1、在登陸註冊頁面使用HTTPS,避免在傳輸賬號密碼時使用明文傳輸。
2、公鑰加密私鑰解密,在客戶端使用公鑰加密賬號密碼等信息,在服務端用私鑰解密。
3、用戶密碼salt防止破解,在數據庫存儲賬號密碼時,將密碼+salt(UUID生成的隨機字符串),再使用MD5加密
4、設置token有效期,過一段時間就要求重新登錄
5、單一平臺的單點登錄,登錄IP異常檢測。在單一平臺,如果另一臺設備同時登錄一個賬號,將上一個登錄的ticket設置爲1,則上一個登陸設備刷新時就要求再次登錄。相同賬號登陸如果ip位置相差過大,就可以給用戶發送報警信息。
6、用戶狀態的權限判斷。使用攔截器,在用戶訪問某些頁面時,判斷是否登陸。
7、添加驗證碼機制,防止爆破和批量註冊。