V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhuwd
V2EX  ›  程序员

前后端分离如何保证数据的安全性?

  •  
  •   zhuwd · 2019-01-07 19:50:13 +08:00 · 7977 次点击
    这是一个创建于 2148 天前的主题,其中的信息可能已经有所发展或是发生改变。

    除了使用 https,还有什么比较好的加密方法?

    21 条回复    2019-01-08 13:44:14 +08:00
    CaanDoll
        1
    CaanDoll  
       2019-01-07 19:51:06 +08:00   ❤️ 1
    这个跟前后端分不分离有什么关系嘛
    dot2017
        2
    dot2017  
       2019-01-07 19:51:21 +08:00
    数据库连接只允许本地
    dilu
        3
    dilu  
       2019-01-07 19:55:38 +08:00
    前后端分离 不会增加不安全隐患
    传统的开发有什么隐患,分离就有什么
    NoahVI
        4
    NoahVI  
       2019-01-07 20:12:30 +08:00
    最常见的就是加 token 了,只有登录用户才能访问接口
    br00k
        5
    br00k  
       2019-01-07 20:16:59 +08:00
    jwt
    OpenJerry
        6
    OpenJerry  
       2019-01-07 20:28:47 +08:00
    https 只是传输过程安全吧,我觉得你想问的是权限控制
    murmur
        7
    murmur  
       2019-01-07 20:35:19 +08:00
    前后端分离不分离后端该做的安全也要做
    byteli
        8
    byteli  
       2019-01-07 23:06:48 +08:00 via Android
    不太清楚描述的是哪一步的安全。不管分离还是不分,要先把基础的安全做了,包括环境的隔离,数据访问白名单,业务代码的防注入防 xss
    luozic
        9
    luozic  
       2019-01-07 23:10:40 +08:00 via iPhone   ❤️ 1
    数据的安全是要通过整体考虑的,推荐你看一下 微软的威胁建模。这个算是现在最系统的分析系统安全如何进行的实践模型。
    saulshao
        10
    saulshao  
       2019-01-08 01:11:15 +08:00   ❤️ 1
    前后端分离讲的是系统设计和开发的方法论。
    这套概念和安全性之间其实不是同一个角度的,因此也与安全性之间不存在冲突或者依赖性。
    现在用的所有的安全性技术,其实就是提供一个 check list,然后按照这个 list 来执行。这个清单中的每个项目,可能分布在前段代码中,也可能分布于后端代码。无论分不分离,都可能有清单中的问题,需要对应的实施措施。
    确实不能排除由于前后端分离了,会对这个清单引入新的项目或者需要移除一些项目。
    abdiweli
        11
    abdiweli  
       2019-01-08 01:53:40 +08:00
    人家说的应该是接口安全吧。
    loveCoding
        12
    loveCoding  
       2019-01-08 03:34:51 +08:00
    https 保证传输安全,加上账户机制保证请求合法?
    shintendo
        13
    shintendo  
       2019-01-08 08:36:35 +08:00
    后端接口吐数据还是吐页面有什么区别吗
    SorcererXW
        14
    SorcererXW  
       2019-01-08 08:37:54 +08:00 via Android
    前端使用服务端渲染,敏感接口放在服务端请求
    lzj307077687
        15
    lzj307077687  
       2019-01-08 09:07:08 +08:00
    是担心接口安全吧?
    shawndev
        16
    shawndev  
       2019-01-08 09:12:07 +08:00
    jwt 是相对代价低,效果好的通行方案。
    stephenliubp
        17
    stephenliubp  
       2019-01-08 09:26:29 +08:00
    中间层,比如 Node 和 PHP 做一下,然后前端还可以做反爬虫
    Linxing
        18
    Linxing  
       2019-01-08 10:16:28 +08:00 via iPhone
    签名加起来 参考头条的接口
    cexy
        19
    cexy  
       2019-01-08 10:42:05 +08:00
    打扰一下,前端哪来的数据安全
    eamon666
        20
    eamon666  
       2019-01-08 10:47:34 +08:00
    签名认证 对称加密 非对称加密 密文传输
    这几个关键字了解一遍就行了。
    通吃。
    pkoukk
        21
    pkoukk  
       2019-01-08 13:44:14 +08:00
    你说的是什么安全性?保证数据传输过程中不被篡改,可以靠 https 可以靠签名
    保证接口不被人恶意使用提取数据?这个得靠后端的权限控制
    保证后端传给前端的数据不被人截获解析出明文内容?这个做不到
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5625 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 07:12 · PVG 15:12 · LAX 23:12 · JFK 02:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.