最近做的事情,得總結一下
阿新 • • 發佈:2017-07-21
技術 客戶端 容器 服務容器 協議 功能 級別 web 現在
最近被人惡意刷接口了,發現的時候一萬多條短信已經被刷完,當時天真的以為第三方會幫忙搞定安全方面的事情,為了限制這個事情,加了一個很簡單的邏輯:
- 加入圖形驗證碼,當圖形驗證碼輸入正確時,設置當前可調用手機短信驗證的狀態為真.
- 只有在調用手機短信驗證的狀態為真時才能調用短信接口,並且調完馬上設置其狀態為假
這兩點當然不夠,因為完全可以一邊刷圖形驗證碼的狀態(不斷將可調用手機短信驗證的狀態設為真),再調用短信接口,同樣可以惡意刷接口.
所以加上第三點:
3. 加入圖形驗證碼的有效狀態,每次生成時設為真.當驗證後(不管正誤)都設為假.
這樣就保證了用戶無法通過簡單的程序來刷接口.要避免這種事情,後臺驗證邏輯的設計以及接口的設計都要考慮到.
websocket
大概1,2個月前,用workman實現了服務器往客戶端推送的功能,最基本的應用.大概設計了一下如何往指定用戶推送信息.得給每個鏈接到服務器的客戶端設置一個唯一的key,或者說id,推送信息時可以根據這個id來推送.
大概是做了一大堆業務吧,沒啥時間系統的學新技術.
大概了解了一下數據庫的底層,mysql的四個隔離級別,讀未提交,讀已提交,可重復讀,最後一個忘了,貌似是解決了幻讀的問題.臟讀是存在第一個隔離級別的問題,現在mysql的默認是可重復讀這個級別.牽涉到的鎖還沒深入去了解.
fpm,web服務容器,fastcgi,cgi協議也只是懂個大概,sad.
最近做的事情,得總結一下