登录接口是应该自定义加密还是依靠 HTTPS 就行?

查看 107|回复 6
作者:renfei   
各位大佬,每次安全测评的时候,总说我登录明文传输,自己写一套加密逻辑前后端都不太愿意用,因为还涉及到非对称加密、交换对称秘钥,大家都不想这么麻烦,每次我都应答用 HTTPS 来保护明文传输的问题
那么,按正常场景来说,是应该自己弄一套加密呢,还是套 HTTPS 万事大吉呢?

加密, 明文, 对称, 秘钥

tool2d   
你要确保客户端用了 SSL Pinning 技术,那流量就是相对安全的,不加问题也不大。
如果黑客能破解你的 SSL Pinning ,那他大概率也能破解你的非对称加密。
ysc3839   
个人建议客户端提交前用 md5 或 sha1 等弱 hash 函数取密码的 hash 值再提交,后端用 argon2 等强 hash 进行验证。
一定要弄一套加密的话,参考 B 站登录接口的方案(现在如何不知道,以前是这样的),先请求一个接口获取 RSA 公钥,登录请求的 post 数据全都用这个公钥加密,后端用私钥解密后再处理。
javalaw2010   
我是赞同只依靠 https 的,但如果有同事反对,我会懒得解释(实际上我可能会简单解释一下以表示我不是个不顾安全的憨批),然后上一套简单的对称加密完事儿。
CloudMx   
这个是两个维度的:
1 、HTTPS 强制要求是应对中间人的
2 、业务敏感字段数据要求有一些是规范政策相关的,技术上的话比如:一些留存 web 日志,相对明文是可以提升攻击者成本的。
mozhizhu   
我干掉了账号密码,主导让微信扫码登录,然后被埋怨了;但是依旧推下去了,因为他们的 123456 太粗暴了
tianmalj0613   
@ysc3839 #2 现在百度好像也是这样的
您需要登录后才可以回帖 登录 | 立即注册

返回顶部