目录一、先搞清楚登录时到底加密了哪些数据1. 核心加密用户原始明文密码最关键2. 常见附加加密 / 参与运算的数据二、登录常用加密 / 签名算法区分「加密」和「哈希」1. 主流算法分类 用途1单向哈希算法最常用不可逆主流登录方案2对称加密可逆较少单独用3非对称加密RSA 最经典HTTPS 登录双重保障三、每种加密方式的核心作用1. 为什么非要加密密码底层目的2. 盐值Salt的作用3. 时间戳 随机串Nonce的作用4. RSA 非对称加密的作用5. HMAC 带密钥哈希的作用四、3 套真实行业主流登录完整流程从简单到高安全场景一最简单方案MD5 加盐中小型网站 / 旧系统适用普通论坛、小官网、小型后台完整步骤优缺点场景二标准主流方案动态盐 时间戳 SHA256/HMAC现在最多网站用适用电商、APP、主流资讯站、企业系统完整流程这套方案的优势场景三最高安全方案RSA 非对称加密 HTTPS 双层防护金融 / 银行 / 政务 / 大厂适用网银、支付、证券、企业核心后台、涉密系统完整流程为什么这么设计五、关键补充知识点避坑 常见疑问1. 哈希 ≠ 加密为什么登录不用可逆加密2. 浏览器抓包能看到什么3. 前端加密安全吗会不会被 JS 逆向破解4. HTTPS 已经加密了为什么还要单独加密密码六、一句话总结整套逻辑网站登录加密核心目标防明文抓包、防密码泄露、防中间人劫持、防重放攻击下面分「加密什么、用什么算法、完整流程、每种加密的作用」一步步讲透。一、先搞清楚登录时到底加密了哪些数据正常登录请求里不会只加密密码分必加密项和辅助加密项1. 核心加密用户原始明文密码最关键用户在输入框填的123456、abc123这类原始密码绝对不能直接传给服务器这是加密第一目标。2. 常见附加加密 / 参与运算的数据根据网站安全等级不同会追加参数一起加密用户名 / 账号部分站点把账号 密码拼接后整体加密随机盐值Salt服务端下发的临时随机字符串高频时间戳Timestamp当前时间防重放攻击必备随机串Nonce / 随机数前端本地生成或后端下发的一次性随机串设备 ID、浏览器标识、请求序号高安全站点金融、后台、APP会加总结绝大多数场景 明文密码 盐值 时间戳做加密 / 签名。二、登录常用加密 / 签名算法区分「加密」和「哈希」很多人混淆加密可解密和哈希摘要不可逆登录场景99% 用不可逆哈希 / 签名很少用可逆加密。1. 主流算法分类 用途1单向哈希算法最常用不可逆主流登录方案特点加密后无法还原出原始密码只做「比对校验」MD5老牌、速度快现在单纯 MD5 不安全基本都会加盐使用SHA1 / SHA256 / SHA512安全强度更高现在主流网站首选HMAC-SHA256/HMAC-MD5带密钥的哈希安全性远高于普通哈希大厂、金融站标配2对称加密可逆较少单独用AES、DES、3DES加密后可以解密。 一般不单独加密密码多用于「传输密钥」搭配哈希使用。3非对称加密RSA 最经典HTTPS 登录双重保障RSA公钥加密、私钥解密。 高安全站点流程前端用服务端公钥加密密码 / 哈希结果后端用私钥解密。三、每种加密方式的核心作用1. 为什么非要加密密码底层目的防止抓包窃听用 Fiddler、Charles、浏览器开发者工具抓包看不到原始密码就算数据包被截获也没用。防止数据库拖库泄露就算网站数据库被攻破黑客拿到的也是哈希串还原不出真实密码。防止中间人攻击公共 WiFi、代理环境下别人拦截不到明文账号密码。2. 盐值Salt的作用避免彩虹表破解相同密码加不同盐值哈希结果完全不一样。就算两人密码都是123456加盐后密文互不相同。3. 时间戳 随机串Nonce的作用防重放攻击 黑客截取一次合法登录数据包反复重发尝试登录。 因为时间戳 / 随机串每次都变旧密文会直接失效。4. RSA 非对称加密的作用公钥公开给前端所有人都能用来加密只有服务端持有私钥只有服务器能解密全程密钥不传输杜绝密钥泄露。5. HMAC 带密钥哈希的作用相当于「哈希 内置密钥」比单纯 MD5/SHA 多一层密钥防护破解难度指数上升。四、3 套真实行业主流登录完整流程从简单到高安全按中小型网站 → 中型平台 → 金融 / 大厂高安全站点分三套覆盖 99% 互联网场景。场景一最简单方案MD5 加盐中小型网站 / 旧系统适用普通论坛、小官网、小型后台完整步骤用户操作前端输入用户名user01 明文密码123456点击登录。前端处理加密前端拼接字符串明文密码 固定盐值示例123456 abcdef123对拼接结果做MD5 哈希得到密文e10adc3949ba59abbe56e057f20f883e。前端发请求传给后端参数usernameuser01passworde10adc3949ba59abbe56e057f20f883e后端校验后端取出数据库中该用户预存的密码哈希值数据库绝不存明文对比「前端传过来的密文」和「数据库存储的密文」一致 登录成功不一致 密码错误。优缺点优点简单、性能高、开发成本低缺点盐值写死在前端 JS可被逆向找到无时间戳存在重放风险。场景二标准主流方案动态盐 时间戳 SHA256/HMAC现在最多网站用适用电商、APP、主流资讯站、企业系统核心升级盐值不再固定每次登录后端下发新盐 时间戳防重放完整流程前置请求获取临时参数用户打开登录页 / 调出登录框前端先请求后端接口/getLoginParams后端返回临时随机盐salt x9s2k7gq每次登录都不一样当前时间戳timestamp 1718900000可选随机串nonce 87654321前端拼接 哈希加密规则示例密码 盐值 时间戳 nonce对拼接串执行SHA256 / HMAC-SHA256生成最终签名串sign。前端提交登录请求提交参数usernamexxxsignxxxtimestampxxxnoncexxx不再传输原始密码。后端校验逻辑三步校验时间戳判断是否过期比如超过 30 秒直接拒绝防重放用相同规则取出该用户数据库密码哈希 本次盐值 时间戳重新计算sign前后 sign 一致 → 登录成功。这套方案的优势动态盐单次有效逆向拿到 JS 也没用时间戳数据包过期重放攻击失效SHA256/HMAC哈希强度远高于 MD5。场景三最高安全方案RSA 非对称加密 HTTPS 双层防护金融 / 银行 / 政务 / 大厂适用网银、支付、证券、企业核心后台、涉密系统逻辑HTTPS 做通道加密 RSA 单独加密密码双重保险补充所有网站现在都走 HTTPS传输层加密但 HTTPS 只防链路窃听前端源码里仍能看到加密规则所以业务层还要再加一层登录加密。完整流程页面加载前端请求后端获取 RSA 公钥公钥公开所有人可见。用户输入账号、明文密码。前端加密用拿到的RSA 公钥对原始明文密码进行加密得到 RSA 密文。 RSA 是可逆加密但只有服务端私钥能解密前端组装参数账号 RSA 密文密码 时间戳 随机串通过HTTPS发送请求。链路层HTTPS 再次加密整个请求包全程链路密文传输。后端解密 校验后端用自己RSA 私钥解密密文还原出用户原始密码后端将原始密码 数据库盐值计算哈希和数据库存储的密码哈希对比完成登录校验。为什么这么设计HTTPS防链路抓包、中间人窃听RSA 公钥加密密码就算前端 JS 被逆向、页面被篡改没有私钥也解不出密码时间戳 / 随机串杜绝重放攻击数据库依然只存哈希就算库泄露密码依旧安全。五、关键补充知识点避坑 常见疑问1. 哈希 ≠ 加密为什么登录不用可逆加密可逆加密AES/RSA能解出原文。如果后端数据库存加密后的密码一旦密钥泄露全量密码直接被破解。单向哈希MD5/SHA不可逆。数据库只存哈希摘要这是行业标准规范。结论密码永久只存哈希不存明文、不存可逆密文。2. 浏览器抓包能看到什么加密做得规范抓包只能看到哈希串 / RSA 密文、时间戳、盐值看不到原始密码完全不加密抓包直接看到password123456极度危险。3. 前端加密安全吗会不会被 JS 逆向破解前端加密不是为了防用户 / 逆向核心是防链路抓包、防简单窃取真正防破解靠动态盐、时间戳、RSA、接口时效性、风控拦截纯前端固定 MD5无盐、无时间戳 形同虚设。4. HTTPS 已经加密了为什么还要单独加密密码HTTPS 是传输通道加密只保证「路上不被窃听」攻击者拿到用户电脑 / 劫持前端页面就能看到明文密码业务层密码加密是应用层防护双重兜底。六、一句话总结整套逻辑加密内容核心是用户明文密码搭配盐值、时间戳、随机串一起运算核心作用防抓包、防彩虹表、防拖库泄露、防重放攻击通用流程 前端获取动态参数 → 按规则对密码做哈希 / RSA 加密 → 提交密文给后端 → 后端同规则验算 / 解密 → 比对完成登录。