@eber 我失去虚心，是因为你一开始就阴阳怪气的攻击，让我非常不舒服，感觉自己很牛逼，其实最不虚心的就是这种人，对技术没有敬畏之心，认为 https 安全就可以什么都不做，而且探讨话题的时候，不断对别人进行攻击，这就是你的乐趣。即便你技术再好，但其实你这种人，现实中应该非常难相处，绝对的。

其实自认为自己达到了至高境界，认为自己理解的就是对的，殊不知其实很多企业都是将密码不可逆（ md5+加盐）加密到后端的，你就骂吧，但你绝对是一个极其骄傲的人，你只是活在自己的世界里面。本身我所说的前端加密的意义不是考虑本地安全，而是防止传输或者后端人员参差不齐，导致加密入库之前泄漏，你自己一直在说本地上网环境、电脑安全的角度，所以你自己一直按照你自己理解别人那样来贬低别人？

@rahuahua 加盐呀，每个网站加盐又不一样。

@ryanlid
@codespots
明文抵达后端，一个项目什么人都有，阴暗和邪恶的人加密前做手脚，这不是没有可能。

@codespots 我不管后端用什么方式加密，我就想问，前端入参之后，后端拿到明文密码这个过程，有没有可能泄漏？

@codespots 有点羞愧经验太少，知识面很单薄，所以在加密方面了解真的比较少，但我肯定知道在服务区不能明文存储，我的意思是在 后端加密存储 之前就一定能保证明文密码不被泄漏吗？

@LeeReamond 其实感觉回帖的也有很多后端，可能他们接触的产品都是明文传输，认为 https 足够安全，可以保证在后端加密入库之前，不会泄漏出去，而且前端加密就三五行代码，花不到几分钟。

@mww 多做一步，成本也不高，泄漏密文也比原始密码强，用户 v2 的密码，有可能也是其他平台的密码。

@lichao 目的就是泄漏密文也比原始密码强，防止撞库，保护用户隐私。

@lriushi 抱歉理解错了，github 和谷歌确实明文传递了，只是猜测会不会和谷歌浏览器的自动填充账号密码功能相关。

@izToDo 这个非常全面，感谢！

@ZE3kr 你说得不无道理，但每个网站和客户端对密码处理方式都不同，可以大大减少撞库概率。

@Nosub 是滴，我的意思就是保证，用户入参之后将原始密码 md5+盐 加密起来，即便是泄露也拿不到原始密码，这样来避免撞库的情况。

@ZE3kr 我这里加密的意义指的是避免密码原文泄露，而不是你所说的变成 md5 不安全，退一万步黑客破解了，那只是拿到了我的密文，而我原始密码没有泄露，像我多个平台都是同一个密码，原文被泄露了可以登陆我其他的应用。

@mayday526 所以你看完我的帖子，泄露原文密码，用户多平台同一个密码，是不是很危险？泄露 md5 是可以换取 token ，只是这个应用被破解，但是只是泄露了一个密文。

@mxT52CRuqR6o5 大佬，你别生气，因为谷歌和微软业务需要在浏览器记录你的登录密码。

@luoway 第三点，那就算不是 md5 加密，有人捕获你的密码也一样能重复登录；这里使用 md 加密的逻辑是，不让别人知道你的密码，然后去其他平台登录，我是这个意思。

@kneo 你说得不无道理，如果是一个钓鱼网站，前端代码在他那，想钓你的密码，也是很简单的。主要还是防止服务端，如果是很乱的公司，指不定有屌毛把明文输出到日志，然后把日志发给外包排查。

@eber 大佬，我就单讨论密码这一个场景，密码也需要逆向？

@eber 不是，注册时候数据库存储了前端传过来的 md5("123456")，登录传输的 md5("123456")字符串，这两个字符串，不能比对吗？你非要逆出来 123456 才能判断是吧？