V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  dzdh  ›  全部回复第 47 页 / 共 89 页
回复总数  1771
1 ... 43  44  45  46  47  48  49  50  51  52 ... 89  
2022-08-01 14:20:23 +08:00
回复了 pkwenda 创建的主题 奇思妙想 loft 室内通话设备奇思妙想
羡慕需要喊话沟通的房子...
@xylophone21
看了。

想要的是:

限流 N 对应 X 个 FPM 进程数。当当前连接数 Y 大于等于 正在处理的 FPM 请求时,返回 200 响应自定义内容。

收到请求,不做动作。
请求发给 fpm ,等待结果时,限流器+1
fpm 返回结果,限流器-1
2022-08-01 11:53:21 +08:00
回复了 sudoy 创建的主题 问与答 页面好像被墨水泼到的感觉,请问这是怎么了?
这个效果怎么实现的。

求 css
@bais

历史包袱..emmmmmm 一时半会儿重写不了... hhhh
2022-07-29 09:17:16 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@vantis #62

首先回的是哪一楼啊

HTTPS 的证书是公开的,没错,在 TLS 握手阶段会发送给浏览器也没错。

然后呢?我 HTTPS 的基础之上,不使用 [签名] ,而使用 basic auth 就不能证明自己了吗?
2022-07-28 16:06:11 +08:00
回复了 levon 创建的主题 Docker 使用 docker 可以不用镜像仓库吗?
@levon 就是环境统一,降低运维成本,CI/CD 也好做了。PHP 类的项目还好,有个 git 钩子就自动上线了。java/go 之类的,你不要编译嘛,你编译环境呢,容器化就全给你搞定了。生产和开发环境共享一个基础镜像,多人开发环境和各种依赖包也统一的。多爽。
2022-07-28 10:31:07 +08:00
回复了 levon 创建的主题 Docker 使用 docker 可以不用镜像仓库吗?
@levon
管理和运维成本鸭 你要就一台服务器那自己折腾玩嘛。

上百台服务器上千个服务镜像 跨机房 你再试试咧。

就跟没有人一开始就上小型机一样的嘛。
2022-07-28 09:51:28 +08:00
回复了 levon 创建的主题 Docker 使用 docker 可以不用镜像仓库吗?
生产环境 自建 registry ( https://hub.docker.com/_/registry)

registry 更新通知到 mq ,所有机器或者集群平滑更新新镜像。还能随时回滚。

为啥要同步一个大几百兆的文件。。
2022-07-26 22:45:02 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@dorothyREN #53 那签名怎么知道 secretkey 没泄漏呢
2022-07-26 22:07:16 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@datoujiejie221

不。我说的是 [客户端证书] 。必须是指定 CA 签发(私有)的证书,并且能被正确解析的从证书中解析出 COMMONNAME 当作 UID 使用的。

不是用于 HTTPS 连接的权威 CA 证书。

rsasign 指的是使用私有 RSA Private Key 对指定字符串生成的 sign 如( php: openssl_sign ($data, $private_key, $sign ))
2022-07-26 21:05:14 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@datoujiejie221

我有个疑问。用 hmac/md*/sha*(rsa 除外啊)我不是也可以无限尝试嘛? 因为你采用的哈希算法和排列方式是公开的呀。

无非是

https://xx?key=$RANDOM 无限



https://xx?{hmac(key1value1,key2value2,$RANDOM_SALT} 的问题吗?



如果是 rsasign ,那是不是一样可以客户端证书呢?
2022-07-26 20:25:33 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@seth19960929

#42
服务器都被入侵了你告诉我有什么手段还能是安全的?就算你硬件加密也屁用没有啊?
#43
那 stripe\google\facebook\paypal 就都不安全呗?


@vantis #44
不是光 https 就没别的了。https+ http basic auth 一样能证明啊
2022-07-26 18:27:16 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@seth19960929 #38/39

抬杠。

难不难?难。 能不能?能。所以因为这个就 必须、一定、绝对 要前端签名吗?而且一直说的是 S-S 。
2022-07-26 18:24:14 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
https://v2ex.com/help/api

包括 v2 的 api 也是 有个固定的 token 就行。我保护好我的 token 即可,泄露了就重新生成。Server-Server 的模式。

sign 私以为适合的是类似 S3 的私有文件开放给他人下载场景用,三方用户无需任何配置可直接凭 URL 访问资源。
2022-07-26 17:59:23 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
2022-07-26 17:50:01 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@seth19960929 #29
太能了。客户端抓个包而已。

https://zhuanlan.zhihu.com/p/355450670
https://blog.csdn.net/qq_44862120/article/details/107467725
https://www.cnblogs.com/cherish-hao/p/12815603.html

ios 越狱后照抓不误。函数 hook 完每一步干了啥都清清楚楚。S-S 服务端,没必要,可以客户端证书。C->S 端,更更没必要。
2022-07-26 17:47:27 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@jiulang #32
精辟!
2022-07-26 17:47:16 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@ychost
@andyskaura

的确不冲突。但是。是否 [必须] 要 md5/sha*/hmac* + salt 。直接在 https 基础上 basic auth 行不行呢?
2022-07-26 12:50:04 +08:00
回复了 dayeye2006199 创建的主题 信息安全 为什么使用 https 调用 API 仍然推荐需要使用 key 来签名
@seth19960929 #16

这场景都是 C->S 。那 S-S 呢。

C->S 自己实现一套 Sign 的意义呢。浏览器端 JS 公开的,sign 的 salt 哪里来呢。安卓端 Hook 之后一览无遗。图个啥呢。
1 ... 43  44  45  46  47  48  49  50  51  52 ... 89  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3904 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 01:02 · PVG 09:02 · LAX 17:02 · JFK 20:02
Developed with CodeLauncher
♥ Do have faith in what you're doing.