开发、或webapp如uniapp等。他们有一个统一的特点那就是前后分离的。后端只提供api,前端调用接口完成数据组装展示。不单手机端如此很多
PC端也都喜欢前后分离,后端只提供接口。

但是这样的开发方式的确对于相关管理和升级及用户体验带来了相关便利但是也带来了一些安全隐患,小编查看过很多app非大厂的。多数都存在接口安全隐患。主要体现在如下几个方面
1、抓包获取相关接口参数后可以构建相关请求,再次执行相关请求,多次请求接口
2、根据相关接口修改参数,可以浏览其他用户信息
3、核心接口多次请求修改参数,可以修改相关表数据
4、很容易被抓包等其他方面的安全隐患。

为此小编提供如下建议
1、核心接口至少需要相应的访问权限以及参数签名和验签、一定程度上防篡改和防止重复提交
2、核心接口采用加密,客户端部分代码混淆、防止分析
3、建议采用https协议
4、建议定期更换签名加密策略
5、必要的接口采用验证码二次确认是否有访问权限