关于前后端密码传输与存储？

我们一般是 3，然后传输过程加密，让人拦截不到传输内容。

@marcomarco 前端也加密的话，那如果是网页端岂不是加密方式都直接泄露了？

前端加密的意义何在？

密码不应当存储为明文或可逆加密的密文。

前端不加密，走 https，后端也不加密，只保存 hash

前后端加密肯定不是一套加密方案...不管前加不加后端肯定得独立一套方案

通常是第 3 种，前端不加密走 HTTPS，后端增添加密因子进行特定算法法加密

前端可逆加密，后端不可逆加密。

如果传输协议是 https / tls 保护的，前端可以不加密。

@feikeq 明白了

跟楼上一样，前端不加密，但是走 https，后台拿到原始密码后给每个用户生成一个独立的盐（ salt ），然后再把原始密码和盐一起做 hash，hash 结果存到数据库。 验证的时候，做同样的 hash 运算，跟数据库里面的 hash 结果比对。

这样的好处是即使数据库泄露，也不会暴露用户的原始密码。

学习学习

不用 argon2 的都是耍流氓

直接 Spring Security 一套用上,加密方式选择 Bcrpt

用 BCrypt 啊
Java

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
new BCryptPasswordEncoder().encode(password);
new BCryptPasswordEncoder().matches(rawPassword, encodedPassword);

PHP
echo password_hash(‘123456’, PASSWORD_DEFAULT); // 获取密码
var_dump(password_verify(‘123456’, '$2a$10$QoH8aP4NjR.h6IJwQ4S9l.8xbryqH28UtaorHeF3uBk7h72O4J4lu')); // 校验密码

有 TLS 前端不加密也行.

前端 AES 加密
后端 AES 解密后再 MD5()
数据库 MD5 存储
再加 HTTPS

前端加密就是在搞自己

安全的储存密码是为了不泄露用户明文密码，防止用户使用相同密码的其他服务被社工攻击。而不是为了防止调用你的接口，你密码表都被拖了，你还谈啥接口安全，直接拿你表里的 token 登入就行了。
不过一和三都能防止你所提到的问题

前端页面直接将密码加密后，传到后端，后端拿着用户名与密码去数据库匹配。

这样被社工的几率小。首先密码长度是固定的，先判断密码长度，可以过滤一部分社工。另外，密码加密传输，相对明文存储要安全很多。

https 加上专门设计保存密码的 hash 算法 (Argon2id/scrypt/bcrypt/PBKDF2) 就行了。

https://github.com/P-H-C/phc-winner-argon2
https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
https://datatracker.ietf.org/doc/html/draft-ietf-kitten-password-storage-06