如何通过https在用户和服务器之间进行通信
How to communicate between User and Server via https
我正在开发一个具有有效登录功能的测试页。在服务器端,每个密码都是加密的。我想知道用户输入的密码在发送到服务器后端之前是否应该加密,或者这是否没有必要,因为测试页使用 HTTPS。
正如您在屏幕截图中看到的那样,用户名/电子邮件和密码作为路由请求有效负载发送到服务器,电子邮件和密码在检查器工具中都是完全可读的。截屏:
Network request
如果即使使用 https 也需要加密,那么服务器获取的密码的解密将如何进行? (不需要代码只要概念的解释就很棒)
感谢您的回答。 :)
不需要再加密一层。 SSL/TLS(并通过扩展 HTTPS)确保离开您的计算机的包是加密的,因此没有人,比如可以拦截用户或服务器网络流量的攻击者,可以读取或修改服务器之间的明文 HTTP 流量-client,就像您可以使用检查器工具一样,因此可以捕获传输的凭据。
但是,请确保您使用由 CA 颁发的可靠的安全证书。无法由受信任的 CA 验证的自签名证书或证书使客户端-服务器之间的连接对 MiTM 攻击开放。
我正在开发一个具有有效登录功能的测试页。在服务器端,每个密码都是加密的。我想知道用户输入的密码在发送到服务器后端之前是否应该加密,或者这是否没有必要,因为测试页使用 HTTPS。
正如您在屏幕截图中看到的那样,用户名/电子邮件和密码作为路由请求有效负载发送到服务器,电子邮件和密码在检查器工具中都是完全可读的。截屏: Network request
如果即使使用 https 也需要加密,那么服务器获取的密码的解密将如何进行? (不需要代码只要概念的解释就很棒)
感谢您的回答。 :)
不需要再加密一层。 SSL/TLS(并通过扩展 HTTPS)确保离开您的计算机的包是加密的,因此没有人,比如可以拦截用户或服务器网络流量的攻击者,可以读取或修改服务器之间的明文 HTTP 流量-client,就像您可以使用检查器工具一样,因此可以捕获传输的凭据。
但是,请确保您使用由 CA 颁发的可靠的安全证书。无法由受信任的 CA 验证的自签名证书或证书使客户端-服务器之间的连接对 MiTM 攻击开放。