Javascript加密库

使用crypto js等JavaScript库实现HMAC的效果如何

在crypto js网站提供的示例中 []提到了

var hash = CryptoJS.HmacSHA512("Message", "Secret Passphrase");

如果java脚本文件本身中提到了密钥，任何人都可以检查视图源代码并了解密钥

我的理解正确吗

---

另外，请告诉我何时需要在web应用程序中使用此类加密javascript库？

是的，你说得对。以下是要点：

首先 该工作可以在服务器端使用node.js。所以，密钥没有安全问题

其次 在客户端，存在安全问题，但HMAC-X函数用于对消息进行签名，因此正常的工作流程是使用用户机密密码短语对消息进行签名，然后在网络上发送消息（签名的消息，而不是机密消息）。作业完成后，应删除该机密

---

所以用户可以通过调试代码来获取这个秘密，但这是他的秘密。。。事实上没有真正的安全问题。

您想保护什么？@SLaks我正在开发一个示例web应用程序，希望在不使用HTTPS/SSL的情况下确保AJAX调用的安全。我偶然发现了这个JS库，没有HTTPS就根本不可能增加安全性；攻击者只需在JS代码中添加一个键盘记录器即可。@SLaks那么什么时候应该使用这些JS库呢？只是好奇。是的，但是如果没有HTTPS，攻击者可以窃取密码。@Rémi Becheras，您是否可以共享一些关于您在回答中提到的“第二种”方法的链接或信息。谢谢