楼主你说的没问题，但不是所有业务都需要那么高的安全级别，再直白一点，有成本

“另外更简单的一个思考，如果不用明文、我们实现上增加了什么成本，带来了收益，有什么损失”，我来说说有什么成本：
1. 你密码加密用什么方式，RSA ？还是先 RSA 传递密钥再 AES ？
2. 密钥轮换策略呢？为了安全最后是每个用户密钥不一样，还有保存和轮换的问题
3. 密码要加密，传递的用户敏感信息（比如身份证号）是否要加密呢。你不要说这个不用，按严格的隐私保护策略，也需要，防止中间层泄露
再扯远点按欧盟或者一些其它地方的隐私保护，你很多数据存数据库都是要加密的，但为什么不做，还是成本

https 为什么能铺开，就是因为应用层不需要任何修改，网关加一层 https 就行。再加上浏览器厂商的强制推行，这才普及，不然没人改的。

工作这么多年（ TOP3 大厂），非资金或者涉密相关的业务，就普通 web/app 。安全很多时候都是嘴上说说，而且很多人嘴上都没说对。但近几年为什么安全确实越来越重视了，1 是法律法规的影响（不说欧盟，国内也有，这不信息安全月才过去）。2 是各种平台的严格审核，最常见的就是 Android 日志里面不能打印隐私信息，拒审几次就教做人了 3 是安全事故确实影响大（倒不是说用户信息多少珍贵，是舆情风险）
说的这些并不是说我不赞同做的更安全（反而我是 ToB 的，某些场景为了安全投入了 N 倍的开发成本），但实际情况就是有很多成本和意识问题。