构建完善的敏感操作验证流程
凤凰 (凤凰涅磐,浴火重生) | 2012-11-05 16:22
1、定义敏感操作
需要具体到特定的功能上,如修改密码,修改安全邮箱。
2、将敏感操作进行等级划分
确定一个标准,对敏感操作进行重要性划分。
如可以通过安全邮箱修改账号密码,那么修改安全邮箱即可获取账号控制权,则应被列为最高级。
而如果修改账号密码需要验证安全邮箱和密保,那么修改安全邮箱则应被视为次一级的敏感操作。
3、特定等级的敏感操作至少需要通过同级或更高级的敏感操作验证。
如修改安全邮箱,其敏感等级为最高级或次一级,故在修改时,需要验证原邮箱所有权,或者可以通过手机验证码验证。
以上仅为初步想法,各位多拍砖哈~