不要再明文传输密码了

· / ·

閱讀

AI 產生的摘要

AI · GEN

前言

最近用 Next.js 写了一些前后端项目，其中使用了 better-auth 做用户认证。

不过实践中发现 AI 直接写相关的代码很容易就明文传输密码了，虽然线上正常都会走 HTTPS，传输层已经有 TLS 加密，但这并不意味着就可以随便把密码明文塞进请求体里。
HTTPS 只能保证浏览器到 TLS 终止点（如 nginx）之间的传输安全，密码在反代、网关、日志、数据库等仍然以明文形式出现，这意味着任何人只要能拿到这些访问权限，就能顺利登录所有人的账号，个人项目完全可以忽略密码加密，但显然不是一个产品能接受的。

因此有了这篇博客，讲解如何使用 better-auth 时在应用层对密码进行 RSA 非对称加密，或许将语料为给 AI 也能在其他项目中实现类似的，但请遵守 MIT 协议进行署名，详见文尾。

整体流程

用户在浏览器输入密码。
前端读取 NEXT_PUBLIC_RSA_PUBLIC_KEY。
使用 RSA-OAEP 对密码加密。
加密包里附带时间戳、随机盐、请求 ID、HMAC 签名。
前端把加密后的字符串传给 better-auth。
服务端在 better-auth 的 password.hash / password.verify 中解密。
最终数据库里只保存 bcrypt hash。

整个流程中，明文密码仅出现在用户输入密码时。

客户端加密

CodeBlock Loading...

这里没有只加密密码本身，而是把几个字段一起放进了 RSA 密文里：

TEXT

password|timestamp|salt|requestId

其中：

password 是用户输入的原始密码。
timestamp 用于判断请求是否过期。
salt 让相同密码每次生成不同密文。
requestId 用于防重放攻击。

登录页面中，提交给 better-auth 前会先调用 rsaEncrypt。

CodeBlock Loading...

注册时也是一样：

CodeBlock Loading...

这样抓包时看到的 password 字段已经不是原始密码，而是一段 RSA 加密后的数据包。

服务端解密

首先用私钥解密：

CodeBlock Loading...

然后统一做校验：

CodeBlock Loading...

这里主要做了几件事：

检查加密包格式。
检查时间戳是否过期。
检查 requestId 是否已经用过。
用 RSA 私钥解密。
检查外层时间戳和内层时间戳是否一致。
检查外层请求 ID 和内层请求 ID 是否一致。
校验 HMAC 签名。
返回密码的 bcrypt hash。

requestId 的去重使用 Redis：

CodeBlock Loading...

也就是只有第一次请求能写入成功，后续重复使用同一个 requestId 会被拒绝，防重放。

公钥私钥对的生成命令如下：

BASH

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private_key.pem
openssl rsa -in private_key.pem -pubout -out public_key.pem

当然直接用ssh-keygen也是可行的，以及务必需要保证私钥的安全。

接入 better-auth

better-auth 默认会处理邮箱密码登录，不过这里需要自定义密码处理逻辑以实现加密和哈希。

CodeBlock Loading...

这里有一个细节：better-auth 的 minPasswordLength 被设置成了 1，maxPasswordLength 设置成了 4096。
原因是传给 better-auth 的已经不是原始密码了，而是 RSA 加密后的数据包。如果继续用默认长度限制，很容易在 better-auth 层就被拦截。
如果需要限制密码长度，只能放在客户端 rsaEncrypt 中进行。

当然，better-auth 默认只有在登录和注册的场景下会需要验证密码，诸如修改密码、注销账户之类的地方，只要复用 rsaEncrypt 和 rsaDecryptAndValidate 即可。

better-auth 其他安全配置

除了密码加密，还可以在初始化 betterAuth 时配置了一些安全项：

CodeBlock Loading...

含义大致如下：

不关闭 CSRF 检查。
生产环境使用 Secure Cookie。
Cookie 设置 httpOnly。
Cookie 设置 sameSite: "lax"。

以及登录、注册、找回密码的限流：

CodeBlock Loading...

这样可以减少撞库、刷注册、刷邮件等问题。

前言

最近用 Next.js 写了一些前后端项目，其中使用了 better-auth 做用户认证。

整体流程

用户在浏览器输入密码。
前端读取 NEXT_PUBLIC_RSA_PUBLIC_KEY。
使用 RSA-OAEP 对密码加密。
加密包里附带时间戳、随机盐、请求 ID、HMAC 签名。
前端把加密后的字符串传给 better-auth。
服务端在 better-auth 的 password.hash / password.verify 中解密。
最终数据库里只保存 bcrypt hash。

整个流程中，明文密码仅出现在用户输入密码时。

客户端加密

export async function rsaEncrypt(password: string, publicKey: string): Promise<string> {
  const timestamp = Date.now().toString();
  const salt = generateSalt(16);
  const requestId = generateRequestId();
  const dataToEncrypt = `${password}|${timestamp}|${salt}|${requestId}`;
  const publicKeyObj = forge.pki.publicKeyFromPem(
    `-----BEGIN PUBLIC KEY-----\n${publicKey}\n-----END PUBLIC KEY-----`,
  );
  const encrypted = publicKeyObj.encrypt(dataToEncrypt, "RSA-OAEP", {
    md: forge.md.sha256.create(),
    mgf1: {
      md: forge.md.sha256.create(),
    },
  });
  const encryptedData = forge.util.encode64(encrypted);
  const hmacKey = forge.md.sha256.create()
    .update(timestamp + salt)
    .digest()
    .toHex();
  const signature = computeHMAC(encryptedData, hmacKey);
  return `${encryptedData}$${signature}$${timestamp}$${requestId}`;
}

CodeBlock Loading...

这里没有只加密密码本身，而是把几个字段一起放进了 RSA 密文里：

TEXT

password|timestamp|salt|requestId

其中：

password 是用户输入的原始密码。
timestamp 用于判断请求是否过期。
salt 让相同密码每次生成不同密文。
requestId 用于防重放攻击。

登录页面中，提交给 better-auth 前会先调用 rsaEncrypt。

await authClient.signIn.email({
  email: formData.email,
  password: await rsaEncrypt(formData.password, publicKey),
  rememberMe,
  callbackURL: callbackUrl,
});

CodeBlock Loading...

注册时也是一样：

await authClient.signUp.email({
  email: formData.email,
  password: await rsaEncrypt(formData.password, publicKey),
  name: formData.name,
  organization: formData.organization,
  callbackURL: "/sign-up",
});

CodeBlock Loading...

这样抓包时看到的 password 字段已经不是原始密码，而是一段 RSA 加密后的数据包。

服务端解密

首先用私钥解密：

const rsaDecrypt = (encryptedData: string): string => {
  const encryptedBytes = forge.util.decode64(encryptedData);
  const privateKey = forge.pki.privateKeyFromPem(privateKeyText);
  const decryptedBytes = privateKey.decrypt(encryptedBytes, "RSA-OAEP", {
    md: forge.md.sha256.create(),
    mgf1: {
      md: forge.md.sha256.create(),
    },
  });
  return decryptedBytes;
};

CodeBlock Loading...

然后统一做校验：

export const rsaDecryptAndValidate = async (encryptedPackage: string): Promise<string> => {
  const parts = encryptedPackage.split("$");
  if (parts.length !== 4) {
    throw new Error("无效的数据包格式");
  }
  const [encryptedData, signature, timestampStr, requestId] = parts;
  if (!validateTimestamp(timestampStr)) {
    throw new Error("请求已过期，请重试");
  }
  const isNew = await validateRequestId(requestId);
  if (!isNew) {
    throw new Error("无效的请求，请重试");
  }
  const decryptedData = rsaDecrypt(encryptedData);
  const dataParts = decryptedData.split("|");
  if (dataParts.length !== 4) {
    throw new Error("无效的数据格式");
  }
  const [actualPassword, innerTimestamp, salt, innerRequestId] = dataParts;
  if (innerTimestamp !== timestampStr) {
    throw new Error("数据完整性验证失败");
  }
  if (innerRequestId !== requestId) {
    throw new Error("数据完整性验证失败");
  }
  const hmacKey = forge.md.sha256.create()
    .update(timestampStr + salt)
    .digest()
    .toHex();
  const expectedSignature = computeHMAC(encryptedData, hmacKey);
  if (signature !== expectedSignature) {
    throw new Error("数据完整性验证失败");
  }
  if (!actualPassword) {
    throw new Error("密码不能为空");
  }
  return actualPassword;
};

CodeBlock Loading...

这里主要做了几件事：

检查加密包格式。
检查时间戳是否过期。
检查 requestId 是否已经用过。
用 RSA 私钥解密。
检查外层时间戳和内层时间戳是否一致。
检查外层请求 ID 和内层请求 ID 是否一致。
校验 HMAC 签名。
返回密码的 bcrypt hash。

requestId 的去重使用 Redis：

const result = await redisClient.set(key, "1", {
  NX: true,
  EX: REQUEST_ID_TTL,
});

CodeBlock Loading...

也就是只有第一次请求能写入成功，后续重复使用同一个 requestId 会被拒绝，防重放。

公钥私钥对的生成命令如下：

BASH

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private_key.pem
openssl rsa -in private_key.pem -pubout -out public_key.pem

当然直接用ssh-keygen也是可行的，以及务必需要保证私钥的安全。

接入 better-auth

better-auth 默认会处理邮箱密码登录，不过这里需要自定义密码处理逻辑以实现加密和哈希。

export const auth = betterAuth({
  emailAndPassword: {
    enabled: true,
    minPasswordLength: 1,
    maxPasswordLength: 4096,
    requireEmailVerification: true,
    password: {
      hash: async (password) => {
        const decryptedPassword = await rsaDecryptAndValidate(password);
        return bcrypt.hash(decryptedPassword, 10);
      },
      verify: async ({ hash, password }) => {
        const decryptedPassword = await rsaDecryptAndValidate(password);
        return bcrypt.compare(decryptedPassword, hash);
      },
    },
  },
});

CodeBlock Loading...

better-auth 其他安全配置

除了密码加密，还可以在初始化 betterAuth 时配置了一些安全项：

advanced: {
  disableCSRFCheck: false,
  useSecureCookies: isProduction,
  defaultCookieAttributes: {
    sameSite: "lax",
    httpOnly: true,
    secure: isProduction,
    path: "/",
  },
}

CodeBlock Loading...

含义大致如下：

不关闭 CSRF 检查。
生产环境使用 Secure Cookie。
Cookie 设置 httpOnly。
Cookie 设置 sameSite: "lax"。

以及登录、注册、找回密码的限流：

rateLimit: {
  enabled: isProduction,
  customRules: {
    "/sign-up/email": {
      window: 60,
      max: 1,
    },
    "/request-password-reset": {
      window: 60,
      max: 1,
    },
    "/sign-in/email": {
      window: 30,
      max: 5,
    },
  },
}

CodeBlock Loading...

这样可以减少撞库、刷注册、刷邮件等问题。