我司前端把密码明文扔到 cookie 里面，这样做对吗

从入职到入狱……

也许只是个假的呢😂

前端路过。。。
前端加密，一般混淆视听，没有多大意义。但实际操作还是会加密。

这位老哥的问题在于： 把明文密码直接存 cookie。
不管出于什么需求，都不能这么做。
且个人意见： 完全看不到这样做的意义。

难道没人怀疑，既然前端直接存明文，后端是不是也用的明文？不然意义何在？

cookie 存明文密码跟桌面搞个 txt 存密码没有任何区别

都需要被吊起来打

是哦，现在 https 了。像以前的 md5 之类的摘要传到后端对比或者创建 session id~~~api 用 key 去混进值里面尾部加所有字符串的 md5 摘要校验真没必要了呢。嘻嘻~~~

对不对？安全原则之一：
加密所有的一切

对用户个人的隐私暴露增加风险, 如果亲戚同事朋友使用电脑看到 cookie 这些信息就把你密码暴露了.
如果密码不是明文的话就还好.

12306 登录接口也是明文

其实没啥大问题，浏览器本身的密码储存的也是明文。

cookie 不是服务端发送的响应报文中的首部字段通知客户端保存的，之后每次请求都带上的么，所以你们用这个要解决什么问题？

跟他说：你好骚

后端把收到的参数都存到 log 里面去了，于是密码明文存在 log 中

登录的时候，是不是前端发送请求时，把密码用时间戳加密一下，后端用前端给的时间戳对称解密，这样是一种解决方案？一来没有明文，二来避免重放攻击，除非加密解密方法泄露了。

@Mohanson 前端在用户输入时对密码做哈希（不是加密！）这个不是密码学问题，而是社会工程学问题。。。
不管什么途径，用户的明文密码流入服务器就是对用户隐私的不负责任。

就是数据库也不能明文储存啊

要不你委婉提醒下好打 MD5 一下也成不是。

@Varobjs 这种我也遇到过，甚至是大公司一个项目的主要登陆页面。直接从 cookie 里读取验证码明文，那费劲吧啦做个验证码不知道有啥意义，可能只能确保用户不走神儿吧

所以 cookie 和 token 有何区别

@alw @laoyur @index90

> 任何环节（键盘记录器、屏幕识别除外）

所以以前游戏盗号用得最多的键盘记录器就让你给除外了？

> 绝对不允许出现用户密码明文在任何环节保留。

最理想的情况是键盘内部加密，敲字符的时候直接通过某种算法进行转换，输入到文本框的直接就是密文，如果你不信任这台电脑的话，明文字符根本不能进到电脑里。

如果你假定这台电脑是不安全不可信的，那么进了电脑以后再加密并不能解决安全问题。
如果你假定这台电脑是安全可信的，那么只需要在离开电脑进入公共网络的时候加密（ SSL ）即可。
在假定安全可信的环境里额外增加安全措施没有什么意义。



除了一种情况。
就是你不信任自己的服务器，怕自己服务器被人黑了会被人拿到用户的原始密码，所以决定不让原始密码进到自己的服务器里。
这种情况我建议咨询网络安全团队……