46 lines
817 B
Markdown
46 lines
817 B
Markdown
# 安全设计文档
|
|
|
|
## 认证安全
|
|
|
|
### JWT Token
|
|
- 使用 HS256 算法签名
|
|
- Token 有效期: 7 天
|
|
- 存储在客户端 localStorage
|
|
|
|
### 密码安全
|
|
- 使用 bcrypt 进行密码哈希
|
|
- 盐值强度: 10 轮
|
|
|
|
## API 安全
|
|
|
|
### 输入验证
|
|
- 所有用户输入进行验证
|
|
- SQL 参数化查询防注入
|
|
- 文件名特殊字符过滤
|
|
|
|
### 权限控制
|
|
- 用户只能访问自己的文件
|
|
- 分享链接验证权限
|
|
- API 请求频率限制
|
|
|
|
## 数据安全
|
|
|
|
### 传输安全
|
|
- HTTPS 强制使用
|
|
- Token 传输使用 Bearer 模式
|
|
|
|
### 存储安全
|
|
- 数据库文件存储在应用目录
|
|
- 建议生产环境使用加密存储
|
|
|
|
## 文件安全
|
|
|
|
### 上传限制
|
|
- 文件大小限制: 100MB
|
|
- 文件类型验证
|
|
- 文件名 sanitization
|
|
|
|
### 恶意文件
|
|
- 不执行上传文件
|
|
- 文件存储在隔离目录
|