@mww 多做一步，成本也不高，泄漏密文也比原始密码强，用户 v2 的密码，有可能也是其他平台的密码。

@lichao 目的就是泄漏密文也比原始密码强，防止撞库，保护用户隐私。

@lriushi 抱歉理解错了，github 和谷歌确实明文传递了，只是猜测会不会和谷歌浏览器的自动填充账号密码功能相关。

@izToDo 这个非常全面，感谢！

@ZE3kr 你说得不无道理，但每个网站和客户端对密码处理方式都不同，可以大大减少撞库概率。

@Nosub 是滴，我的意思就是保证，用户入参之后将原始密码 md5+盐 加密起来，即便是泄露也拿不到原始密码，这样来避免撞库的情况。

@ZE3kr 我这里加密的意义指的是避免密码原文泄露，而不是你所说的变成 md5 不安全，退一万步黑客破解了，那只是拿到了我的密文，而我原始密码没有泄露，像我多个平台都是同一个密码，原文被泄露了可以登陆我其他的应用。

@mayday526 所以你看完我的帖子，泄露原文密码，用户多平台同一个密码，是不是很危险？泄露 md5 是可以换取 token ，只是这个应用被破解，但是只是泄露了一个密文。

@mxT52CRuqR6o5 大佬，你别生气，因为谷歌和微软业务需要在浏览器记录你的登录密码。

@luoway 第三点，那就算不是 md5 加密，有人捕获你的密码也一样能重复登录；这里使用 md 加密的逻辑是，不让别人知道你的密码，然后去其他平台登录，我是这个意思。

@kneo 你说得不无道理，如果是一个钓鱼网站，前端代码在他那，想钓你的密码，也是很简单的。主要还是防止服务端，如果是很乱的公司，指不定有屌毛把明文输出到日志，然后把日志发给外包排查。

@eber 大佬，我就单讨论密码这一个场景，密码也需要逆向？

@eber 不是，注册时候数据库存储了前端传过来的 md5("123456")，登录传输的 md5("123456")字符串，这两个字符串，不能比对吗？你非要逆出来 123456 才能判断是吧？

@996jiucai 没理解我意思，我的意思是前端对用户输入的密码直接 md5 ，后端直接用 md5 后的字符串。登录和注册皆是如此。

@eber 为什么要拿用户密码？你为什么要知道用户的密码是什么呢？滑天下之大稽

@K120 其实服务端没有任何地方需要用到用户的密码，直接存储 md5 后的字符串即可，md5 不可逆，为什么还要加密算法呢？

@lyy780808 谢谢大佬，但是这个判断复杂度其实，可以在前端做，后端不需要知道我的密码是什么，这样会安全很多。

@lisongeee 好家伙 这个可以

@1iuh 你说的好像也有道理，如果是小人，前端页面也可以拿到密码。