我正在使用 Java/JSP 制作一个小型社交网络网站。我想将密码加密然后存储在数据库中。我想知道现在是否需要使用 javascript (sha1,md5,..) 加密客户端密码,然后将其发送到服务器,或者它足够安全,可以忽略客户端并仅在服务器端加密密码。
最佳答案
您需要通过 TLS (SSL) 在客户端和服务器之间传输密码。然后,使用成本因子为 16 或更高的 bcrypt
(或具有 64k 迭代或更多的 PBKDF2)在服务器上对密码进行哈希处理。
关于java - Java 中的客户端和服务器端密码加密,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8361093/