在前端加密用户密码有什么意义？

Question

我正在使用一个 API，该 API 要求在发送到服务器之前使用服务器的公钥对用户密码进行加密。如果整个请求，包括用户名/密码等。通过HTTPS发送，密码加密不是多余的吗？

Answer 1

根据服务器体系结构，这种加密可能会有所帮助。例如，可以在网络周围终止（解密）TLS（HTTPS）连接，以简化负载平衡或扫描流中的恶意数据包。分别加密密码即使从边缘服务器中保护密码，因此能够妥协的攻击者仍然无法访问密码。

就我个人而言，我在发送之前，我会伸展（即PBDKF2）密码。这样可以确保服务器根本看不到原始密码。但是，即使在该配置中，当TLS流早期解密时，哈希的额外加密也可能有用。