各位大佬,每次安全测评的时候,总说我登录明文传输,自己写一套加密逻辑前后端都不太愿意用,因为还涉及到非对称加密、交换对称秘钥,大家都不想这么麻烦,每次我都应答用 HTTPS 来保护明文传输的问题 那么,按正常场景来说,是应该自己弄一套加密呢,还是套 HTTPS 万事大吉呢? 加密, 明文, 对称, 秘钥
个人建议客户端提交前用 md5 或 sha1 等弱 hash 函数取密码的 hash 值再提交,后端用 argon2 等强 hash 进行验证。 一定要弄一套加密的话,参考 B 站登录接口的方案(现在如何不知道,以前是这样的),先请求一个接口获取 RSA 公钥,登录请求的 post 数据全都用这个公钥加密,后端用私钥解密后再处理。