向 nodejs express 服务器发送纯文本密码。我是否过度考虑密码安全性?
Sending a plain text password to nodejs express server. Am I overthinking password security?
如果这是一个愚蠢的问题,请提前致歉,我仍在学习,我无法在网上找到答案,这让我觉得我可能想得太过分了。
情况
我有一个小的“社交网络”React 应用程序,它要求用户使用标准 html 输入字段注册并设置密码。
密码然后通过 axios 发送到 node.js express 服务器,在那里它被加盐和散列,然后存储在 postgreSQL 数据库中。
我的问题是,将纯文本密码发送到后端是否安全,或者我应该在发送回之前在前端进行加盐和哈希处理以保存在数据库?而且,如果是后者,您能否推荐一个好的在线资源来告诉我如何做到这一点?
代码 在 GitHub -
注册组件:https://github.com/lucywho/qiras-folk/blob/main/src/registration.js
密码散列和保存:https://github.com/lucywho/qiras-folk/blob/main/index.js(相关行是 103-128)
(为了完成,盐腌发生在这里:https://github.com/lucywho/qiras-folk/blob/main/bc.js)
非常感谢!
只要通过 HTTPS,就可以将其作为纯文本发送。密码(以及请求中除主机名之外的所有其他内容)将被加密。
你正在做的其他事情,比如使用 bcrypt 和 salting 似乎都很好。
如果这是一个愚蠢的问题,请提前致歉,我仍在学习,我无法在网上找到答案,这让我觉得我可能想得太过分了。
情况 我有一个小的“社交网络”React 应用程序,它要求用户使用标准 html 输入字段注册并设置密码。
密码然后通过 axios 发送到 node.js express 服务器,在那里它被加盐和散列,然后存储在 postgreSQL 数据库中。
我的问题是,将纯文本密码发送到后端是否安全,或者我应该在发送回之前在前端进行加盐和哈希处理以保存在数据库?而且,如果是后者,您能否推荐一个好的在线资源来告诉我如何做到这一点?
代码 在 GitHub - 注册组件:https://github.com/lucywho/qiras-folk/blob/main/src/registration.js 密码散列和保存:https://github.com/lucywho/qiras-folk/blob/main/index.js(相关行是 103-128) (为了完成,盐腌发生在这里:https://github.com/lucywho/qiras-folk/blob/main/bc.js)
非常感谢!
只要通过 HTTPS,就可以将其作为纯文本发送。密码(以及请求中除主机名之外的所有其他内容)将被加密。
你正在做的其他事情,比如使用 bcrypt 和 salting 似乎都很好。