不前端加密 新项目都是直接 https+bcrypt 旧项目懒得管 他们怎么写我用啥 不操心这些 如果还需要加强安全措施不都是二次验证之类的 至于前端加密，B 站那些卖课的就喜欢搞这些 另外如果一个项目日志会泄露这些。。。那估计我想就不单单是密码的问题了

我有个项目就是的在前端加盐 hash 后给后端的，密码强度验证就只在前端，后端只收到 hash 结果。

前端加密也好，hash 也好，作用是什么？完全没看懂。 我只能想到一个作用，就是拿这个特定的用户名和密码组合来做碰撞攻击其他服务/工具。

服务器端有一百种方式泄露用户密码, 例如 nginx 日志, 网关层, 框架日志, 接口请求记录, 中间各层 HTTP 请求,RPC 请求 ... 不管怎么样, 从服务器接收到请求开始,再到用户中心给密码加密之前, 所有中间层能可以明文看到用户密码 .

没明白前端 hash 的意义在哪，对与服务端而言密码不就变成了前端 hash 后的值了吗？非但没有提升安全性，反而增加了碰撞的可能性。

1. 谈不上最佳实践，bcrypt 加密没啥争议，java 的主流做法。至于浏览器端加密，满足客户要求就好，最多的场景就是浏览器提交的密码不是明文就行。浏览器端加密本身争议就比较大，没必要非得求个定论。 2. 密码泄漏我有印象的，一个是 csdn 被拖库，因为用明文存储的，另外一个是阿里云的事情，细节不记得了，原因是把 secretkey 写到了代码里，然后传到了 github 上。没听说过日志泄漏的。这种只能说开发也太没有安全意识了，敏感信息不该进日志。

@shenjinpeng 都能进入中间层了，明文密文还有意义吗？反正后端认就能利用。