React + Django 在 HTTP 请求中发送原始密码，安全性讨论

Posted 2023-03-08

【中文标题】React + Django 在 HTTP 请求中发送原始密码，安全性讨论

【英文标题】：React + Django send raw password in HTTP request, security discussion

【发布时间】：2021-10-22 11:45:06

【问题描述】：

我是 Django 新手，我正在研究用户身份验证部分。我使用了 Django 提供的 User 模型，并在用户登录时使用 auth() 和 login() 方法。

我有一个关于密码安全的问题，希望在这里讨论一下。

当 auth() 函数对原始密码进行哈希处理，然后比较用户名和哈希密码时。这意味着前端需要以原始数据的形式发送密码。 （否则会被哈希两次）。

在原始数据中发送密码不安全吗？如果我想在前端对密码进行哈希处理，然后将请求发送给 Django，在这种情况下我该怎么办？

【问题讨论】：

使用post请求并在正文中发送密码应该没问题

谢谢，我做了一些研究，我认为如果我们在 HTTPS 中做应该没问题

【参考方案1】：

post请求中传密码就可以了

但为了更安全，你可以加密数据...

【讨论】：

在反应？我正在考虑，但 auth() 方法会在与数据库比较之前再次加密密码