我也说一下我遇到的两次类似的事情。

第一次是我发现一旦 apt update 就报错，然后我 curl https 的网站，发现 curl 直接就 coredump 了，查看 dmesg 好像是 libgnutls 啥的出了问题。我想重新装一下这个包，但是又没法 https，又不想 http 。于是我在别的计算机上下载了一个这个包的 .deb ，安装后一切恢复正常。

第二次是 curl 某些 https 网站说证书错误。结果我重装一下 ca-certificates 这个包就好了。不过当时已经知道 apt 源下下来的东西都有 pgp 签名校验，于是就直接全改 http 源就能访问 apt 源了。

两次事情都出问题在 tls 相关的组件上面，你们说我是不是可以去买彩票了。

50 块，十分钟。

Spring security 这玩意儿真的有人用吗，感觉就是个黑盒，出了问题文档说不清，看源码随随便便就能抽象一堆东西出来，完全理不清楚内部的逻辑。

avahi

go 这种是对称协程，没有老爸儿子的概念。

@JamesMackerel 放在心里-> 放在

另外，楼主的文章里的说法：用 jwt 可以防止 csrf。csrf 本质上是用户不在你的网站，却能向你的网站发送请求，并且这个请求中还能带上他的凭据而导致的问题。所以要解决这个问题，要么你验证请求是不是你自己的网站上发来的（验证 referer ），要么你想个办法不要让浏览器自动把用户凭据带到请求里。

把 jwt 放在心里 authorization 里的操作一般写在 js 里，而不是利用浏览器自动携带 cookie 的行为，所以天然避免了 csrf。但是如果有人把 jwt 扔到 cookie 里，而且还没做 csrf token，那么其实还是会有 csrf 的问题。

@encro 很多人对单点登录自动跳转有误解，认为它可以管理接入服务的 session。实际上单点登录并不管理甚至不关心你的 session。单点登录的职责是认证用户，并且把用户的身份提供给接入方，用户的登录态还是要服务自己管理。

加密字段需要查询的话，目前在网上别的地方看到的一个方案是做一个冗余字段，在里面放一个 原文加盐后 Hash 的值，查询的时候就查这个字段。但是假如遇到了碰撞，那就真的不知道怎么办了。

如果这个时候我失业了，我想我会去武汉做志愿者。

话说 autocmd 应该本来就有 ft 识别的吧。有必要把它放到 ftplugin 去吗。

用 vim go 一定要记得 checkout 到一个稳定的工作 tag 上 。

做安全要看是做哪方面，如果没选好方向，很容易陷入无限的扯皮中。

说的是 oauth 压力大吧，这个可以理解，毕竟每一次请求都会问一下你的 sso 服务器。按照上面老哥说的做个无状态，前面挂个 nginx 就可以了。

spring security 的学习成本太高太高了，如果只是一般的应用的话，还好，但是如果是要稍微做一些什么定制，你会发现查文档都查不出思路。

@dbskcnc 那我还真没怎么写过 C++……我对面那个写 C++ 的老哥总是跟我说，clang 它不香吗。当然我自己是没体会……

然后还听过有的公司因为 C++ 编译过于慢，所以自研编译器以期提高编译速度的。其实到了一定地步，编译器的速度确实会是一个很大的问题。但是其实在大部分情况下，其实编译速度都不应该成为主要的要考虑的点吧。

之前升级到了 2019.2，后来实在受不了就退回来了。现在他让我升到 2019.2 我直接点 ignore this version。坚决不使用 2019.1 以后的版本。