对于安全性要求比较高的项目,我一般采用双因子认证的方式
为了降低用户使用的麻烦程度,登陆是用户可以选择时候启用短信验证码方式登陆,等候后系统会自动向用户手机发送一条短信包含接下来的敏感操作校验使用的安全码;
签名生成及验签
将调用内容,用户名、acces_token、安全码通过一定方式组合后计算MD5值作为签名,当用户进行敏感操作时,就会要求用户输入手机上收到的安全码。
验签失败
对于验签失败的的用户,采取踢用户下线的方式确保数据的安全;
为了降低用户使用的麻烦程度,登陆是用户可以选择时候启用短信验证码方式登陆,等候后系统会自动向用户手机发送一条短信包含接下来的敏感操作校验使用的安全码;
将调用内容,用户名、acces_token、安全码通过一定方式组合后计算MD5值作为签名,当用户进行敏感操作时,就会要求用户输入手机上收到的安全码。
对于验签失败的的用户,采取踢用户下线的方式确保数据的安全;