问个前端公钥加密防止中间人攻击的问题

@FreeWong
没看漏，HTTPS 和 HMAC 要同时使用。
因为在浏览器跑的 JS 代码也是从服务器下载的，如果不用 HTTPS 保护的话就存在 JS 代码被篡改的问题，那浏览器那边会发生什么都不奇怪了。
用 HMAC 的目的是避免 PIN 被还原出来，对于被动 MITM，这个方法可以避免重放攻击，也不用担心 PIN 泄漏。大厂喜欢用 RSA 估计还是为了获得 PIN，我严重怀疑它们是在数据库直接存 PIN 的，这个方式用来防被动 MITM 是足够的。

有 https 再加这个，估计是怕 浏览器其实是被控制的，js 再加一层，那么就又麻烦很多。

有一种刚学完现代密码学胡搞毛搞的感觉

@lovecy 我不知道百度工程师的想法，但是我猜就是想在 HTTPS 上加一层防护。用户安装奇怪的证书是很常见的，至少在公司的电脑上很普遍。

@jadec0der 既然用户都安装了奇怪的证书，那估计也会安装奇怪的插件，直接改你的加密秘钥。
我觉得主要还是#14#15 这类似的原因

@all 这里的中间人攻击行为我们假设为 颁发假证书 在这个前提下讨论就不会有理解上的差异了
感谢大家回复，帮我解除心中的困惑

@jim9606 不应该用 hmac，就是应该对称加密，hmac 你需要跟进用户名问后端拿盐呢，对称加密后端自己解密即可，再加盐

@YouLMAO 感谢回复，晚点时间再继续 这个话题。。。