Nodejs CreateCiphervs createCipheriv

createCipher仍然是加密静止数据的一种可行和安全的方法吗？

虽然当然不建议使用不推荐的API调用，但是可以使用createcipher创建一个安全的系统。为此，给定的“密码”必须足够强大，以抵御脱机攻击，可能还有并行攻击。为此，给定的密码必须具有足够的熵（必须是足够随机的），不会被猜中。例如，您可以使用密码管理器创建大约80位或更高的密码，并使用这些密码。

使用createcipherIV的解决方案是否总是优于createcipher？

在大多数情况下，您希望使用更高端的加密/解密方法，如加密消息语法(CMS，在PKCS#7)中指定）、PGP或类似的高端协议/容器格式。

如果您真的需要直接使用密码，您应该尝试一下，看看GCM提供的身份验证加密是否是一种选择。