一个有争议的话题：客户端密码加密有必要吗？

👉 这是一个或许对你有用 的社群

🐱 一对一交流/面试小册/简历优化/求职解惑，欢迎加入 「 芋道快速开发平台 」 知识星球。 下面是星球提供的部分资料：

• 《项目实战（视频）》 ：从书中学，往事上 “练 ”
• 《互联网高频面试题》 ：面朝简历学习，春暖花开
• 《架构 x 系统设计》 ：摧枯拉朽，掌控面试高频场景题
• 《精进 Java 学习指南》 ：系统学习，互联网主流技术栈
• 《必读 Java 源码专栏》 ：知其然，知其所以然

来源：江南一点雨

• 一 烫手山芋
• 二 什么是慢 hash
• 三 一次用户注册

和小伙伴们讨论一个有争议的话题：

• 密码加密需要在客户端进行吗？

有的人觉得密码加密直接在服务端进行就可以了，没必要在客户端做；当然也有人觉得可以在客户端进行密码加密，降低服务器的压力。

你要问松哥项目中是怎么做的，我会告诉你我们在客户端就对密码加密了。

为什么这么做呢？

我来和大家聊聊我们是怎么考虑的。

一 烫手山芋

首先我们有一个共识，就是明文密码是一个烫手山芋，是一个定时炸弹，应该尽早处理。

把这样一个炸弹从前端运到后端再进行加密处理，似乎并非一个好的办法。应该尽早对炸弹进行处理，然后再进行运输。

那么在客户端就对密码进行加密的目的是什么？防止密码在传输过程中泄露吗？

显然不是！

对于重放攻击来说，人家压根不 care 你是否在客户端加密密码，对于重放攻击来说，密码是否在客户端进行加密，问题都不大。

❝

什么是重放攻击？ 重放攻击（Replay Attack）是一种网络安全攻击，攻击者通过截获并重新发送之前捕获的数据包，以实现对系统的欺诈或破坏。这种攻击通常发生在没有正确实现消息认证和完整性保护的系统中。 一般来说，重放攻击有三个特点：

1. 无需破解加密：攻击者不需要知道加密算法或密钥，只需复制和重放数据包。