系统安全设计
1. 教师和助教不提供注册功能,教师账号需在数据库中手动添加,
助教账号可以由教师通过新增功能添加,也可以直接在数据库中
添加。
2. 数据库可以自动定期备份,每天 0 点进行一次备份,数据出现丢
失或其他异常后可以通过备份恢复,当然也可以进行事务回滚,
在操作发生异常后回滚数据库操作,保证数据的安全性和完整
性。
3. 对用户的密码使用 MD5 或 SHA 加密,可以避免密码被直接截获破
解。
4. 使用正则表达式过滤传入的参数,防止 SQL 注入
5. 后端添加了拦截器后设定拦截规则,获取请求主机 IP 地址,如果
通过代理进来,则透过防火墙获取真实 IP 地址,在获取用户真
实 IP 地址后,如果某 ip 的访问太过频繁,则用拦截器拦截掉 IP
并将其加入黑名单。
6. 通过 RBAC 进行权限管理,所有用户不能越权操作不能访问权限
以外的数据。
7. 前端进行数据校验后,后端对前端参数进行校验,前端验证减少
了对服务器的不必要的不合法的请求,后端校验保证了对于一些
敏感数据比如用户登录数据进行了双重验证,另外可以用许多工
具来绕过前端,修改前端的方式避开 js 的处理验证,所以后端
评论0