4.2 安全性需求

1. 功能概述 (Feature Overview)

本页定义了为保护用户数据和系统稳定而必须实施的安全措施，覆盖数据传输、存储、访问控制和常见Web攻击的防范。

2. 安全要求 (Security Requirements)

• 数据传输: [Must Have] 全站必须使用 HTTPS 进行通信。
• 数据存储: [Must Have] 用户密码必须加密后存储在数据库中。
• 输入校验: [Must Have] 所有接收用户输入的接口（特别是搜索和表单提交），必须进行严格的服务端校验，以防止SQL注入和XSS攻击。
• 访问控制: [Must Have] 所有需要登录才能访问的API，必须校验请求中携带的有效JWT Token。
• 敏感信息处理: [Should Have] 在前端展示和后台日志中，应对身份证号、手机号等敏感信息进行脱敏（打码）处理。
• 登录安全: [Could Have] 实现一个简单的登录尝试次数限制机制（例如，在内存中记录失败次数），以减缓暴力破解攻击。