银行类app安全登录的解决方案

1.防止中间人攻击，用https双向认证
需要认证证书，设定认证策略

2.密码验证 验证码失败次数锁定短时间内不能登录。

3.回话劫持 安全令牌+短期有效 Refresh Token方式
token可以理解成临时门禁卡。
第一次访问时，门卫给你一张临时Token，可去的楼层，有效时间
token设计的好处：
①不用每次联系朋友确认
②快速通过
③权限明确
④自动过期

// 传统登录（无Token）
fun 每次操作都登录() {
// 每次都要：
1. 输入用户名密码
2. 服务器验证
3. 返回数据

// 就像每次进大楼都要前台电话确认
}

// Token方式
fun 使用Token登录() {
// 第一次登录，获得Token
val token = 登录("用户名", "密码")
// token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

// 后续请求都带着Token
val 余额 = 查询余额(token)
val 账单 = 查询账单(token)
// 服务器看到有效Token就直接处理
}

刷新token的机制：
token有效期只有15min，
过期后需要重新登录。

4.所有数据机密和脱敏。

5.硬件信息绑定设备指纹

用户身份+设备身份=完整身份认证
账号密码，验证你是谁，
设备指纹，验证你在哪台设备上操作。

已知设备{
可以登录
}
如果新设备，增强认证，并记录安全事件。