@ryanlid
@codespots
明文抵达后端，一个项目什么人都有，阴暗和邪恶的人加密前做手脚，这不是没有可能。

@codespots 我不管后端用什么方式加密，我就想问，前端入参之后，后端拿到明文密码这个过程，有没有可能泄漏？

@codespots 有点羞愧经验太少，知识面很单薄，所以在加密方面了解真的比较少，但我肯定知道在服务区不能明文存储，我的意思是在 后端加密存储 之前就一定能保证明文密码不被泄漏吗？

@LeeReamond 其实感觉回帖的也有很多后端，可能他们接触的产品都是明文传输，认为 https 足够安全，可以保证在后端加密入库之前，不会泄漏出去，而且前端加密就三五行代码，花不到几分钟。

@mww 多做一步，成本也不高，泄漏密文也比原始密码强，用户 v2 的密码，有可能也是其他平台的密码。

@lichao 目的就是泄漏密文也比原始密码强，防止撞库，保护用户隐私。

@lriushi 抱歉理解错了，github 和谷歌确实明文传递了，只是猜测会不会和谷歌浏览器的自动填充账号密码功能相关。

@izToDo 这个非常全面，感谢！

@ZE3kr 你说得不无道理，但每个网站和客户端对密码处理方式都不同，可以大大减少撞库概率。

@Nosub 是滴，我的意思就是保证，用户入参之后将原始密码 md5+盐 加密起来，即便是泄露也拿不到原始密码，这样来避免撞库的情况。

@ZE3kr 我这里加密的意义指的是避免密码原文泄露，而不是你所说的变成 md5 不安全，退一万步黑客破解了，那只是拿到了我的密文，而我原始密码没有泄露，像我多个平台都是同一个密码，原文被泄露了可以登陆我其他的应用。

@mayday526 所以你看完我的帖子，泄露原文密码，用户多平台同一个密码，是不是很危险？泄露 md5 是可以换取 token ，只是这个应用被破解，但是只是泄露了一个密文。

@mxT52CRuqR6o5 大佬，你别生气，因为谷歌和微软业务需要在浏览器记录你的登录密码。

@luoway 第三点，那就算不是 md5 加密，有人捕获你的密码也一样能重复登录；这里使用 md 加密的逻辑是，不让别人知道你的密码，然后去其他平台登录，我是这个意思。

@kneo 你说得不无道理，如果是一个钓鱼网站，前端代码在他那，想钓你的密码，也是很简单的。主要还是防止服务端，如果是很乱的公司，指不定有屌毛把明文输出到日志，然后把日志发给外包排查。

@eber 大佬，我就单讨论密码这一个场景，密码也需要逆向？

@eber 不是，注册时候数据库存储了前端传过来的 md5("123456")，登录传输的 md5("123456")字符串，这两个字符串，不能比对吗？你非要逆出来 123456 才能判断是吧？

@996jiucai 没理解我意思，我的意思是前端对用户输入的密码直接 md5 ，后端直接用 md5 后的字符串。登录和注册皆是如此。

@eber 为什么要拿用户密码？你为什么要知道用户的密码是什么呢？滑天下之大稽