后端 PHP 给浏览器发送一个密钥，怎样才尽可能不被发现？

传到客户端还叫密钥吗

HTTPS + 非对称加密

总是有人觉得自己能不用 TLS 达到“安全”。事实证明都是在自欺欺人。

这应该是个伪需求。
先讲讲为什么要加密传给 js 吧

HTTPS 就行了啊，或者：请到本公司现场获取密钥字符串

WebSocket 也是明文

可以考虑非对称加密，如 RSA 这些算法，公钥大家都知道，私钥只有你知道，用户端用公钥加密了，只有你服务器端有私钥才能解密。

有一些例子， 比如之前分析过百度的登录页面，他们就是用 RSA 加密。公钥，指数放在 js 上面写死了，登录时候密码就加密了。
另外一个是网易云音乐 PC 端的页面，F12 发现他们 POST 的数据是加密的，然后我单步调试了下，他们是生成一个密钥，然后用 RSA 加密， 然后拿加密前的密钥用 DES 加密，然后把 DES 加密后的内容和 RSA 加密后的密钥发送到服务器。这样做是因为 RSA 运算量很大（大数运算），POST 的数据量很大（ POST 之前的数据还是 JSON 编码的），如果都用 RSA 的话会很慢。

秘钥的名字取的迷惑一点，让人从字面意思上看不出来这是秘钥。这是没有办法的办法。但是我还是要说，秘钥用这种方式传递，这个思路方向本身就是错的！

前端所有的内容都是暴露的。。解密过程被暴露就会被追踪到密匙啊，怎么隐蔽传输都没有用
除非你用 https 那套逻辑来进行密匙管理，但是太复杂了点

非对称加密，用户生成密钥，把公钥传给服务器，服务器加密后返回，客户端密钥解密。外面再套一层 HTTPS 防止中间人

SRP 可以，服务器不储存密码，只储存 verifier
客户端有密码，不上传服务器，只用来计算 challenge
challenge 可以通过网络，被抓包也没关系，因为不能反向推算密码

SRP 过程如果通过，服务器和客户端会各自计算出一样的密钥，用于加密通信

这里有个例子
https://github.com/RuslanZavacky/srp-6a-demo

周末去广场裸奔，怎样才尽可能不被人发现？

思路就是错的，使用私钥的计算都应该放在服务器上进行

如果不上 https 的话，8 楼是正解。
我也分析并且仿造新浪的来过一波。效果不错。但无法处理回放攻击和中间人攻击。。病毒 or 脚本可以很轻松的 get 到 http 请求，然后回放登陆，https 可以避免这种情况

@tabris17 黑人，在夜晚，不容易被发现。注意不要睁大眼睛，也不要张嘴。

希望不被谁发现呢

很好奇这是一个 要实现什么产品的思路

这是一个不可能实现的问题，任何在浏览器上的东西都是公开的，你无法加密。

只有在客户端里面的东西才能加密。

我在公司有过这方面的时间，调查了很久，最终放弃了加密的方式

嗯 再造一个依照 https 的轮子 然后废弃直接用 https

记得某事业单位用的一个客户端，验证用户名密码不是在服务器端，而是客户端把用户名发给服务端，服务端返回用户的密码，客户端进行比对。