提货系统前台安全防护
一：为了优化用户体验，正常的客户，他们不可能连续三次输错卡号和卡密码，但又为了防止黑客暴力破解，前端为了兼顾这二者，系统采用了以下方案
当顾客输入正确的卡号和卡密码，不显示验证码。
当顾客第二次输错了卡号和卡密码，不显示验证码。
当顾客第三次输错了卡号和卡密码，系统弹出验证码。（防止软件暴破）又能让正常的用户不用输验证码。（正常情况下，顾客本身也不会连续输错三次）

我们的前台，正常情况下，
只需要输卡号和卡密码（因为正常的用户不会去模拟软件请求猜测）
，如果让他再输一个验证码（大部分网站注册是这个的）。
对于体验来讲是不好的，所以在第四代我们改进了，
即去掉了这个，只要输卡号和卡密码，又要解决软件攻击，
所以只要达到错误阀值（正常的用户不可能连续三次输错卡号和卡密码）。
当输错了三次，系统就会自动打开必须要输验证码才能进行下一步的验证。既解决了用户的体验，又能有效有保护系统

二：当用户在5秒内重复验证卡号密码，比如有一些不诚实的人，认为可以通过匿名猜测或者写一段post来提交验证。系统会做出拦截，只允许5秒内请求一次，用户可以在前端连续点　申请提货　按钮。来看服务器返回的提示。

三：当用户输入了正确的卡号和卡密码，系统跳转到“录入个人收货信息”页面。此页面设置了有效期（因为系统没有采用传统的session，以减少高并发量的session问题）。采用加密签名数据来验证。所以有一定的有效期，5分钟。你可以理解为　你出示付款码，微信也一样只让验证码1分钟有效。

四：当用户提交订单，有可能被有心的用户，他修改了提交的参数数据，比如正常你这张卡只能兑换Ａ商品，但黑客能截取提交的参数，修改了商品的ID，导致我有100元价值的卡，兑换了1000元的商品。如此，服务器后台做了数据对比，会直接在系统中对比，顾客提交的这张卡，他绑定的商品中，是否存在这个商品。防止前端进行数据篡改。

五：后台拦截。正常的后台，输入后台登录地址，只要账号和密码就可以登录后台。在此之前，我们做了技术延伸。后台登录地址会设定一个登录key值，每次进行后台登录的地址，都会先验证这个key是否与服务器后台设置的一致，一致则放行，进行后台：输入账号密码。