讲道理，炒 A 股，还得研究龙头战法，大肉小面，研究业绩财报没什么卵用。打中一次龙，够你吃好几次面。控制面的尺度，龙头不收阴，就不下车。

@jhdxr 不记录 body ，无法排查入参是什么，我公司做政务系统的敏感的信息（身份证，电话）都会脱敏，比如 158****4278 。

@ryanlid 请问怎么动手脚呢？他能知道我的明文密码吗？这里动不了手脚指的是，无法得到我的原始密码去尝试登陆其他应用或者网站吧？搞清楚上下文。

@unco020511
accounts.google.com
哈哈，去试试

@vsomeone
我其实很欣赏你这种平和的回复，我很开心，但对于那种阴阳怪气的回复我真的顶不住，所以我表现得比较傲慢，抱歉☹️。

其实是想知道更多为什么不加密的理由，而不是冷嘲热讽讨论我技术不行，说我多此一举，如果不能给予实际上的理由，何必要阴阳怪气回复呢。

@eber 我失去虚心，是因为你一开始就阴阳怪气的攻击，让我非常不舒服，感觉自己很牛逼，其实最不虚心的就是这种人，对技术没有敬畏之心，认为 https 安全就可以什么都不做，而且探讨话题的时候，不断对别人进行攻击，这就是你的乐趣。即便你技术再好，但其实你这种人，现实中应该非常难相处，绝对的。

其实自认为自己达到了至高境界，认为自己理解的就是对的，殊不知其实很多企业都是将密码不可逆（ md5+加盐）加密到后端的，你就骂吧，但你绝对是一个极其骄傲的人，你只是活在自己的世界里面。本身我所说的前端加密的意义不是考虑本地安全，而是防止传输或者后端人员参差不齐，导致加密入库之前泄漏，你自己一直在说本地上网环境、电脑安全的角度，所以你自己一直按照你自己理解别人那样来贬低别人？

@rahuahua 加盐呀，每个网站加盐又不一样。

@ryanlid
@codespots
明文抵达后端，一个项目什么人都有，阴暗和邪恶的人加密前做手脚，这不是没有可能。

@codespots 我不管后端用什么方式加密，我就想问，前端入参之后，后端拿到明文密码这个过程，有没有可能泄漏？

@codespots 有点羞愧经验太少，知识面很单薄，所以在加密方面了解真的比较少，但我肯定知道在服务区不能明文存储，我的意思是在 后端加密存储 之前就一定能保证明文密码不被泄漏吗？

@LeeReamond 其实感觉回帖的也有很多后端，可能他们接触的产品都是明文传输，认为 https 足够安全，可以保证在后端加密入库之前，不会泄漏出去，而且前端加密就三五行代码，花不到几分钟。

@mww 多做一步，成本也不高，泄漏密文也比原始密码强，用户 v2 的密码，有可能也是其他平台的密码。

@lichao 目的就是泄漏密文也比原始密码强，防止撞库，保护用户隐私。

@lriushi 抱歉理解错了，github 和谷歌确实明文传递了，只是猜测会不会和谷歌浏览器的自动填充账号密码功能相关。

@izToDo 这个非常全面，感谢！

@ZE3kr 你说得不无道理，但每个网站和客户端对密码处理方式都不同，可以大大减少撞库概率。

@Nosub 是滴，我的意思就是保证，用户入参之后将原始密码 md5+盐 加密起来，即便是泄露也拿不到原始密码，这样来避免撞库的情况。

@ZE3kr 我这里加密的意义指的是避免密码原文泄露，而不是你所说的变成 md5 不安全，退一万步黑客破解了，那只是拿到了我的密文，而我原始密码没有泄露，像我多个平台都是同一个密码，原文被泄露了可以登陆我其他的应用。

@mayday526 所以你看完我的帖子，泄露原文密码，用户多平台同一个密码，是不是很危险？泄露 md5 是可以换取 token ，只是这个应用被破解，但是只是泄露了一个密文。