前端怎么对请求参数做加密才安全?
我在做登录功能,想把用户密码在发给后端前加密一下,但不知道用啥方式才靠谱。试过用 crypto-js 做 AES 加密,但密钥写在前端代码里感觉很容易被扒出来,这样加密还有意义吗?
现在后端要求所有敏感请求都要加密,但我又不能直接传明文。有没有既安全又适合前端实现的方案?比如能不能结合 HTTPS 再加一层简单处理?
这是我现在用的加密代码:
import CryptoJS from 'crypto-js';
const key = 'my-secret-key-123'; // 这个写死在前端太危险了吧?
const encrypted = CryptoJS.AES.encrypt(password, key).toString();
- 2
回答
36浏览
前端怎么对接口参数做加密才安全?
我们项目现在要对所有请求参数加密,后端用的是 AES,但我在前端用 crypto-js 加密后,后端老是解密失败,说 padding 不对。我试过 ECB 和 CBC 模式都不行,是不是前端根本不能做...
- 2
回答
182浏览
前端调用接口时怎么对请求参数加密才安全?
我们后端要求所有敏感接口的请求参数必须加密传输,但我试了用 AES 加密后传过去,后端说解密失败。我是在浏览器里用 CryptoJS 做的加密,密钥直接写在代码里,是不是哪里不对? 这是我的加密代码:...
- 2
回答
21浏览
前端请求响应加密怎么做才安全?
我最近在做登录接口,后端要求所有请求和响应都要加密,但我试了 AES 加密后发现密钥放前端根本藏不住,这不等于白加密吗? 我看到有些项目用 HTTPS 就行了,但后端坚持要应用层再加密一层。有没有既安...
- 2
回答
36浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
- 1
回答
25浏览
前端加密时密钥到底该怎么安全存储?
我在做用户敏感数据的前端加密,用的是 AES,但密钥放哪儿都感觉不安全。放 localStorage 会被 XSS 拿走,写死在代码里又容易被反编译看到,这不就白加密了? 试过用环境变量 proces...
- 1
回答
31浏览
前端接口加密怎么做才安全?
最近项目要求所有请求参数都要加密,但我试了在 Vue 里用 AES 加密后发给后端,结果后端解密总是失败,不知道是不是我加密方式有问题。 我用的是 CryptoJS,加密逻辑写在 axios 请求拦截...
- 1
回答
39浏览
前端能直接加密用户密码吗?怎么保证安全?
我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还...
- 2
回答
25浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
100浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 1
回答
4浏览
前端请求加签后后端验签失败是怎么回事?
我在前端用用户密钥对请求参数做SHA256加签,但后端老是说签名不匹配,明明参数排序和拼接都按文档来了啊。 试过把时间戳、nonce这些字段都加上,也确认了密钥没传错,可还是不行。是不是我加密的方式有...
更好的写法是完全不要在前端进行对称加密。HTTPS本身已经帮你做了传输加密,你只需要保证后端的密码存储安全就行了。
建议这样处理:
1. 继续使用 HTTPS 传输密码明文
2. 后端收到密码后立刻用 bcrypt 等算法加盐哈希存储
如果非要再加一层加密,可以考虑非对称加密:
公钥可以从后端动态获取,安全性会好很多。不过说实话,这层加密很多时候是多余的操作,反而增加了维护成本。
记住一点:安全不能只靠前端来保证,后端的安全设计才是重点。前端该做的就是确保用了 HTTPS,剩下的交给后端去处理吧。每天都在和这些安全问题斗智斗勇,真的挺累的。