讨论请移步至:http://www.zhiliaotech.com/ideajam/idea/detail/307

相关文章:

《今天你买到票了吗?——从铁道部12306.cn站点漫谈电子商务站点的“海量事务快速处理”系统》

不能简单套用“实物电商系统”对“大型票务系统”做需求分析

“大型票务系统”和“实物电商系统”在不能提供商品(服务)时给消费者带来的影响有巨大差异

“大型票务系统”和“实物电商系统”的系统边界之间的差别与联系

“大型票务系统”和“实物电商系统”按系统边界分析各种业务形式

“大型票务系统”和“实物电商系统”在支付方面的差别和联系

“大型票务系统”和“实物电商系统”在恶意订单方面的差别与联系

大型票务系统自身特点所引入的安全性问题

“大型票务系统”和“实物电商系统”在“库存”计算方面的巨大差异

“大型票务系统”和“实物电商系统”在接入管理方面的差异

“大型票务系统”和“实物电商系统”在和企业其它部门关系的联系和误区

“大型票务系统”和“实物电商系统”和企业其它部门的依赖关系对项目管理的影响

“大型票务系统”和“实物电商系统”的数据库选型

“大型票务系统”中对机器恶意訪问的处理——验证码

“大型票务系统”中地恶意訪问的处理——“接入管理”部分

讨论安全性,首先要看要预防哪些不安全,也就是隐患点。

先说各种系统中都会涉及的username和password的安全性问题。

一,浏览器的安全隐患。眼下的处理方式主要是採用专门的password输入控件

二,password传输隐患。能够採用HTTPS协议,或者在传输时对password进行加密,最好的不可逆加密

三,server端的安全隐患。主要是常常见到的被攻击爆库

除了通常的攻击爆库隐患外,对于username和password的安全还应遵循例如以下几个要求:

一,验权server应当独立部署,避免同一server上其它应用被侵入后当跳板侵入用户信息。

二,验权server的请求应当是单向的,也就是仅仅传入password(最好是单向加密后的password),而不会传出password

比如常见的接口设计包含:

一,注冊。传入username、单向加密后的password。返回值为:注冊成功,注冊失败(原因)

二,登录。传入username、单向加密后的password。返回值为:登录成功,登录失败(原因)

三,改动password。传入username,单向加密后的原password,单向加密后的新password。返回值为:改动成功、改动失败(原因)。

联系作者:QQ 443089607 微信:huzhenghui

产品经理请加QQ群 189763636 群07期Axure7PM交互

大型票务系统中username和password的安全性问题的更多相关文章

  1. 负载均衡--大型在线系统实现的关键(上篇)(再谈QQ游戏百万人在线的技术实现)

    http://blog.csdn.net/sodme/article/details/393165 —————————————————————————————————————————————— 本文作 ...

  2. [转] Linux 中提高 VsFTP 服务器的安全性

    FTP是互联网应用中的一个元老级人物了,其方便企业用户文件的共享.但是,安全问题也一直伴随在FTP左右.如何防止攻击者通过非法手段窃取FTP服务器中的重要信息;如何防止攻击者利用FTP服务器来传播木马 ...

  3. (分享)Paxos在大型系统中常见的应用场景

    原帖http://timyang.net/distributed/paxos-scenarios/ 在分布式算法领域,有个非常重要的算法叫Paxos, 它的重要性有多高呢,Google的Chubby ...

  4. javaWEB小练习:在数据库中查找相同的username和password

    /*练习题: * 在Mysql数据库中创建一个person数据表,添加三个字段,id,user,password,并录入几条记录 * *练习题:定义一个login.html,里面定义了两个请求字段:u ...

  5. mac系统中搭建apache+mysql+php的开发环境,安装mysql后,登录报错:mac ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)

    php新手在mac系统中搭建apache+mysql+php的开发环境(按照这篇博客来操作的:http://my.oschina.net/joanfen/blog/171109?fromerr=xvC ...

  6. 《大型网站系统与Java中间件》读书笔记 (中)

    前言 只有光头才能变强. 文本已收录至我的GitHub仓库,欢迎Star:https://github.com/ZhongFuCheng3y/3y 回顾上一篇: <大型网站系统与Java中间件& ...

  7. 一个新人如何学习在大型系统中添加新功能和Debug

    文章背景: 今年七月份正式入职,公司主营ERP软件,楼主所在的组主要负责二次开发,使用的语言是Java. 什么叫二次开发呢?ERP软件的客户都是企业.而这些企业之间的情况都有所不同,一套标准版本的企业 ...

  8. 大型系统中使用JMS优化技巧–Sun OpenMQ

    我们先来看看在Sun OpenMQ系统中 一个持久.可靠的方式传送消息的步骤是怎么样的,如图所示: 查看大图请点击这里 在传送过程中,系统处理JMS消息分为以下两类:   ■ 有效负荷消息,由生成方发 ...

  9. 【转载】大型系统中使用JMS优化技巧

    [本文转自:http://www.javabloger.com/article/sun-openmq-jms-large-scale-systems.html] 我们先来看看在Sun OpenMQ系统 ...

随机推荐

  1. JVM内存分配和回收

    本文内容来自<Java编程思想(第四版)>第二章<一切都是对象>和第五章<初始化与清理>.作为一个使用了好几年的Javaer,再次看编程思想的前面章节(不要问我为什 ...

  2. Web模板

    http://www.iteye.com/news/26229 http://designmodo.com/admin-html-website-templates/#ixzz1mj36E4kN ht ...

  3. [C#]6.0新特性浅谈

    原文:[C#]6.0新特性浅谈 C#6.0出来也有很长一段时间了,虽然新的特性和语法趋于稳定,但是对于大多数程序猿来说,想在工作中用上C#6.0估计还得等上不短的一段时间.所以现在再来聊一聊新版本带来 ...

  4. CSS左中右布局,规范案例

    html部分 <body> <form id="form1" runat="server"> <div id="wrap ...

  5. 攻击DotCom小游戏

    许久都没写博客了,些许是前段时间有些懈怠,今天来写博客,想记录下做过的事情,怕以后电脑换了,以前做的小项目也跟着丢了,总结下最近做的一个小游戏: 游戏目的:建立一个7X7的网格,选择其中的连续的三格来 ...

  6. 一封在JSP课程结束之后给学生的信

    <JSP应用程序设计>这门课终于考完了,虽然题目有点难,但我看大部分同学考的还可以,算上平时成绩应该都能拿到一个满意的分数. 再次感谢大家一个学期来对我的支持,跟大家一起的这个学期很开心, ...

  7. C#中dynamic的正确用法【转】

    dynamic是FrameWork4.0的新特性.dynamic的出现让C#具有了弱语言类型的特性.编译器在编译的时候不再对类型进行检查,编译期默认dynamic对象支持你想要的任何特性.比如,即使你 ...

  8. 浅谈hadoop中mapreduce的文件分发

    近期在做数据分析的时候.须要在mapreduce中调用c语言写的接口.此时就须要把动态链接库so文件分发到hadoop的各个节点上,原来想自己来做这个分发,大概过程就是把so文件放在hdfs上面,然后 ...

  9. ActionBar隐藏修改图标和标题

    有时候在一些子页面或者内容页面,不需要显示ActionBar的标题栏图标.可用如下方式进行设置. 首先获取到ActionBar对象 ActionBar actionBar=getActionBar() ...

  10. JAVA读取propertise配置文件

    java中的properties文件是一种配置文件,主要用于表达配置信息,文件类型为*.properties,格式为文本文件,文件的内容是格式是"key=value"的格式,在pr ...