Page 30 - 嘉和资讯八十九期
P. 30
质量专栏
密后的密码以及客户端生成的公钥。 □ APP 客户端数据上传安全
服务器利用保留的私钥对密文进行解 (1)管理后台应关闭非必要上
密,得到真正的密码。
传功能或模块,关闭非必要 WEB 管
为提升用户体验,在首次登录时 理方法(put、move、delete 等);
用户只需要输入用户名和密码,当服 (2)前端和后端应严格限制用
务器发现异常情况时启用验证码、动 户侧上传功能(如文件类型、文件格
态密码等机制。 式、文件大小等);(3)应对用户
自动登录:在实现自动登录功能 上传数据的合规性(如暴恐、涉黄、
时,应将 token 和用户使用该 App 政治言论等)进行安全审核过滤(如
的 移 动 终 端 进 行 绑 定( 如: 绑 定 在 @RequestParam 的参数上使用
imsi,mac 等),在登录终端发生变 @SensitiveFormat 注 解,Spring
化时,需重新进行账号密码验证并启 MVC 就会在注入该属性时自动进行
用验证码或动态密码验证机制。 敏感词过滤)。
重要内部 APP 安全认证与鉴权要 □ APP 客户端应用安全
求如下: APP 客户端应用安全(如:SQL
密码强度要求:对用户设置密码 注入、XSS、CSRF、弱口令和越权等
进行检测,输入至少 8 位字符,其中 相关安全要求)。
要包含大写字母、小写字母、数字和 □ APP 客户端反编译安全
特殊字符中的至少三种。
(APK 加密)
针对内部重要 APP 每次登录必须
使用账号 + 密码方式进行认证鉴权; APP 客户端程序应通过对代码的
当登录终端发生变化时,应采用账号 高级混淆、流程混排加密、代码内部
+ 密码 + 动态密码的验证方式。 字符串加密等,对源码、函数名称以
及接口调用进行加密隐藏,以防止第
(3)APP 客户端应用程序应 三方对应用程序进行反编译得到源
采 取 安 全 的 会 话 机 制( 如: 安 全 代码。(对安卓应用的 DEX、RES、
cookie 方式、session 方式); SO 库等主要文件进行加密保护,可
使用第三方商业化 APK 加密工具进
(4)APP 客户端应用程序不应
过度授权(如管理后台向低权限用户 行加密,达到防止反编译的目的)。
开放)。 如使用proguard进行代码混肴,
