修改密码表单中的"请再次确认新密码"字段需要一起传到后端吗

你们真的一顿瞎扯，确认密码只不过是为了让用户确认自己的输入是这样的，后端需要干嘛？以前根本没两个框。
再说了，不管是申请时还是修改密码时，提交之后不应该都要重新登录一次吗？

@no1xsyzy #40 前端校验密码最简单的难道不是“确认修改”按钮被按下时么。

所有表单必须前后端同时验证，前端验证是为了用户能尽快发现并修正，后端验证是为了保证数据正确

就是脱裤子放屁

没必要，前段三个框，一个旧密码，一个新密码，一个新密码重复(确认)，提交到后端，只需要，新密码，老密码，两个字段值，后端验证了老密码的正确性后再进行密码更改操作。
第三个密码框，在这里并没有增加安全性，但是增加了纠错，万一用户密码输入错误，还有余地。

中间人攻击会在意你后面的新密码有多少个密码字段？

需要确认，万一前端忘记校验了，自己就不用背锅了

@uminokoe 还是老哥这个“背锅论”想得周到..

因为安全而说需要验证的，都在扯淡。

@whileFalse 是两次输入对不上时，确认修改按钮不可按。检测应该是 keyup，并且需要加上去抖。

没有必要，你要验证的是原始密码，新密码如果是伪造的，伪造一个和伪造两个，又有什么区别？

不需要，前端的锅前端背，干嘛拉着后端一起背？（手动狗头

@FallenTy 下联：后端完全不能信任前端！

@freakxx #13 脱裤子+1

不需要，现在的趋势是不要求重复密码（ PIN ）但提供查看星号的按钮
最佳实践是前端完成强度检查，只发送经过 KDF(Key Derivation Function)的密码（也就是 PIN 不离客户端），所有后端只使用 KDF 后的密码也就是后端也不知道 PIN 是啥。
不过我是没法奢望厂商采用最佳实践了，通常都是用 RSA 加密 PIN 后传服务器再解密。
有能力发布什么“弱密码统计”的几乎是没按照最佳实践做的

多输一遍是防呆的，不用传到后

背锅论有点可笑....本身是纯前端的问题为什么要扔到后端。多一个环节就多一个出错的可能啊

@jim9606 弱密码统计这个你可以用反向思维，就是枚举出若干种弱密码(基本上就是通用的密码攻击字典)，然后用这些弱密码按规则生成 KDF 后去碰撞，碰到的就是弱密码。不需要给密码还原为原始的 PIN。

@xuanbg
做一张弱密码表 t_key
select u.* from t_user u join t_key k on k.key = u.pw;
这个结果就是全部的弱密码用户。

后端是兜底操作。