Should the password be plain text when creating a user through the API?

有没有办法传递加密密码而不是明文密码？我们正在开发一个应用，其中使用 /session API 来验证用户身份，需要提交用户名和密码。我注意到一个问题：如果打开浏览器的开发者工具，可以看到我们登录时传递的明文密码。因此，如果任何人能访问我的笔记本电脑，密码就可能被窃取，对吗？