08.如何保证API接口的安全性问题01

我们会调用他们刷新token接口，刷新完成之后，在token失效与重新刷新token这个时间间隔期间，就会出现大量的请求失败的日志，因此在实际API对接过程中，我不推荐大家采用 token方案。

如果条件允许，建议开放 API 接口都使用 HTTPS 协议传输数据。使用 HTTPS 传输相较于 RSA 加密更安全。HTTPS顾名思义，即安全的 HTTP，HTTPS 的主要作用是确认双方的身份和建立安全通道，保证传输数据的安全。

接口敏感数据被窃取 对上传这些敏感数据进行加密处理，比如密码等数据。加密算法尽量复杂点，后端处理可以加盐处理（salt），来进一步提高加密的级别。最后我们还可以直接使用https协议，来增强api的安全性。

暴力破解与验证码安全

1、思路点：暴力破解和验证码安全破解时也可以熟悉认证业务过程，并试图在业务过程中寻找业务逻辑漏洞。弱口令：属于暴力破解漏洞的一种，是web认证界面使用了常用的或者较简单的用户名密码，使暴力破解变得简单。

2、防止自动化机器人：验证码可以防止使用自动化机器人或脚本进行批量操作，如垃圾邮件发送、网络爬虫、刷票等。这些验证码通常以图像或文字的形式呈现，需要用户手动识别或输入，从而阻止自动化程序进行批量操作。

3、手机发送验证码是在注册信息，如果这个时候注册的是一些关于钱之类的信息，有可能会泄露你的个人信息。手机验证码不但可以泄露个人信息，也会泄露你的手机内部的联系人信息。

4、一旦向别人泄露了验证码，非法分子就可以用你的手机号码进行登录，窃取你的账号密码和个人信息，甚至造成财产的损失。正常情况下，银行或者事业单位都不会向用户索取短信验证码的，所以对于索取验证码的行为一定要保持高度警惕。

那位仁兄告诉我无线网络应该主要那些安全,就是他的安全性

这种安全隐患最容易发生，由于现在使用带有无线网卡的笔记本电脑的人很多，XP操作系统的“无线零配置”又有自动搜索无线网络的功能，因此XP客户端一旦进入了无线网的信号覆盖范围，就可以自动建立连接，这样就会导致不设防的闯入。

无线网络所面临的威胁主要表现下在以下几个方面。(1)信息重放：在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了VPN 等保护措施也难以避免。

早期的 WiFi 没有提供数据加密，即无身份认证的开放式无线网络，任何设备不需要授权即可连接到该网络。连接到这样的无线网络后系统里的无线连接会提示“不安全”，因为通过这样的 WiFi 进行连接很容易遭到窃听。