Laravel
社区 动态 AI作品 话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

请问前端传参「密码」字段时需要加密吗?

问答 / 4 / 11 / 创建于 4年前

在网上搜索了一些答案,对于这个问题有很多争论。
从安全性角度考虑,肯定是加密的好,那应该怎么实现呢,既然前端密码加密,那后端怎么解密呢?
前后端公用一套加密解密算法?还是把公钥交给前端?

前提:站点使用了 `HTTPS` ,使用 `POST` 提交
`hash` `md5` 等编码不在讨论范围内

我自己也很困惑,在此提问,希望大家解答一下,感谢。

悲观者永远正确,乐观者永远前行。
MArtian
版主 3.8k 声望
Talk is cheap show me the code.
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L02 从零构建论坛系统》
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
porygonCN
Laravel 8.x 译者 180 声望 / 后端开发 @ 新明辉
最佳答案

最好的加密是 https。 毕竟你无论如何加密 用js都相当于裸奔,前端加密的作用只是让人一眼看不出实际值,想要找出来还是有办法的 RSA加密自然可以,我个人理解 https 就是 RSA 的一种

4年前 评论
GeorgeKing 4年前

某种意义上来说,安全和易用性是互斥的,我们能做的只是尽可能的保护用户信息安全。类似的方法如:前端 JS 编译混淆,增加其他人员破译加密规则的成本!

1
讨论数量: 11
排序:
时间 投票
haodudecao
版主 1.6k 声望

个人感觉前端加密没有意义:如果被第三方截获,那你加密与否对他来说都是一样的,拿来就能用

4年前 评论
MArtian (楼主) 4年前
确实,加密的意义也就是为了不明文暴露吧
GeorgeKing 4年前
明文暴露和密文暴露性质还是不一样的,从用户角度来说密文暴露只会导致当前平台或系统存在风险。如果是明文,很有可能被拿去到其他平台或系统进行暴力登录!
haodudecao (作者) 4年前
@GeorgeKing 谢谢,Get it
deatil
见习助教 780 声望

加个md5,防止传递过程中密码被盗后拿去撞库

4年前 评论
deatil (作者) 4年前
@MArtian 反正md5只是为了防止明文传递密码。其他的加密方式的话,就需要相应的加密下传递,rsa这些非对称的要合适些
MArtian (楼主) 4年前
撞库?能详细说一下吗?
deatil (作者) 4年前
@MArtian 没啥可说的啊,就是把密码拿去其他网站试登陆啊
MArtian (楼主) 4年前
@deatil 哦哦,明白了
MArtian (楼主) 4年前
如果前端的密码使用 md5 加密,库中的密码也需要 md5 加密,这种情况是不行的吧?但库中的密码一般是使用 bcrypt 或者 rsa,这样的话前端传过来的密码就没法校验了
deatil (作者) 4年前
@MArtian md5是需要密码最里层有做md5加密
deatil (作者) 4年前
@MArtian 密码用rsa?我觉得你们产品设计的用户密码存放有问题,存rsa跟存明文有啥区别?你们难道想看用户的明文密码?
MArtian (楼主) 4年前
@deatil 我们密码存储使用的是 bcrypt,这里只是举例说前端如果是 md5 编码,和后端加密方式不同,无法校验密码 😂
1
Insua
见习版主 243 声望 / owner @ insua.me

我是使用的rsa加密的

4年前 评论
我们只希望世界和平
课程读者 400 声望

用rsa,服务端传过来,前端加密,然后服务端揭秘,这样即使数据过程中被劫持了,由于劫持的人没有私钥,也无法解密。

4年前 评论
porygonCN 4年前
使用https后被劫持有用吗?
我们只希望世界和平 (作者) 4年前
@gema 用rsa
我们只希望世界和平 (作者) 4年前
@gema 用rsa在前端加密后,中间传输的都是密文。传递是一个 encode(密码,公钥)。只有服务端有私钥。所以即使劫持了也顶多得到一个 加密后的串儿。
我们只希望世界和平 (作者) 4年前
@gema 劫持https的话如果伪造证书,比如平时开发抓包,这种基本上也是可以看到传输内容的,但是传输内容如果加密了,就算泄漏也无所谓。https主要还是防运营商中间乱改吧。
2
fffswhk
课程读者 217 声望

https 不就是为了解决这个问题的吗

4年前 评论
MArtian (楼主) 4年前
解决什么问题?
fffswhk (作者) 4年前
@MArtian 数据在传输过程中,加密而不是明文传输。
839891627 4年前
我也好奇这个
1
iehong
6 声望

可以用JWT

4年前 评论
DonnyLiu
66 声望 / 7号搬砖员 @ 搬砖公司

用RSA加密

4年前 评论
JamesChen
Laravel 9.x 译者 25 声望

需要加密,网站安全检测时如果输入和传输的值一样的话会扣分。

4年前 评论
1
porygonCN
Laravel 8.x 译者 180 声望 / 后端开发 @ 新明辉

最好的加密是 https。 毕竟你无论如何加密 用js都相当于裸奔,前端加密的作用只是让人一眼看不出实际值,想要找出来还是有办法的 RSA加密自然可以,我个人理解 https 就是 RSA 的一种

4年前 评论
GeorgeKing 4年前

某种意义上来说,安全和易用性是互斥的,我们能做的只是尽可能的保护用户信息安全。类似的方法如:前端 JS 编译混淆,增加其他人员破译加密规则的成本!

1
GeorgeKing
L5.7 译者 763 声望

建议前后端约定好一套加密算法,这个算法必须有两个特点:

  1. 加密算法可逆
  2. 必须是高度自定义的,可以借鉴他人分享的加密算法,但是不要完全套用
4年前 评论
1
MIRAI
0 声望

当然要加密,因为不加密后台程序员可以拿到,支付宝开发拿到用户密码不是很危险嘛。。。

4年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
MArtian 3.8k 声望
TA 的博客
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码 | 方长科技协力运营

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消