,必须在后端服务上执行标准的、通用的身份验证过程
提交凭证 用户凭据必须经过加密且以POST方式提交,建议用HTPS协议来加密通道、认证服务端
错误提示 安全地处理失败的身份校验,如使用"用户名或密码错误...验证码校验 禁止在响应中返回验证码,验证码校验应在服务端进行
密码管理 密码设置 密码设置时,应该满足8位及以上长度,含大小写字母、数字及特殊字符等的要求。...密码存储 用户密码存储时,应采用哈希算法(如SHA1)计算用户密码和唯一随机盐值(Salt)的摘要值保存其摘要和Sat值,建议分开存储这两个值
密码修改 用户修改密码时,修改操作需要通过手机号或者邮箱地均进行一次身份验证...环境配置 使用安全稳定的操作系统版本、Web股务器软件各种应用框架、数据库组件等
敏感代码处理 将客户端敏感代码(如软件包签名、用户名密码校验等)都放在o等软件包中防止篡改。...异常状态恢复 方法发生异常时要恢复到之前的对象状态,如业务操作失败时的回滚操作等,对象修改失败时要恢复对象原来的状态,维持对象状态的一致性
日志规范 记录原则 确保日志记录包含了重要的应用事件,但禁止保存敏感信息