加了 https，敏感信息还要加密吗？

https 只是保证传输过程中加密而已 并不是加密数据 只是加你不要传输的数据 如果后台需要数据加密那还是要去再加密一次

@zealot0630
虽然很蠢但是你只得到了一个门的钥匙，而不是一串钥匙。
撞库现在是很常见的攻击方式了。

@firefox12
你用的是哈希算法，而非可逆加密算法，随机字符串有何意义？
你这次发了个随机字符串 salt1 给用户，用户返回给你连同密码哈希后的 h1，你存下来。下次用户登录时你不是还得发给用户这个 salt1，然后用户返回给你 h1 吗？
既然如此，中间人直接返回给你 h1 就能登录了。

@Quaintjade 谁告诉你的？每次操作服务器都随机一个 slat 服务器是保存原始密码 hash30 次的结果。这个随机数就是保证了 你重放是没效果的。你用上次的 slat 出来的结果 服务器一比较不一样 直接拒掉了。

如果想做得足够安全，可以考虑：

HTTPS + HSTS preload + OCSP + HPKP + DNSSEC + QUIC(可选)

如果还要在内容上加密，可以考虑 php 的 mcrypt 加密后用于接口的数据传输。
接收端就解密就行了。

如果是前端则不必要

如果是后端(服务器(数据库)存储的敏感信息)还是有必要的

@mcspring 你这话并不准确
一个正常的 CA 会要求你生成密钥对、相关信息(域名、国家、组织、部门、SAN ……)
之后创建并提交 CSR 文件，其中包括<b>公钥</b>和相关信息。
CA 证实相关信息后，将这些信息和公钥一并签名作为 X.509 证书
换言之 CA 不能得到你的私钥

当然你说的情况也并非完全不存在，国内有些 CA(沃通,etc)要求你在线提交信息，验证后发给你证书(链)和私钥
这样 CA 有机会得到你使用的私钥