我使用的是一个API,它要求用户的密码在发送到服务器之前使用服务器的公钥加密。如果整个请求,包括用户名/密码等。是通过HTTPS发送的,难道密码加密不是多余的吗?
根据服务器体系结构的不同,这种加密可能会有所帮助。例如,TLS(HTTPS(连接可以在网络的外围终止(解密(,以便简化负载平衡或扫描流中的恶意数据包。单独加密密码可以保护密码,即使不受边缘服务器的攻击,因此能够破坏其中一个服务器的攻击者仍然无法访问密码。
就我个人而言,我在发送密码之前会对其进行扩展(即PBDKF2(。这样可以确保服务器根本看不到原始密码。但即使在这种配置中,当TLS流提前解密时,哈希的额外加密层也可能很有用。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium