修改密码表单中的"请再次确认新密码"字段需要一起传到后端吗

我觉得不需要，毕竟 js 发明的初衷就是在前端完成表单校验。

我认为不需要，传到后端再校验一次会增大服务器压力。但是要考虑出于种种原因，前端校验代码没有正确的执行时，如何善后。

中间者攻击了解一下?

不用的，只要做了非对称，上了 ssh 就差不多了，有些网站在输入密码时如果选择明文输入框打一次就够了

@nevin47 求解怎么个思路。。

更正 ssh->https

不会，确认密码这个只是防止他输错，并没有其他目的

就这个场景来讲：不需要。退一万步讲，即便前端校验代码没有正确执行，最坏的结果是用户密码更新成了非期望值。这种情况一是几率很小，二是可以被接受的。

其实现在有两个趋势：
1、不需要二次确认，只要输入一次即可； 2、用指纹代替密码。

还有个未来的趋势：
手误或者输入其他密码（如历史密码，其他网站通用密码），也可以顺利登陆。
这个有点抽象，解释一下：比如密码是 password，但是手指头抽筋输入了 pssswoed （对于移动设备，和可能的），后台在不保存明文密码的前提下，仍然可以识别并顺利登录。

目前来看，最好的这种方案是使用认证平台的统一登陆即可。。。

我认为需要，我的原则是不信任客户端。

二次确认的目的是防止输入错误，并不是为了安全，所以不需要

为了逻辑严谨，虽然前段已经经过了校验，但是对于后端不应该完全相信不过前段的。
所有逻辑都建议后端二次校验，因此我投需要的票

用户体验优化 感觉没必要去到后端再做一遍。


然后楼上解释原因，中间人攻击和逻辑严谨，
虽然这么说有些过分，但总的来说，还是有些像脱裤子放屁。

我的原则是完全不信任用户,
用户传上来的密码肯定不是他想要的，
我把他的密码替换成 123456 后再告诉他🐶

后端不能完全信任前端

@nevin47 MITM 跟确认密码传输到后端有毛线关系.....

@183387594 #14 那为什么还要用户修改，重置不就好了

不需要，如果一个密码能被替换或修改，那么两个也是一样的，除非做其他校验，所以单纯讨论楼主的问题就是：不需要

@nevin47 解释一下思路，中间人攻击在楼主这场景中，传不传"请再次确认新密码"字段，有和差别？
最多就是前端验证如果有问题，密码被设置为了非期望值。
在我看来，没看到"请再次确认新密码"字段有传到后端的必要，这个和信任不信任前端输入没有关系。
真是 MITM 攻击的话，能改你密码字段，同样可以改你"请再次确认新密码"字段，改成一样的有额外的难度么？

我的原则是谁都不信，就不应该使用我的密码，难道这种公司的数据库不会泄露吗