00数据安全基本概念

网络安全原则

• 安全的原则
  ➢ 1）在网络上不允许传输用户隐私数据的明文
  ➢ 2）在本地不允许保存用户隐私数据的明文
  ●
  ● 请求方法
  ➢ 一定要使用POST请求提交用户的隐私数据
  ➢ GET请求的所有参数都直接暴露在URL中
  ➢ 请求的URL一般会记录在服务器的访问日志中
  ➢ 服务器的访问日志是黑客攻击的重点对象之一
  p
  ● 用户的隐私数据
  p 登录密码
  p 银行账号
  p … …

数据安全

• 数据拦截（抓包工具）
  ➢ 仅仅用POST请求提交用户的隐私数据，还是不能完全解决安全问题
  ➢ 可以利用软件（比如Charles）设置代理服务器，拦截查看手机的请求数据
  ➢ 因此：提交用户的隐私数据时，一定不要明文提交，要加密处理后再提交
  p
  ● 信息安全所面临的威胁
  ➢ 机密性（被窃听，秘密泄露）
  ➢ 完整性（篡改，信息被修改）
  ➢ 认证（伪装，伪装成通信双方）
  ➢ 不可否认性（否认，事后不承认是自己发送的）
  ●
  ● 常用的加密算法
  ➢ MD5 \ SHA \ DES \ 3DES \ RC2和RC4 \ RSA \ IDEA \ DSA \ AES

● 加密算法的选择
➢ 一般公司都会有一套自己的加密方案，按照公司接口文档的规定去加密