拿稀土掘金做个栗子:可以看到密码是明文的。如何保证安全?
使用https可以么?
md5 现在不是就碰撞可以破吗
看到密码也没用
题主手机号只划了一个,上面的还在。。。
https或者用js的MD5库之类加密,加盐你看着办。。
https是最好的方法了
1、前端js代码是全裸的,所以就算有加密代码也是可读的;如果兼容无法运行js的浏览器,还需要写用密码原文登陆的接口
2、前端就算加密,对于用户来说依旧是可以拿到MD5加密的原文,如果后端不做安全处理(MD5+hash)直接写入数据库,那么用户知道MD5加密原文,也是可以登录进来的;
总结
前端针对原文的加密是流氓行为,针对传输的安全机制是重点。
不能抱有前端加密了,后端就可以不处理的想法;后端的安全机制才是保障。
所以上https才是正途,可以去看看ssl/tls协议(其实就是https)。
深入了解一下https,现阶段https的成本降低了,落地的也多了。
顺便安利http 2.0协议。
更具体的答案可以看这个
Web前端密码加密是否有意义?简单的https介绍可以看下这几篇
聊聊HTTPS和SSL/TLS协议
SSL/TLS协议运行机制的概述
HTTPS的七个误解(译文)
最后,
一切技术都以业务落地为根本。
前端加密没意义, 直接看知乎, 登陆直接传递账号密码过去的..
传输前sha1或者MD5加密啊
前端加密有点虚
可以用sha256加密或者自己写的一些加密算法。用post传输