请问前端传参「密码」字段时需要加密吗？

问答 / 536 / 11 / 创建于 2年前

在网上搜索了一些答案，对于这个问题有很多争论。
从安全性角度考虑，肯定是加密的好，那应该怎么实现呢，既然前端密码加密，那后端怎么解密呢？
前后端公用一套加密解密算法？还是把公钥交给前端？

前提：站点使用了 `HTTPS` ，使用 `POST` 提交
`hash` `md5` 等编码不在讨论范围内

我自己也很困惑，在此提问，希望大家解答一下，感谢。

悲观者永远正确，乐观者永远前行。

版主 3.1k 声望

Talk is cheap show me the code.

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

推荐文章：

更多推荐...

面试 POPER 的后端开发工程师的离奇经历 34 / 104 |

Mysql 的 varchar 字段最大长度真的是 65535 吗？ 34 / 10 |

Laravel 使用 intervention/image 扩展包，生成带文字的海报 25 / 1 |

不务正业做了点前端事，uapp 一个能让uniapp离线打包更简单高效的脚手架 18 / 8 |

新手使用 Laravel 开发 API 时的前置准备 165 / 73 |

你知道什么是 AOP 吗？ 15 / 13 |

porygonCN

Laravel 8.x 译者 177 声望 / 后端开发 @ 山重建机

最佳答案

最好的加密是 https。毕竟你无论如何加密用js都相当于裸奔，前端加密的作用只是让人一眼看不出实际值，想要找出来还是有办法的 RSA加密自然可以，我个人理解 https 就是 RSA 的一种

2年前评论

GeorgeKing

某种意义上来说，安全和易用性是互斥的，我们能做的只是尽可能的保护用户信息安全。类似的方法如：前端 JS 编译混淆，增加其他人员破译加密规则的成本！

讨论数量: 11

haodudecao

版主 1.5k 声望

个人感觉前端加密没有意义：如果被第三方截获，那你加密与否对他来说都是一样的，拿来就能用

2年前评论

MArtian （楼主）

确实，加密的意义也就是为了不明文暴露吧

GeorgeKing

明文暴露和密文暴露性质还是不一样的，从用户角度来说密文暴露只会导致当前平台或系统存在风险。如果是明文，很有可能被拿去到其他平台或系统进行暴力登录！

haodudecao （作者）

@GeorgeKing 谢谢，Get it

deatil

见习助教 678 声望

加个md5，防止传递过程中密码被盗后拿去撞库

2年前评论

deatil （作者）

@MArtian 反正md5只是为了防止明文传递密码。其他的加密方式的话，就需要相应的加密下传递，rsa这些非对称的要合适些

MArtian （楼主）

撞库？能详细说一下吗？

deatil （作者）

@MArtian 没啥可说的啊，就是把密码拿去其他网站试登陆啊

MArtian （楼主）

@deatil 哦哦，明白了

MArtian （楼主）

如果前端的密码使用 md5 加密，库中的密码也需要 md5 加密，这种情况是不行的吧？但库中的密码一般是使用 bcrypt 或者 rsa，这样的话前端传过来的密码就没法校验了

deatil （作者）

@MArtian md5是需要密码最里层有做md5加密

deatil （作者）

@MArtian 密码用rsa？我觉得你们产品设计的用户密码存放有问题，存rsa跟存明文有啥区别？你们难道想看用户的明文密码？

MArtian （楼主）

@deatil 我们密码存储使用的是 bcrypt，这里只是举例说前端如果是 md5 编码，和后端加密方式不同，无法校验密码 😂

Insua

见习版主 240 声望 / owner @ insua.me

我是使用的rsa加密的

2年前评论

滚球兽进化

课程读者 312 声望

用rsa，服务端传过来，前端加密，然后服务端揭秘，这样即使数据过程中被劫持了，由于劫持的人没有私钥，也无法解密。

2年前评论

porygonCN

使用https后被劫持有用吗？

滚球兽进化（作者）

@gema 用rsa

滚球兽进化（作者）

@gema 用rsa在前端加密后，中间传输的都是密文。传递是一个 encode(密码,公钥)。只有服务端有私钥。所以即使劫持了也顶多得到一个加密后的串儿。

滚球兽进化（作者）

@gema 劫持https的话如果伪造证书，比如平时开发抓包，这种基本上也是可以看到传输内容的，但是传输内容如果加密了，就算泄漏也无所谓。https主要还是防运营商中间乱改吧。

fffswhk

课程读者 194 声望

https 不就是为了解决这个问题的吗

2年前评论

MArtian （楼主）

解决什么问题？

fffswhk （作者）

@MArtian 数据在传输过程中，加密而不是明文传输。

839891627

我也好奇这个

iehong

6 声望

可以用JWT

2年前评论

DonnyLiu

56 声望 / 7号搬砖员 @ 搬砖公司

用RSA加密

2年前评论

JamesChen

Laravel 9.x 译者 25 声望

需要加密，网站安全检测时如果输入和传输的值一样的话会扣分。

2年前评论

porygonCN

Laravel 8.x 译者 177 声望 / 后端开发 @ 山重建机

最好的加密是 https。毕竟你无论如何加密用js都相当于裸奔，前端加密的作用只是让人一眼看不出实际值，想要找出来还是有办法的 RSA加密自然可以，我个人理解 https 就是 RSA 的一种

2年前评论

GeorgeKing

某种意义上来说，安全和易用性是互斥的，我们能做的只是尽可能的保护用户信息安全。类似的方法如：前端 JS 编译混淆，增加其他人员破译加密规则的成本！

GeorgeKing

L5.7 译者 715 声望

建议前后端约定好一套加密算法，这个算法必须有两个特点：

加密算法可逆
必须是高度自定义的，可以借鉴他人分享的加密算法，但是不要完全套用

2年前评论

MIRAI

0 声望

当然要加密，因为不加密后台程序员可以拿到，支付宝开发拿到用户密码不是很危险嘛。。。

2年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助