Javascript 我应该在jsp中存储密码短语吗

我需要使用PBKDF2WithHmacSHA1算法，CryptoJs库在jsp中生成一个带有密码短语的密钥，然后使用该密钥加密用户登录密码并传递到服务器，然后在服务器中再次生成密钥并解密用户登录密码

我知道我不应该在登录期间通过http将密码短语或密钥从客户端传递到服务器，但是我可以在登录jsp页面中保存密码短语吗？如果没有，如何使用密码短语在jsp中生成密钥

即使使用javascript变量来存储密码短语，用户仍然可以使用javascript调试模式来查看密码短语变量值，因此我认为没有方法在jsp中隐藏密码短语值，有方法吗

---

或者使用javascript在客户端加密登录密码的设计有问题吗？

否。在服务器上为用户输入生成单向哈希（使用最佳实践，包括安全哈希算法和salt）。通过使用相同的算法生成新的哈希值与用户的输入值，将任何未来用户输入值与该哈希值进行比较，然后比较两个哈希值

然后如何在jsp中生成密钥？>通过使用相同的算法生成>哈希值，将任何未来用户输入值与该哈希值进行比较是，那么，如何在jsp中生成相同的哈希而不在jsp中存储密码短语呢？编辑：在服务器上为用户输入生成单向哈希（使用最佳实践，包括安全哈希算法和salt）。通过使用相同的算法生成一个新的哈希值与用户的输入值，将任何未来的用户输入值与该哈希值进行比较，然后比较这两个哈希值。@user1169587，您只存储哈希值。您必须通过生成新哈希并将新哈希与原始哈希进行比较来比较用户将来的任何输入。我仍然不明白，在jsp中生成新哈希时，我需要在jsp中生成密钥，然后在jsp中需要密码短语。。。