元素
元素
工具
博客
问答

前端注册时怎么处理密码盐值才安全?

子聪 阅读 62
安全

我最近在做用户注册功能,看到后端同事说密码要加盐哈希,但我搞不清盐值到底该谁生成、怎么传。我在前端直接生成随机盐拼到密码里再发过去,这样行不行?会不会有安全隐患?

比如我现在是这么做的:

<form id="registerForm">
  <input type="password" id="password" />
  <button type="submit">注册</button>
</form>

<script>
  document.getElementById('registerForm').addEventListener('submit', (e) => {
    e.preventDefault();
    const salt = crypto.randomUUID().substring(0, 16);
    const hashed = btoa(salt + document.getElementById('password').value); // 临时用base64模拟
    fetch('/api/register', { method: 'POST', body: JSON.stringify({ pwd: hashed, salt }) });
  });
</script>

但感觉这样好像不太对,盐值暴露在前端会不会被撞库?求指点正确做法。

密码安全
我来解答 赞 8 收藏
二维码
手机扫码查看
反馈
2 条解答
A. 翠翠
A. 翠翠 Lv1
你现在的做法确实有问题。密码加盐哈希必须在服务端做,前端直接处理会有安全风险。

首先密码传输过程要加密,但更重要的是,盐值和哈希计算必须在服务端完成。前端生成盐值并传给后端,等于把盐值暴露给了整个网络,失去了加盐的意义。

建议你这样做:前端只负责收集明文密码,通过HTTPS提交到后端。后端收到请求后,自动生成随机盐值,然后对密码进行哈希计算。

简单示例代码:

document.getElementById('registerForm').addEventListener('submit', (e) => {

  e.preventDefault();

  const pwd = document.getElementById('password').value;

  fetch('/api/register', { method: 'POST', body: JSON.stringify({ pwd }) });

});


后端处理部分(伪代码):
let salt = generateRandomSalt(); // 用安全的随机数生成
let hashedPwd = hash(salt + password); // 实际要用合适的hash算法
saveToDatabase(username, hashedPwd, salt);

这样能确保盐值不会泄露,安全性更高。调试看看能不能正常工作,有啥问题再来找我。
点赞
2026-03-31 09:02
❤秀丽
❤秀丽 Lv1
问题在于前端生成盐值并传输是不安全的,盐值应该在后端生成。把密码传到后端,让后端负责加盐和哈希处理。

document.getElementById('registerForm').addEventListener('submit', (e) => {

  e.preventDefault();

  const pwd = document.getElementById('password').value;

  fetch('/api/register', { method: 'POST', body: JSON.stringify({ pwd })});

});


然后在后端用安全的方式生成盐值,比如使用 bcrypt 这类库来处理加盐和哈希,别在前端瞎折腾了,省得给自己找麻烦。
点赞
2026-03-30 11:00
相关推荐
  • 1

    回答

    46

    浏览

    前端怎么校验密码复杂度才安全

    我在做用户注册页的密码校验,想确保密码包含大小写字母、数字和特殊字符,但不确定只在前端用正则判断够不够。万一用户绕过前端直接发请求怎么办? 现在用的是 Vue 的 watch 监听密码输入,代码大概这...

    上官淑瑶
    安全 2026-03-26 21:40:24
  • 1

    回答

    67

    浏览

    前端能直接加密用户密码吗?怎么保证安全

    我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还...

    UX秀玲
    安全 2026-03-21 13:28:25
  • 2

    回答

    59

    浏览

    PBKDF2在前端加密密码真的安全吗?

    我在做用户注册功能,看到后端用PBKDF2加盐哈希存密码。但我想在前端也先加密一次再传给后端,这样更安全吧? 可我试了用Web Crypto API的crypto.subtle.deriveKey,结...

    W″嘉赫
    安全 2026-03-18 23:20:23
  • 2

    回答

    126

    浏览

    前端项目里怎么用Fuzzing测试输入框的安全性?

    我最近在学安全开发生命周期,看到Fuzzing能用来测输入漏洞,但不太清楚前端怎么实际用。比如一个用户注册页面的邮箱输入框,我想自动喂各种奇怪字符串看会不会出问题,该怎么做? 试过手动复制一些payl...

    皇甫胜楠
    安全 2026-03-17 00:48:18
  • 2

    回答

    118

    浏览

    前端密码强度校验怎么写才靠谱?

    我在做登录注册页的密码策略,想让用户设置强密码,但不确定校验逻辑怎么写才安全又不烦人。试了下正则,但总觉得漏了什么。 比如下面这段代码,只检查了长度和是否包含数字,但好像没考虑大小写字母和特殊字符?而...

    上官奕瑞
    安全 2026-03-14 03:46:25
  • 1

    回答

    63

    浏览

    前端怎么校验密码强度才靠谱?

    我在做用户注册页,想加个密码强度提示,但不确定怎么判断才算安全。试过只看长度,但用户输12345678也能过,这显然不行。 现在想结合大小写字母、数字和特殊字符,但不知道规则怎么定。比如下面这个正则:...

    统赫酱~
    安全 2026-03-10 16:18:21
  • 2

    回答

    66

    浏览

    前端请求怎么加密才安全

    我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...

    FSD-峻豪
    安全 2026-03-06 05:16:20
  • 2

    回答

    64

    浏览

    前端密码加密到底该怎么做才安全

    我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...

    码农艺霖
    前端 2026-03-03 09:27:20
  • 1

    回答

    55

    浏览

    前端用 MD5 加密密码真的安全吗?

    我在做一个登录页面,想在前端用 MD5 对用户密码做哈希后再传给后端。但听说 MD5 已经不安全了,可我看很多老项目还在用,有点懵。 我试过用 crypto-js/md5 这个库,代码大概是这样: i...

    a'ゞ旗施
    安全 2026-03-27 11:01:23
  • 2

    回答

    102

    浏览

    前端如何处理用户密码过期的提示逻辑?

    我们系统要求用户每90天改一次密码,但我不确定前端怎么友好地提醒用户。后端会在登录接口返回password_expired: true,我现在直接弹个alert太生硬了,有没有更自然的做法? 试过在...

    晏鸣
    安全 2026-03-22 21:30:24
元素
元素
工具
博客
问答
登录/注册