最近被人惡意刷接口了,發現的時候一萬多條短信已經被刷完,當時天真的以為第三方會幫忙搞定安全方面的事情,為了限制這個事情,加了一個很簡單的邏輯:

1. 　　加入圖形驗證碼,當圖形驗證碼輸入正確時,設置當前可調用手機短信驗證的狀態為真.
2. 只有在調用手機短信驗證的狀態為真時才能調用短信接口,並且調完馬上設置其狀態為假

　　這兩點當然不夠,因為完全可以一邊刷圖形驗證碼的狀態(不斷將可調用手機短信驗證的狀態設為真),再調用短信接口,同樣可以惡意刷接口.

　　所以加上第三點:

　　3. 加入圖形驗證碼的有效狀態,每次生成時設為真.當驗證後(不管正誤)都設為假.

　　這樣就保證了用戶無法通過簡單的程序來刷接口.要避免這種事情,後臺驗證邏輯的設計以及接口的設計都要考慮到.

　　websocket

　　大概1,2個月前,用workman實現了服務器往客戶端推送的功能,最基本的應用.大概設計了一下如何往指定用戶推送信息.得給每個鏈接到服務器的客戶端設置一個唯一的key,或者說id,推送信息時可以根據這個id來推送.

　　大概是做了一大堆業務吧,沒啥時間系統的學新技術.

　　大概了解了一下數據庫的底層,mysql的四個隔離級別,讀未提交,讀已提交,可重復讀,最後一個忘了,貌似是解決了幻讀的問題.臟讀是存在第一個隔離級別的問題,現在mysql的默認是可重復讀這個級別.牽涉到的鎖還沒深入去了解.

　　fpm,web服務容器,fastcgi,cgi協議也只是懂個大概,sad.

最近做的事情,得總結一下