问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

现在前端登录还需要用md5加密账号密码吗?

头像
唐伯虎点蚊香
    41630163219

    现在都是用https通信,前端项目登录的时候还需要用md5加密账号密码?

    前端javascript
    阅读 1.5k
    avatarAI BotBETA

    不需要在前端使用MD5加密账号密码。

    解释:

    1. 安全性问题:在前端加密密码(如使用MD5)实际上并不增加安全性,因为加密过程(包括密钥,如果有的话)对客户端是可见的。这意味着任何攻击者都可以获取到加密逻辑并尝试破解加密后的密码。
    2. HTTPS的重要性:使用HTTPS已经为客户端和服务器之间的通信提供了加密层,这确保了传输过程中的数据(包括密码)是加密的,从而防止了中间人攻击。但这并不意味着你可以在前端安全地处理敏感信息,如直接存储或加密密码。

    3. 最佳实践

      • 密码哈希:密码应该在服务器端进行哈希处理,并且应该使用安全的哈希算法(如bcrypt, Argon2等),这些算法提供了足够的“工作因子”来抵抗暴力破解。
      • 加盐(Salting):在哈希之前为密码添加一个唯一的随机字符串(盐),可以确保即使两个用户使用了相同的密码,它们的哈希值也会不同。
      • HTTPS:确保所有涉及敏感信息的通信都通过HTTPS进行。
    4. 前端角色:前端应该只负责收集用户输入的密码,并通过HTTPS安全地发送到服务器。前端不需要(也不应该)尝试对密码进行任何形式的加密或哈希处理。

    因此,在前端登录过程中,不需要使用MD5或其他任何客户端加密方法来处理密码。

    2 个回答
    得票最新
    头像
    Meathill
      22.8k133642
      ✓ 已被采纳

      从来都不需要。因为 md5 并没有很好的办法来逆向,所以你传递了 md5 之后的密码给后端,后端也只能原样保存。相当于如果有个中间人攻击,ta 一样能拿到原始密码。

      头像
      唯一丶
        23.3k103743

        我个人是觉得在有 HTTPS 的情况下,这个没必要。实际上,即使是一些国际大厂的,也是这样的。

        但是,目前因为国内法律法规的原因,一些安全公司在做合规的时候,如果抓包发现你的密码是明文传输的(即使已经使用了 HTTPS),他们依然会认为你这个不合规,需要你整改,当然,这种情况,你也可以直接把整个表单加密了发过去,里面照样是原文。

        所以,我建议你结合实际来,因为除了这个原因,还有可能就是,虽然 HTTPS 保证了你传输过程的安全性,但是在业务中,有时候就不一定了,虽然现在密码都是存的 hash 后的值,就怕万一你把用户密码(表单请求)打印到了日志里面,对吧。

        当然,对于你自己的系统而言,你要不要用户的密码你都可以登录上用户的账号,并不关心用户的原始密码,后端只关心你传的那个字符串在经过 Hash 后,能不能与数据库中的对应的上。但是,那对于用户而言,你截留了原始密码,就有可能被人拿去撞库的风险了。

        所以,要不要在前端进行加密,只是你结合业务的一个选择。

        撰写回答
        你尚未登录,登录后可以
        • 和开发者交流问题的细节
        • 关注并接收问题和回答的更新提醒
        • 参与内容的编辑和改进,让解决方法与时俱进
        推荐问题