这是一个挺有意思的问题,很多公司也在面试中问过。挺简单的,不知道大家平时在重置密码的时候有没有想过这个问题。
回答这个问题其实就一句话:因为服务端也不知道你的原密码是什么。存原密码的程序员已经被开了 🤣。
如果服务端知道你的原密码,那就是严重的安全风险问题了。
我们这里来简单分析一下。
开始之前,先说两个常见的场景:
- 负载均衡:由于访问人数太多,我们的网站部署了多台服务器个共同提供相同的服务,但每台服务器上存储的数据不同。为了保证请求的正确响应,相同参数(key)的请求(比如同个 IP 的请求、同一个用户的请求)需要发到同一台服务器处理。
- 分布式缓存:由于缓存数据量太大,我们部署了多台缓存服务器共同提供缓存服务。缓存数据需要尽可能均匀地分布式在这些缓存服务器上,通过 key 可以找到对应的缓存服务器。
这两种场景的本质,都是需要建立一个从 key 到服务器/节点的稳定映射关系。
加密算法是一种用数学方法对数据进行变换的技术,目的是保护数据的安全,防止被未经授权的人读取或修改。加密算法可以分为三大类:对称加密算法、非对称加密算法和哈希算法(也叫摘要算法)。
日常开发中常见的需要用到加密算法的场景:
- 保存在数据库中的密码需要加盐之后使用哈希算法(比如 BCrypt)进行加密。
- 保存在数据库中的银行卡号、身份号这类敏感数据需要使用对称加密算法(比如 AES)保存。
- 网络传输的敏感数据比如银行卡号、身份号需要用 HTTPS + 非对称加密算法(如 RSA)来保证传输数据的安全性。
- ……