服务端数据库有LoginSalt和PasswordSalt两个字段，前者是变化的，后者是固定的。首先服务端存放的密码是MD5(p + PasswordSalt) (p为明文密码)，PasswordSalt是针对每个用户单独生成的，用来防彩虹表。1.注册的时候客户端生成PasswordSalt 然后把MD5(p + PasswordSalt) （这里用PasswordSalt是为了防止截取注册密码用彩虹表反推）和 PasswordSalt传递给服务端，如果注册成功，服务端保存这两者2.登录的时候首先向服务端请求LoginSalt（LoginSalt在请求时生成，并存入对应的用户中）和PasswordSalt，然后向服务端发送MD5(MD5(p + PasswordSalt) + LoginSalt)，然后服务端进行验证，如果验证通过，即登录成功，将重新生成LoginSalt并存入对应用户（防止重放攻击），这时候同时向客户端返回这个LoginSalt，以作为权限高一级API的Token。这样是否可行？主要想达到的目的有三个，1是防彩虹表，2是防止重放攻击，3是给高权限API一个凭证