刚手搓的论坛，欢迎大家来玩~

刚打完游戏，显示器还开着暗部增强，一进去文章标题白的我快瞎了。。。

关掉暗部增强能强一点，但是也就是一点，以我的感受来讲标题还是太白了。

@lisongeee 你的无脑 https 在我看来是根本不懂，或者没有认真思考过这个加密协议当初为什么诞生，另外，我 at 你不是希望你杠回来，只是为了让我发言的上下文对的上号

@orlog

#100 别阴阳我

我不知道你指的惯例操作是什么，但你认为的是错误的

你使用 http 协议传输前端密文密码，后端如果原样保存，只要被劫持或者中间人攻击，那么你的前端加密就毫无意义了

@rimutuyuan 我觉得你始终都没有理解我为什么要前端加密。。。

有没有法律风险

@Rorysky 法律风险是指？图片素材我有些是从网上扒的，可能有版权隐患，不过我这 1 ip 的小个人网站应该问题不大吧

@wxw752 谢谢了，这么详细的描述和评论，很真诚用心，我后续会努力改善

@orlog

> 密码在前端加密，不明文传输，这样即便不幸被脱裤，用户密码也不会出现在各种社工库里

你的这句话，前端加密的是防止即使被脱裤，密码也不会出现在社工库

那你知不知道在当前的项目实践中，只要是有点经验的开发人员，或者使用稍微成熟一点的 web 框架，都不会明文存储用户密码，这是不怕脱裤的根本，和前端哈希毫无关系



前端哈希是为了防止中间人攻击，拿到密码明文去尝试其他平台登录，而防止中间人攻击更好的方法是使用 https 协议


------------


设计方面不做评价，如果你在本科毕业前做出这样的项目，已经比 90%的学生强了

但这个论坛里面大多不是学生，而是有经验的互联网从业人员，大家在鼓励你之外指出了问题，一个人指出问题可能是他个人原因，当有多人指出同样的问题时，你应该考虑是否是自己做的不足

如果你只是想得到赞赏，应该去一个不那么专业的平台去发布你的作品

开源吧，没啥好说的。

@rimutuyuan 先不说这个前端加密的事。。。我觉得你的发言始终都有种很先入为主的优越感，不知道你自己感觉到没有

@orlog

请指出我哪里先入为主

@rimutuyuan 比如你在发言的同时就预设了很多前提，比如我是没毕业的大学生，比如你的观点是对的。网上有句很流行的话不知你听过没有，叫 “先问是不是，再问为什么”，虽然你没问我为什么，但你把“你是对的”这点，在还没论证过的情况下就作为发言的预设前提了

@orlog

ok ，那你可以是任何一种身份

那么聊聊前端加密的事吧，你预设前提是“即便不幸被脱裤”，项目中是如何防止的

@rimutuyuan 好吧，您只要好好说话，我随时奉陪。这个事情是这样的：我前端加密主要就是为了不直接存储你的明文密码，并且让你知道，我真的没存，不信的话可以 f12 自己看到，就这样。。。至于后端的其他步骤，并不在这个小功能的涵盖意图范围之内

@orlog

如果我输入的密码是 “123”，前端加密后变成“abc”，那么存在你数据库中的内容是“abc”吗？或者是其他的内容？

@rimutuyuan 稳妥起见我在后端把你的 “abc” 也再单向哈希了一次，不过我觉得这个已经不重要了，你为什么需要知道这个呢？

@orlog

你真的知道密码加密或者 hash 的真正作用吗?

作为服务提供者/admin, 对任何用户的账户拥有 100% 权限(当然, 这里指整个服务提供方, 而不指具体的某一个人);

前台加密后后端 hash 存储的目的都是防止第三方攻击; 而不是防后端服务器

@orlog

并不是稳妥起见，这是必须的，因为这才是防止脱裤的根本。如果你保存“abc”，密码被泄露后，黑客可以直接使用登录 api 传输“abc 登录”，并不需要知道“123”

@orlog #106 正经得许可证，不让随便开论坛呀，要是你肉身在国外，那 ok

@Rorysky 你这么说的话，博客也是不允许的哦，都是属于交互性网站。。。那我们啥都别玩了嘛