Шифрование сообщения сервера клиентов

Question

Я использую клиент Ionic 2 и Java Server (Java8), который имеет службы RESTful. Когда пользователь регистрируется в настоящее время, я отправляю запрос от клиента в службу RESTful. Это передает объект javascript Person для объекта java Person.

Вопрос 1

Означает ли это, что пароль не подвергается. Или это?

Вопрос 2

Когда сервер получает Person объект, он извлекает password строку и сохраняет ее в базе данных MySQL.

Я хотел был бы зашифровать этот пароль, поэтому когда кто-то смотрит на базу данных, они не могут прочитать пароль. Тогда, читая из базы данных, мне нужно будет снова расшифровать ее.

Может кто-нибудь может рекомендовать лучшую и простую стратегию для вышеуказанных 2 вопросов.

Спасибо

Answer 1

Q1. Для безопасного транспорта между клиентом и сервером используется HTTPS.

Q2. Не шифруйте пароли, когда злоумышленник получает БД, он также получит ключ шифрования. Итерацию над HMAC со случайной солью в течение приблизительно 100 мс и сохранение соли с хешем. Используйте такие функции, как password_hash, PBKDF2, Bcrypt и аналогичные функции. Дело в том, чтобы заставить злоумышленника потратить много времени на поиск паролей грубой силой.