将密码/密码等敏感信息从有角度传递给Webapi的最佳做法是什么?
我们是否需要在发送到webapi之前在客户端对它们进行哈希/加密?
使用https://协议就足以通过线路传递敏感信息而无需加密?
让我知道你的想法。
答案 0 :(得分:0)
使用https进行加密
SSL是安全套接字层,使用各种加密算法(在Web服务器上配置)以加密任何通信,这是保护信息的最佳方法。发送到客户端的任何数据都会受到损害,因此浏览器中的加密(JS非本机)通常被认为是不值得的。
建议去letsencrypt并设置certbot来获取/更新你的证书,这也有助于服务器配置。您可能还想查看一般的服务器强化指南"在linux上我还在服务器端使用一个名为lynis的程序来帮助审计/锁定事情。还有一些公司会评估您的服务器允许的哈希算法,以验证它是否使用任何已知具有漏洞的算法(如heartbleed),通常这些公司被宣传为" PCI认证& #34;公司但测试基本上都是自动化的。 (PCI是支付卡行业或签证/万事达卡保证最佳做法,如果不遵循并且数据丢失,如果您不遵守PCI规则/建议,则可能被视为更负责任)
遵循一般安全性最佳实践并编写不受SQL注入的代码将使您在最不幸的情况下领先,但没有银色安全套(与性能相同):