是在客户端加密传输给服务器还是以明文走https/tls ,服务器端 BCrypt加密
你得搞清楚加密主要是为了防范什么。
要防范4个环节:
(1)有人捡到手机,从它的存储中获取“记住密码”功能而保存的明文密码
对策:不应该在客户端存储密码的原文,而是应该存储token值(登录成功随机由服务器生成)。
(2)私有的wifi的监听,中间人获取你的密码,或者伪造一个服务器端获取你的密码
对策:使用SSL加密传输
(3)服务器被攻破,俗称拖库,比如csdn 600万事件,某酒店开房数据泄漏事件。
对策:服务器也不要存储明文密码,而是存储hash值,比如用md5/sha来存储。
(4)有人虽然不知道你的密码,但是随机猜测、用同一个账户在别的网站的密码来尝试,或者用字典穷举
对策:限制单位时间内尝试输入的密码的次数,验证码,防止机器穷举
一般来说,密码加密这些逻辑代码服务端负责,有服务端管理
app端尽量使用md5等先加密一下,以免上传被截取