目前主流靠譜的登錄密碼加密流程是怎樣的？

前對對密碼是不會(huì)加密的，基本都是sha256（salt + password）存儲(chǔ)在數(shù)據(jù)庫，每次前端傳password過來，后端那算出來的哈希值和數(shù)據(jù)庫的值進(jìn)行對比驗(yàn)證

而且基于https傳輸秘鑰沒有問題，即使中間人攻擊，拿到的也是密文

前端加鹽加密發(fā)送后端，后端繼續(xù)加鹽加密與數(shù)據(jù)庫進(jìn)行匹配。
不需要解密。

如果中間可以截獲請求數(shù)據(jù)，那你前端只針對密碼做的任何加密都相當(dāng)于做的無用功。因?yàn)槟愫蠖藚^(qū)分不出來此請求是真正前端發(fā)送還是被截獲之后的二次請求。
如果后端針對前端傳過來的數(shù)據(jù)不做任何處理，直接比對數(shù)據(jù)庫，那你數(shù)據(jù)泄露了之后就相當(dāng)于是裸奔了。

所以，后端加密算法是一定要有的，而且是數(shù)據(jù)庫里存儲(chǔ)的是加密之后的數(shù)據(jù)，對比的是傳入password加密之后和數(shù)據(jù)庫做對比。
至于前端，如果前端代碼不被破解的話，倒是可以做一次可逆加密(des,aes),把password加密后傳給后臺(tái)，后臺(tái)進(jìn)行解密得到password原數(shù)據(jù)，然后在按照固定算法（不可逆）得到加密后的數(shù)據(jù)，與數(shù)據(jù)庫進(jìn)行對比。這樣子最少前端代碼破解不了，他們截取之后拿到的也是可逆加密之后的密文。

有能力的，自己寫一套加密算法，在前端對密碼進(jìn)行加密，加密過程的js打包/代碼混淆，盡可能讓人不能看出來算法。后端根據(jù)約定的算法解密。
或者非對稱加密的方式。后端提供一個(gè)接口動(dòng)態(tài)返回一個(gè)公鑰到前端，前端根據(jù)公鑰進(jìn)行加密。后端收到之后，利用私鑰解密。
你可以參考愛奇藝、優(yōu)酷這類網(wǎng)站的登錄流程。他們就是對密碼進(jìn)行加密之后，傳輸?shù)摹?br>后端肯定是需要解密的，否則前端加密就沒有任何意義了。