这是一个挺有意思的问题，很多公司也在面试中问过。挺简单的，不知道大家平时在重置密码的时候有没有想过这个问题。

回答这个问题其实就一句话：因为服务端也不知道你的原密码是什么。存原密码的程序员已经被开了 🤣。

如果服务端知道你的原密码，那就是严重的安全风险问题了。

我们这里来简单分析一下。

认证授权与数据安全专题关注后端系统里非常基础、但出错成本很高的一条链路：用户如何登录、身份如何传递、权限如何判断、敏感数据如何保护、输入数据如何校验。

安全不是某一个框架或某一个注解能兜住的事情。它需要从认证、授权、传输、存储、展示、输入校验和审计等多个环节一起设计。

适合谁看

• 正在学习登录鉴权、权限系统和数据安全的后端开发者。
• 准备认证授权、JWT、SSO、RBAC、数据脱敏相关面试题的同学。
• 项目中需要设计后台权限、用户体系、敏感数据展示或数据校验方案的工程师。
• 已经用过 Spring Security、Sa-Token、Shiro 等框架，但想补齐底层概念的读者。