现代的应用系统中，大部分密码存储都是采用MD5加密后存储，常用的登录基本流程如下：

1、前端web页面用户输入账号、密码，点击登录。

2、请求提交之前，web端首先通过客户端脚本如javascript对密码原文进行MD5加密。

3、提交账号、MD5之后的密码

4、请求提交至后端，验证账号与密码是否与数据库中的一致，一致则认为登录成功，反之失败。

上述流程看似安全，认为传输过程中的密码是MD5之后的，即使被监听截取到，由于MD5的不可逆性，密码明文也不会泄露。其实不然！监听者无需解密出密码明文即可登录！
监听者只需将监听到的url（如：http://****/login?userid=登录账号&password=MD5后的密码）重放一下，即可冒充你的身份登录系统。

较安全的登录流程

1、进入登陆页面时，生成一个随机码（称之为盐值），在客户端页面和session中各保存一份。

2、客户端提交登录请求时，将MD5之后的密码与该随机码拼接后，再次执行MD5，然后提交（提交的密码=MD5(MD5(密码明文)+随机码)）。

3、后端接收到登录请求后，将从数据库中查询出的密码与session中的随机码拼接后，MD5运算，然后与前端传递的结果进行比较。

该登录方式，即使登录请求被监听到，回放登录URL，由于随机码不匹配（监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略），无法登录成功。

该登录方式，由于传输的密码是原密码MD5之后与随机码再次MD5之后的结果，即使监听者采用暴力破解的方式，也很难解密出密码明文。

更安全的登录流程

考虑到密码输入的方便性，好多用户的密码都设置的很短，并且不够复杂，往往是6位数字字母组合，这样的密码MD5之后保存到数据库，一旦数据库数据泄露，简单密码的MD5结果很容易通过暴力破解的方式给解密出来！同时为了方便用户登录的方便性，我们的系统一般不可能要求用户设置很长、很复杂的密码！怎么办？加固定盐值。

1、系统设置一个固定的盐值，该盐值最好足够复杂，如:1qaz2wsx3edc4rfv!@#$%^&**qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA

2、用户注册、修改密码时，将用户的原始密码与我们的固定盐值拼接，然后做MD5运算。

3、传递至后端，保存进数据库（数据库中保存的密码是用户的原始密码拼接固定盐值后，MD5运算后的结果）。

4、登录时，将用户的原始密码与我们的固定盐值进行拼接，然后做MD5运算，运算后的结果再拼接上我们的随机码，再次MD5运算，然后提交。

5、后端接收到登录请求后，将从数据库中查询出的密码与session中的随机码拼接后，MD5运算，然后与前端传递的结果进行比较。

该登录方式可以认为是很很很安全的登录方式了。

进一步完善

1、加登录验证码，可预防人为地暴力登录破解，为方便合法用户的正常登录，可设置密码输入错误次数达到3次后再出现验证码。

2、账户锁定，如果用户密码输入错误次数达到一定量后（如6次），则可以锁定该账号，为了方便合法用户的正常登录，可以设置成一小时后自动解锁。

3、启用HTTPS（SSL）

4、将MD5加密方式更换为Bcrypt