我司前端把密码明文扔到 cookie 里面，这样做对吗

@index90 > hash 不等于加密
没错，你说的对。但是跟我说的有什么关系吗？
我只是在阐述，alw 的做法，是为了让任何环节（键盘记录器、屏幕识别除外）都不泄露出用户的原始密码，我对这种做法表示赞同。

@lagoon 前端不仅要加密, 还要加盐,随机码,防止重放攻击, 麻烦的一比. 且大多是防君子不防小人.
真正想安全, 还是得 HTTPS

不对。
不敢怎么样，token 不是密码，token 可以失效，token 可以在用户异常 ip 变更的时候设置为失效。
密码不能，只要是账号密码正确，哪怕一秒钟换 10 个 ip，也不能设置密码为失效。
所以，暴露密码，绝对不对。

@index90 额，回复完才看到你 55 楼的回复
原来是友军，我还以为你在怼我，非常抱歉……

@laoyur #61 只是表达附议，无意冒犯。

@cp19890714 其实应该把前端理解成一个界面更加友好的“cURL”，接口安全，系统安全都应该是后端的责任。

明文放哪都不对

前端加盐 hash 意义是避免中间人攻击直接获取传输的明文账号和密码，但是无论前端是否加密 账号密码都不能放在 cookie 内的

一般要加密加盐加时间戳

密文防撞库

他该不会是想做“记住用户名和密码”这个功能吧。。。这也太骚了

前端加盐做个 hash 是对用户的尊重，表示我对你的密码内容没兴趣（此条只针对密码有意义或隐私的用户）

我司项目上了 https，但还是要求接口入参加密。。。。 请问这有必要吗？

密码在整个系统的流程中只有登陆和重置两种交互用的到...所以问题应该是为嘛要存在 cookie 而不是明文不明文...🤣

无论如何都不能明文存储用户密码。不管在那里。

存密码是傻子，无论是明文还是 hash 甚至加盐后的都不行
为什么不选择 session, 验证有问题直接 revoke 就搞定了

@hirasawayui #72 没有必要，https 已经保证了信道安全。

@Mohanson 信道安全不安全不能一概而论，看是要防止窃听者还是中间人。诸如 DH 这类密钥交换算法，可以在不安全的信道中安全地交换密钥，不过不能防止中间人攻击。

这个还不是最骚的
上个公司 (上市的) 他们活动页面，需要手机号验证码的，直接把验证码明文存 cookie，然后 js 比较 cookie 与用户输入是否一样来校验的。

我想知道什么样的需求要存密码呢？

另外 cookie 存密码做什么？方便 debug ？🐶