V2EX › also24 的所有回复 › 第 175 页 / 共 284 页

@phx13ye #22
遗漏有很多种可能吧，我这二把刀应该保证不了没有遗漏。
这东西应该只涉及到你期望覆盖的面的大小，没有尽头。

比如说客户端是否要对 https 证书进行强验证（不止验证证书有效性，还要验证证书是否一致）。
比如说时间戳+签名需要有时间差冗余，避免时间不一致导致出错，而冗余就带来了短时间内重放的风险，此时又需要缓存若干个请求信息来防止短时间内的重放。
比如说你的 token 机制是否足够安全，是否有吊销机制（ JWT 出来挨打）。

每个措施，一般都是对应某个场景给出的，其实还是确认场景的问题。

另外回应你附言中的问题：

content-type 是 json 的话，签名可以放进 header，也可以给 json 再罩一层 “非签名” 区域。
即：参与签名运算的只是某个子字段，而另一个子字段存储签名信息即可。

但是这里需要注意：
JSON 的 k-v 是无序的，且 JSON 序列化的格式是可以自定义的，当你期望对一个 JSON 求签名（ hash ）的时候，请务必协调好两端的 JSON 序列化格式及顺序。
如果觉得麻烦，也可以选择将需要传递的 JSON 对象，先序列化之后，存于某个 JSON String 字段。

> 对于请求，body 一般只能读取一次，读取时要先缓存一份，然后和请求首部比对
这段话我没有理解是什么意思，为什么只能读取一次。
可以考虑设置类似 “API 网关” 的概念，所有请求先经过网关的核验之后再传入业务代码。

2020-01-16 15:39:55 +08:00

回复了 llj5935 创建的主题 › MacBook Pro › 有没有人觉得 15 寸 mbp 比 16 寸的好看？

从 14 款 15 寸换到 19 款 16 寸表示没有任何不适~

翻了下参数发现，19 款 16 寸比 14 款 15 寸还是要更轻薄便携一些的，完美~

2020-01-16 15:04:27 +08:00

回复了 nandehutu 创建的主题 › 优惠信息 › 狗东羊毛： 0.01 元购买 ProcessOn 个人版会员！

@jiezhi #71 你这一说我才发现我也是这样，也许是测试服务器的时间配置的有问题？

2020-01-16 14:17:00 +08:00

回复了 nandehutu 创建的主题 › 优惠信息 › 狗东羊毛： 0.01 元购买 ProcessOn 个人版会员！

尝试重置密码失败，这样来看要用的时候必须从京东那里跳转过去才可以？

2020-01-16 14:13:08 +08:00

回复了 nandehutu 创建的主题 › 优惠信息 › 狗东羊毛： 0.01 元购买 ProcessOn 个人版会员！

已购买 100 年，但是似乎只能在 http://wxmp.processon.com/ 上使用

无法在 http://www.processon.com/ 上登录

2020-01-16 00:03:22 +08:00

回复了 0gys 创建的主题 › 旅行 › 结束旅程，还是深圳舒服

@ashes1122 #14
不不不，楼主的意思是，深圳不下雪哈哈哈哈哈哈哈

2020-01-15 23:24:04 +08:00

回复了 lbfeng 创建的主题 › 问与答 › flask api 生成 pdf 或者其他类型的文件，能把文件 cache 吗？

redis 就可以拿来存取二进制数据啊

2020-01-15 23:17:07 +08:00

回复了 phx13ye 创建的主题 › 程序员 › 基于 HTTPS 对外提供 API，十万个为什么，求 web 安全高手指教

@phx13ye #14
看你要的是『尽可能安全』，还是『尽可能省事』。
鉴权认证、防监听、防篡改、防重放都是事实需求啊。

另外我倒数第二句不是疑问句，是设问句，答案就在最后一行啊。

从实际角度来说，这样做也确实存在一定的意义，因为 https 的流量卸载很有可能在负载均衡那一步就进行了，如果没有这个二次加密，那么数据在负载均衡那一步就是『裸』的了，而多了这一层加密，可以让数据在到达业务代码部分时才被解谜。

2020-01-15 22:41:02 +08:00

回复了 phx13ye 创建的主题 › 程序员 › 基于 HTTPS 对外提供 API，十万个为什么，求 web 安全高手指教

@leloext #7
https 是有双向认证机制的，可以保证双向通信可信，只是大家一般都没在用而已

2020-01-15 22:33:39 +08:00

回复了 phx13ye 创建的主题 › 程序员 › 基于 HTTPS 对外提供 API，十万个为什么，求 web 安全高手指教

单向的 https 只能保证你请求的银行真的是银行，但银行无法确定你是你。

加了 token 才能让银行知道你是你，但是银行不知道你带的东西是你自己带的，还是别人塞进你包里的。

加上 nonce 和签名，才能让银行知道这些东西全都是你带的，别人没有夹带，但是银行不知道这个你，是否是用 1 年前的你克隆出来的。

加上时间戳，银行才能确定面前的你确实是当前时间点真实存在你，东西也是你带的东西。

最后，稀奇古怪的加密又是什么呢？
答：你带的东西是一个保险箱~

2020-01-15 21:40:22 +08:00

回复了 KasuganoSoras 创建的主题 › 问与答 › 有什么低成本的办法可以把现实道路扫描出来然后做成 3D 模型？

@KasuganoSoras #29
emmmm 我觉得你理解的可能有一些偏差，OSM 提供的是地图 /地形数据而非『测绘方式』，可以理解为一个开源免费的地图数据库。
谷歌地图的数据我没理解错的话，应该不是完全开放的才对，不过也相当于一份地图数据库就是了。

相当于现在已经有了一份原始数据，需要做的是录入并转换成你期望的格式。

2020-01-15 21:35:00 +08:00

回复了 dreamxj001 创建的主题 › Apple › 关于 MacBookPro16 外接显示闪屏和扩展转接头的问题

@Fabrergas7 #8
这样啊，我以为和拔线有关，主要是因为重新插拔这根线以后就正常了

2020-01-15 21:24:39 +08:00

回复了 0gys 创建的主题 › 旅行 › 结束旅程，还是深圳舒服

@0gys #6 用 Chrome 看的话应该不会挂，Safari 看的话确实会挂

2020-01-15 21:17:17 +08:00

回复了 0gys 创建的主题 › 旅行 › 结束旅程，还是深圳舒服

哈哈哈，赞一下，我也是因为贪图火车上的美景，专门在格尔木住了一晚，给自己两个白天的时间在车上观景。

https://wx4.sinaimg.cn/large/760b39b3gy1gaxjsdrwdzj21400u0hbo.jpg

离开格尔木的时候在火车上看日出，感觉真的是不错

https://wx2.sinaimg.cn/large/760b39b3gy1gaxk5f1pxzj218g0u0qv9.jpg

1 ... 171 172 173 174 175 176 177 178 179 180 ... 284

❮

❯