@Akiyori T^T 我的 VPN 是 Cisco IPSec VPN ……

@Akiyori 唉？是嘛？L2TP是一直不会断的？……我试试去……

@jarlyyn

* 第一条我没懂你在反驳我什么
* 我什么时候说“没不安全”了……有时限至少风险出现的时间是有限的（虽然危害是无限的）
* basic auth 难道不是明文的么……
* 我说的第四条，目的是说，国内有很多 API 是根本没有部署 TLS，很多时候就算部署了 TLS，也不一定部署好了

盾永远都不是无懈可击的，盾的作用就是减少受伤的范围和概率

我说的不是需求，非 HTTPS 下明文传密码就是一个巨坑，是该直接杜绝的东西

当然，最好 HTTPS 下也不要明文传……

@jarlyyn

* 一次请求和多次请求，你说哪个被截包拿到密码概率大？
* token是有时限的，过了时限就无效了，不像密码
* 密码泄漏了以后可能会导致用户在别的网站上的帐号失守
* 你去看看国内有多少没有用 https 的网站，你再看看世界上有多少只有登录那一步用了 https 的网站，你再想想为什么会有这么一篇文章 https://raw.githubusercontent.com/citypw/citypw-SCFE/master/security/Documentation/ssl-tls_deployment_best_practices.txt

而且 JWT 协议本身也能实现类似缓存的功能

实话说，所有请求带上帐号密码最严重的问题并不是性能问题吧？最严重的是安全问题吧？？？？

你们的 API 是 https 的嘛？没有的话人家随便截个包那用户的密码就暴露了呀，这是上个世纪的做法吧？

我简单看了一下，发现上面的人说的都不在点子上，这种做法，从根子上就有问题，完全就不应该这么干，就算解决了性能问题也不行

用个 token 怎么了？客户端能死啊？才加了多少难度啊，自己包装一个发起请求的函数然后在这个函数里加 token 有什么难度么？我就是做客户端的，我之前也有一个写服务端的同事像你那个同事那么干，我直接和他说这有问题

这不是经验与否的问题，如果他不是因为项目期限或者什么原因而不愿意改，在我看来，这是责任心的问题

至于解决方案，oAuth 2.0 稍微有点复杂了，建议使用 JWT ，介绍： http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/

我有一个 repo 写了一些设计 API 时的建议，我推销一下： https://github.com/bolasblack/http-api-guide

番茄土豆网页版用的就是 AngularJS ，directive 定义起来确实有点麻烦，但绝大部分配置项平常都是用不到的，所以感觉还是可以的

我还是比较细化那个蓝牙的 trackpad ，用起来比鼠标方便太多了

@July7 不是，我的意思是，千万不要只用 jQuery 来写大中型 SPA ，你会痛苦不堪欲仙欲死进而对继续生活下去失去动力的

@FrankFang128 就算有一年以上的经验也别，当然，自己写一个框架的另说

你试一下把 font-face 设置成 `Hiragino Sans GB`

设置方法可以参考：

https://github.com/bolasblack/dotfiles/blob/master/Rime/osx/squirrel.custom.yaml#L12
https://code.google.com/p/rimeime/wiki/CustomizationGuide

应该是你字体有问题，你设置的字体补包含鼠须管要显示出来的字，就变成这样子了

如果这么说的话，用GA的网页都是流氓网页？

@ForgotFun 首先把 Caps Lock 和左 Ctrl 互换，然后左手小指按 Ctrl ，右手小指按 [

一开始可能会不习惯，但等你习惯了以后会发现效率比去按 ESC 高上无数倍

首先我必须说，用 Vim 然后说 ESC 不好按的人一定是没怎么查资料，用 Ctrl-[ 多好，为什么一定要按 ESC ……

然后就是切换补全了，设置个快捷键 Ctrl-n Ctrl-p 不就好了……

顶上的 GitHub 链接坏掉了， https://github.com/bea**r**catjs/bearcat

最近从 angularjs 那边确实感受到了依赖注入对测试的帮助，试试你的项目用起来爽不爽