构建构建完善的敏感操作验证流程

转载请注明来源：http://www.cnblogs.com/phoenix--

1、定义敏感操作

需要具体到特定的功能上，如修改密码，修改安全邮箱。

2、将敏感操作进行等级划分

确定一个标准，对敏感操作进行重要性划分。

如可以通过安全邮箱修改账号密码，那么修改安全邮箱即可获取账号控制权，则应被列为最高级。

而如果修改账号密码需要验证安全邮箱和密保，那么修改安全邮箱则应被视为次一级的敏感操作。

3、特定等级的敏感操作至少需要通过同级或更高级的敏感操作验证。

如修改安全邮箱，其敏感等级为最高级或次一级，故在修改时，需要验证原邮箱所有权，或者可以通过手机验证码验证。