如何通过https在用户和服务器之间进行通信答案

【问题标题】：How to communicate between User and Server via https如何通过https在用户和服务器之间进行通信
【发布时间】：2021-07-12 18:59:42
【问题描述】：

我正在开发一个具有有效登录功能的测试页。在服务器端，每个密码都是加密的。我想知道用户输入的密码是否应该在发送到服务器后端之前进行加密，或者因为测试页使用 HTTPS，所以这不是必需的。

正如您在屏幕截图中看到的，用户名/电子邮件和密码作为路由请求有效负载发送到服务器，电子邮件和密码在检查器工具中都是完全可读的。截屏： Network request

如果即使使用 https 也需要加密，服务器获取的密码的解密将如何工作？（不需要代码，只要解释一下这个概念就很好了）

感谢您的回答。 :)

【问题讨论】：

【解决方案1】：

不需要另一层加密。 SSL/TLS（以及扩展的 HTTPS）确保离开您计算机的包是加密的，因此没有人，比如可以拦截用户或服务器网络流量的攻击者，可以读取或修改服务器-客户端之间的明文 HTTP 流量，就像您可以使用检查器工具一样，从而捕获传输的凭据。

但是，请确保您使用由 CA 颁发的强大的安全证书。自签名证书或无法由受信任的 CA 验证的证书会使客户端-服务器之间的连接容易受到中间人攻击。

【讨论】：