用户注册时的密码安全性校验应该在前端还是后端完成？

关键词：非对称加密。

那你强制 https 呗...

脱离 https ，讨论泄密没意义。

@cwcc 额，一个注册没必要搞这么多次请求吧

2023 年了 https 还不是标配？
无论前端做还是后端不都应该上 https ？

前端校验。用户对自己的输入负责，自行设置弱密码对业务造成影响。

非对称加密就更好了，但都到这步了，为啥不上 HTTPS 呢？

@8355 想想保密项目，内网项目

前端校验, 弱密码才能方便用户. 安全性要靠自己来保证, 不要指望用户. 即便用户设置 123456 这样的密码, 也要能保证用户的安全. 可以配合用户常用 IP, 常用手机, 用户所在地, 用户大数据画像来确保用户安全, 不要靠强密码, 这会极大的降低用户体验.

最简单的方案就是前端 js 里面带上公钥，用 JSEncrypt 直接加密传到后端用私钥解密就行了。其他复杂的各种认证、密钥交换算法如果有兴趣也可以研究一下。总之为了加密而加密行不通，系统总有薄弱点，但加密传输目前容易做到的应该就是非对称加密和 HTTPS 通信了。

@githmb 那种项目根本就不需要做设置密码的功能，管理员密码只允许物理机本地修改（开变更单进机房改）

通过 https 送到后端校验。尽量部署 https 。

没有 HTTPS ，你这种前端加密没啥意义。

安全性校验 ，我理解应该是比如密码位数，是否大小写等规则校验，这个东西不是前端就可以么？为啥还要给后端

@githmb 如果是内网项目，让甲方出台制度，用户必须签署“我草忒马的虽然心里不爽但是既然组织上规定弱密码造成的安全事故责任自负了那我就乖乖执行我承诺我不使用弱密码如果我欺骗组织就天打雷劈”协议。

世间安得双全法，不负如来不负卿。你有不想让 geek 用户绕过前端的需求，又有不发送明文的需求，又不用 https ，又嫌非对称加密“一个注册没必要搞这么多次请求吧”……想啥呢？

@cwcc 这种内置公钥确实是一种好办法

@adoal 9 楼已有答案

在前端做校验就够了，如果用户可以强行设置弱密码，那就说明他有一定的技术能力，就不用担心他的安全性问题了。

@githmb #9 说的不就是#1 的具体实现？然而你在#3 里对#1 表示没必要，又说#17 里回复我的#15 比哦啊哦是#9 是答案……这是啥姿势？

加个 2FA ，安全性直接加一百倍