@Ritter 可以...
轻量升级唯一条件就是 1C2G 60GB 大陆的，然后参加活动（找 5 个人帮你点助力）
你可以加轻量产品群，产品经理都在里面，剩余多久时间都是免费升级，不过这次活动对比之前真的不是那么吸引

uniapp.ink
amy.pet
321.vin
mee.ink
lol.pet
wechat.kim
jmp.bio
qcloud.sale
didiyun.ltd
didiyun.life
zhidaojintianwocaifaxianyuanlaiyumingzhendekyinamenamedechanga.com

@0kaka 具体问题具体分析吧，
这问题就像双向车发生交通事故，算谁的责任？
没有具体原因也不好确定。

我个人认为，类似这种涉及第三方的，首先要看清楚技术文档，是否有提及过这些场景和规避方法，如果技术文档有提及到（类似你举例的），那肯定就是技术逻辑问题了。
如果不涉及第三方的，那严格来说就是产品逻辑问题。

比如：
某终端设备，产品需求本来就是要联网的，但是客户断网这些情况就属于不可抗力因素，客户找来基本都是把问题推给客户自身网络导致。
后期产品经理就会考虑到各种因素，然后增加联网 /脱机 版........

而且针对你这个问题，
小程序扫码支付提交订单
提交的时候突然断网了(客户端断网还是服务端断网)
> 可能出现银行卡已经扣费但后台没有收到订单的情况
如果是客户端断网，那微信支付的异步通知是通知服务端，客户端就算把卡拔了也没关系才对啊。
如果是服务端断网，那么这个影响就不是单纯支付这一块了

微信支付文档中有提及过的；
1 、当遇到非正常情况 /支付后没直接返回 成功 /不成功 的消息时，应当调用查单接口对交易进行查询；
2 、小程序提交支付无论是否成功，都不应当以接口返回消息为准，应当以异步回调通知为主；


统一下单->开启支付结果轮询
|---拉起支付
(轮询结果)
|--成功 ---支付成功
|--拉起支付 有返回或异常，但轮询结果为未支付-->后台查单

其实讨论这个问题我觉得有点离题了。
问题本身精简而言就是 防篡改参数。

基于 WEB 形式,基本无解，哪怕你对请求参数进行加密，然后再把 JS 代码各种加密，最终别人甚至不需要解密你的 JS，直接 devtools 上打点，看看哪里是对参数加密的，把加密函数复制出来就可以了。（我之前遇到过大多数的都是这样
高深一点的，通过浏览器特性进行加密，类似携程防爬原理，某些特性某版本的浏览器是支持 /不支持的，通过这些差异来进行加密，后端通过请求的 ua 和规则验证下，就知道是否被篡改 /爬虫的请求了。

基于 APP 形式的：
这种玩法就多了，
一、使用自定协议
二、sdk 中写加密函数，分发 sdk 给第三方而不是给请求地址第三方
........

但其实就如楼上有人提过，不是不能破解，而是当破解效益低于破解成本时，没人会去破解；
现在很多第三方直接开通开放平台，接口我也直接给你调用，这种情况下谁还会去分析破解呢？
包括 v2ex，直接开放了 API 。

@xiaooloong 我觉得有没意义是一回事，是否能拦截也是一回事；
而且我说的是针对前端参数可信情况，而你说的是个人电脑安全情况，完全不是一回事吧，
再者，我可以在虚拟机中装 Fiddler 进行拦截吧？（当然我没这样做过，我都是开发机直接装 Fiddler 来的）


@zyxk 没办法防，参考微信 web 版本，他们最后手段也只是根据注册账号的时间和使用频率等方面，限制账号是否能通过 web 登录。
而客户端的话可以采用 sdk 进行加密，甚至可以自定义协议。

其实微信就是一个最好参考对象；

第一、https 和这个没关系吧。装个 Fiddler，你就算是 https 还不一样能拦截篡改。
第二、address 生成是由客户端生成，那就不存在不能篡改，你要防止篡改的话只能由服务端生成。因为客户端生成的话你无法区分 address 是被篡改后的还是没被篡改，当然你可以对参数请求进行签名，但这样无疑只是增加破解的成本而已，别人只要反编译下或者多次对比，找出你加密的规则，那最后还不是一样照篡改你的数据。
最后：前端提交的一切内容都应该视为不可信内容。

@pydiff #147
@Donahue #151
的确，光威真的.....海康的是之前 jd 活动买的，本来期望不太高，但不曾想过一直掉盘，好烦。
intel 只能说高端好，低端其实也就那样。。。。
之前 sata ssd 买过 ocz，一直坚挺到现在，速度有下跌，但从未异常 /掉盘；
也买过东芝的 sata ssd，3 块坏了 2 块。

@pydiff intel 、光威、海康 的 nvme 我都用过，其中 intel 的 2 个月出现丢盘，保修后半年没事，但偶尔也会出现丢盘，不过重启后就正常了。光威的是公司用的，买了 12 个，有 8 个出现丢盘，2~3 个主控挂了。海康的自用，经常掉盘，但主控没挂，现在挂载去硬盘盒用，但是单次写入量大的时候发烫严重，然后掉盘，现在基本成了摆设....
听说三星比较好，但没试过，如果你在用的不错麻烦推荐下给个牌子型号。

如果房东有几十间房子，估计他都丢给中介管理了。

我朋友城中村地方，起了 3 栋楼，都是单间，1 层 4 间，共 6 层。
他是直接外包给别人，他负责起楼核装修，别人负责买家电和出租。
每月固定支付租金给我朋友，约定 10 年后家电归我朋友。

如果你要线上收，支付点数是个问题，估计没多少个愿意承担。
如果不是线上收款，那和开个 excel 记账有什么区别呢。。。

我自己的理解，

无状态 token 一般都是根据具体权限进行加密生成出来，接收到的时候解密验证权限，不存在加载用户信息。
比如登陆后的读写操作。
生成 token：md5 （ uid +md5 （ 1+1 ））
前端提交：token，uid （明文）
后台验证：
可读：md5(uid+md5(1)) || md5(uid+md5(2))
读写：md5(uid+md5(2))
*日志要记录就用 uid 就行了。

实际上生成规则还需要加入随机数等的，都是生成时候后端传给前端，后续前端都需要携带这些服务端才能验证，作用时防止被猜到验证规则。

然后还有一种 jwt，
这种直接把参数放入载荷里，传给前端，由于解密需要 key，所以前端是没法解密的，但是后端只需要获取到 jwt 就能解密出来。
一般情况下，你把用户 id，昵称，性别，头像，权限这些丢进去载体，
后端解密后就能直接用了，不存在查数据库。
jwt 加密方式是根据这些参数进行加密的，所以如果前端改了这些参数，加密的结果就会不一样，除非把 key 给碰撞出来了。
*很多文档都说不要把私密信息放载体，但我觉得如果对方能解密出来，那载体放什么已经不重要了。

最后，由于是无状态，那么踢出用户 或限制 不能多端登录类的无法实现，这时候可以配合 redis 做个黑名单功能，后端验证 jwt 前都查一次是否存在 redis 黑名单里，存在里面的就直接返回失败。

@WebKit #7 好吧，我审题错误，sdk 加固也有，但都要收费。

如果可以彻底抛弃 win，我会选择 linux，否则 linux + 虚拟机的方案我是不会使用的。
对比速度上，win 和 linux 不会让我觉得哪个特别快哪个特别慢。
操作便捷上，linux 命令行习惯了，操作上比 win 效率高。（但也是因为我不熟悉 win 的 ps
兼容度上，win 基本都兼容了，起码开发环境很丰富。

日常和工作场景：
QQ：linux 版本不想说，都是靠 Wine 形式，因为偶尔要帮别人远程（可能 2 个月才 1 、2 次，但是还是那句话，我可以不用但你不能没有。
微信：只有第三方版本
企业微信：只有第三方版本
各大厂商的小程序开发工具：只有 win/mac 版本。


所以我尝试过几次从 win->linux，最终坚持不了多久就换回 win 了。

腾讯--乐固
360 --加固

基础功能免费，
两个我都有用过，
两者加固程度不好说，
单纯使用体验上我比较倾向 360 的。


腾讯的：(首次注册登录)->腾讯云->每次循环流程->加固->上传 APK->自己时不时刷新下看看是否完成->下载->重新签名
360 的：(首次注册下载客户端->设置证书、密码)->客户端上传 APK->等待加固完成通知

换句话说，360 只需要上传 apk 后，加固成功了他自己下载回本地，自己帮你签名，然后提示你完成了。

@zyh94946 我也是女儿，我老婆之前老叫我生二胎，我直接把之前一个拍摄难产的电影给她看了，她再也没提过二胎了。说实话一个都已经烦死了，又要教她做作业，又要陪她玩...下班或休息时候想躺床就被骂有空也不陪女儿；和女儿玩赢了她就哭，总被说不让着她。别人家女儿都是棉袄，到我这就成了皮夹了.....

8 年前，
业务服务器就是普通 PC，linux 数据盘软 raid1，系统盘没 raid.
监管要求保留 3 年，通过 crontab 每天中午 12 点|下午 6 点|晚上 10 点 抄过去 PDC 。
PDC 通过 crontab 凌晨 2 点 tar 当日文件 抄到 异地 PDC 。
两台 PDC 都是硬 RAID 1 。
但是硬盘都是用家用盘。

当时手上是保留业务服务器的系统盘一份，
出问题的时候就咚咚咚的跑去机房，
看看是硬盘问题还是其余问题，
如果硬盘故障就换一个新的上去，看看同步情况，
如果不是硬盘故障就直接换备用机上。

当时这种方式用了 5 年，硬盘也只是出过 2 次故障，而且都不是数据盘，是系统盘。
那时候无非就替换个系统镜像盘上去就好了...业务中断也是 30 分钟内....

OSS 开两个，
1 个资源文件
1 个 HTML，oss 开启 html，开启版本号管理。
静态的请求都是：CDN->OSS.
API 的请求->api 网关（开跨域)

开飞机>妇科>幼师