第二章 核心防御機(jī)制
2.1 處理用戶訪問
2.1.1 身份驗(yàn)證
方式:用戶名密碼,客戶端證書阶剑,多階段登陸慎玖,挑戰(zhàn)-應(yīng)答令牌
- 首先說明身份
2.1.2 會(huì)話管理
會(huì)話令牌
- 然后拿到身份令牌
2.1.3 訪問控制
- 最后根據(jù)令牌和身份進(jìn)行訪問控制
2.2 處理用戶的輸入
2.2.1 輸入的多樣性
2.2.2 輸入處理方法
1. 拒絕已知的不良輸入(黑名單)
2. 接受已知的正常輸入(白名單)
3. 凈化(轉(zhuǎn)義)
4. 安全數(shù)據(jù)處理
5. 語(yǔ)法檢查