问题描述
我正在构建一个在 URL 请求中发送密码/电子邮件的应用:
例如 http://localhost:3000/getUserId/email?email=myEmail@gmail.com 或与密码相同
我不希望这些敏感信息在网络上可见,并希望进一步保护它免受潜在的黑客攻击或嗅探。
前端使用 React.js,后端使用 Node.js - 我如何加密这些敏感信息? 我想使用 btoa 和 atob 是不够的,因为任何人都可以使用它们进行解密,对吗?
解决方法
您至少有两个问题。
如果您通过网络发送电子邮件地址和密码等机密信息,您不仅要对其进行加密,还要确保潜在的基于网络的攻击者无法改变流量。这是通过使用基于 TLS 的 HTTP 或更广为人知的 HTTPS 来实现的。
另一件事是永远不应在 URL 中设置密码。大多数 Web 服务器都提供日志记录功能,并在这种情况下愉快地记录密码。但由于密码应该是 hashed repeatedly,这会破坏该目的。