我正在为一个论坛编写登录功能,在将密码发送到服务器之前需要在Javascript中对其进行哈希。我有些困惑,不知道哪种SHA-256实现是可靠的。我原本以为会有一些权威的脚本是大家都用的,但我发现有很多不同的项目,它们都有自己的实现。
我知道使用别人的加密代码总是要冒风险的,除非你有资格自行审查它,而且没有普遍公认的“可信”定义,但这似乎是一个常见而且重要的问题,应该有一些共识。难道我太天真了吗?
编辑:因为评论区经常出现这个问题,所以我补充一下:是的,我们会在服务器端再次进行更严格的哈希处理。客户端哈希不是我们保存在数据库中的最终结果。客户端哈希是因为人类客户端请求它。他们并没有给出具体的原因,可能只是觉得太保险了。