首席信息官需要关注的重要事项

可视化搭建平台除了需要为用户提供简单便捷的操作方式之外, 还需要提供丰富的组件支持和组件扩展, 这样才能满足更多用户的业务需求.

在 H5-dooring 创建的初期主要考虑的方向是用户使用的便捷性, 即最大程度的降低用户操作成本, 所以采用了智能布局, 也就是react-grid-layout这个库, 之前考虑过完全的自由布局, 也实现了一套自由布局的方案(使用react-draggable和React-Resizable), 但是崇尚 less is more 的设计哲学, 还是坚定的走了智能布局的道路.

笔者接下来会介绍如何在 H5页面编辑器 中自定义开发自己的组件, 以及如何开发可以使H5展现力更强的组件: 地图和日历组件.

如果大家对可视化拖拽搭建平台的实现方案感兴趣, 可以参考我之前的文章和 github. 后续会更新更多lowcode和nocode的技术实现和国内外方案分析.

演示效果
 

用到的技术是服务端把验证码的内容绘制在一张带有纹路的图片上，把码的内容存储在一个地方，并分配一个key，把这个key返回客户端，当客户端登录的时候携带者这个key和用户填入的验证码内容来确定验证码是否正确。

“我曾经看过有人把验证码的校验放到客户端，要记住，客户端其实是无安全可言的，哪怕是那些做了混淆的App。

手机验证码

目前几乎所有的系统都支持手机验证码登录，为什么这么普及是有原因的。

• 首先，这种方式便捷，用户无需记住密码，试想一下，用户要记住自己常用的几十个网站密码是很难的，而且手机现在几乎都不离身
• 其次，手机验证码方式安全系数比较高，因为手机号现在都采用了实名制，手机号被盗的可能性比较小，而且现在的手机都有指纹锁，就算手机丢了也不怕
• 最后，系统都采用手机号登录，可以高效的拉进和用户的距离，而且也有利于国家的监管工作，毕竟根据手机号就可以追踪到用户的所有信息了

设备号

登录的时候把当前设备的标识上传到服务端进行识别，我觉得对于登录来说很重要。为什么呢?

在现在App漫天飞的时代，在App上是要实现自动登录的，换句话说，用户登录过一次这个App，当用户下次打开的时候，需要实现自动登录，这在用户体验上会比每次都登录好很多。但是这就面临着一个问题：需要把用户登录的凭证保存在本地，切换到浏览器中，这些凭证信息可能会保存在Cookie中或者local storage中，当然凭证肯定是要加密的。我们要保证的是这些凭证就算是被黑客知道了，也不能正常登录。

那怎么才能保证呢?答案是设备。在用户的登录请求中一定要上传设备号(浏览器也可以用js生成的)，服务端存储着用户的有效设备列表，当然这个有效设备需要产品经理给出明确的定义，比如最常见的：登录过5次的设备。当然说到设备还有一个主设备的概念，至于怎么样才能定义主设备，也是需要产品方给出定义的，像最常见的：手机端是主设备。像微信现在登录pc端是需要手机端扫码的，切换到业务，可以看做需要主设备确认的请求才能执行。

安全设备概念在多点登录的场景下非常有用，尤其是需要互踢的需求下。

登录时间

服务端一定要记住用户最后一次的登录时间，在很多情况下需要记住用户在某个设备上的最后登录时间。这样做不止是为了记录分析用户的登录行为，还可以分析长期未登录的用户，使他的登录凭据失效，强制他重新登录。

HTTPS

虽然一个证书每几个钱，但是https起到的作用在安全性上还是很大的。本质上它采用的也是加密算法，比http要耗费cpu，传输速度上要慢一些。但是它可以有效的防止中间人劫持，防止用户信息外漏，而且可以防止被钓鱼网站攻击，有效识别网站真实身份，像其他的有利于SEO，地址栏出现安全锁等就不说了。

写在最后

以上所说只是一些最常见的手段，除此之外，比如IP黑名单机制，限流机制等都可以加固登录的安全。

（编辑：莆田站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!