前端能用非对称加密直接加密用户密码吗?
我在做一个登录功能,想在前端用非对称加密把用户密码加密后再传给后端。但查资料发现大部分都说前端不适合做加密,可我不太理解为什么——既然有 RSA 这种算法,为啥不能直接用呢?
我试过用 crypto.subtle 生成密钥对,但公钥怎么安全地给前端用?如果公钥是写死在代码里的,那不就等于没加密吗?而且每次刷新页面密钥都会变,根本没法和后端配合。
比如这段代码:
const keyPair = await crypto.subtle.generateKey(
{ name: 'RSA-OAEP', modulusLength: 2048, publicExponent: new Uint8Array([1, 0, 1]), hash: 'SHA-256' },
true,
['encrypt', 'decrypt']
);这样生成的公钥根本没法复用,后端也没法解密。到底该怎么做才对?
- 2
回答
14浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 1
回答
13浏览
前端如何正确实现密码强度校验策略?
我在做用户注册页面,想加个密码强度提示,但不确定哪些规则合理。比如至少8位、包含大小写字母和数字这些,是直接在前端用正则判断吗? 试过用 /^(?=.*[a-z])(?=.*[A-Z])(?=.*d)...
- 1
回答
13浏览
前端能直接对用户密码做哈希吗?这样安全吗?
我最近在用 Vue 写一个登录页面,看到后端同事说密码要哈希存储,我就想能不能在前端先哈希再传给后端,省得传明文。但又听说这样其实不安全,有点懵。 我试了下用 crypto-js 在提交前处理密码,代...
- 2
回答
25浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
- 2
回答
22浏览
前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。 试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接...
- 2
回答
35浏览
BFF 层怎么处理用户认证状态?前端该直接调用 BFF 还是 Auth 服务?
我们项目刚引入 BFF,现在搞不清楚用户登录状态该在哪一层处理。之前是前端直接请求 Auth 服务拿 token,现在加了 BFF 后,是不是应该让 BFF 去代理认证请求? 我试过在 React 组...
- 1
回答
15浏览
前端加密时密钥怎么安全交换?
我最近在做用户敏感数据的前端加密,打算用 AES,但卡在密钥交换这一步了。后端生成的密钥直接通过 HTTPS 返回给前端,这样真的安全吗?会不会被中间人拿到? 我试过用 RSA 公钥加密 AES 密钥...
- 2
回答
34浏览
如何在发送表单时对敏感数据进行加密?
我现在在做一个登录表单,需要把用户名和密码发到后端。但直接用POST提交不安全,想在前端加密后再发送。尝试过用Base64编码,但同事说这根本不算加密。想问下实际开发中该怎么处理? 比如这个表单: &...
- 2
回答
95浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 2
回答
89浏览
前端用MD5加密密码是否安全?有没有更好的加密方式?
最近在做用户注册功能时,密码加密这块有点困惑。我之前用crypto-js把密码转成MD5再存到后端,但同事说MD5早就被破解了,这样存密码不安全,但我也不太明白具体哪里有问题。 尝试改用bcrypt时...
暂无解答