@seth19960929 #38/39

抬杠。

难不难？难。 能不能？能。所以因为这个就 必须、一定、绝对 要前端签名吗？而且一直说的是 S-S 。

https://v2ex.com/help/api

包括 v2 的 api 也是 有个固定的 token 就行。我保护好我的 token 即可，泄露了就重新生成。Server-Server 的模式。

sign 私以为适合的是类似 S3 的私有文件开放给他人下载场景用，三方用户无需任何配置可直接凭 URL 访问资源。

@andyskaura yep

@seth19960929 #29
太能了。客户端抓个包而已。

https://zhuanlan.zhihu.com/p/355450670
https://blog.csdn.net/qq_44862120/article/details/107467725
https://www.cnblogs.com/cherish-hao/p/12815603.html

ios 越狱后照抓不误。函数 hook 完每一步干了啥都清清楚楚。S-S 服务端，没必要，可以客户端证书。C->S 端，更更没必要。

@jiulang #32
精辟！

@ychost
@andyskaura

的确不冲突。但是。是否 [必须] 要 md5/sha*/hmac* + salt 。直接在 https 基础上 basic auth 行不行呢？

@seth19960929 #16

这场景都是 C->S 。那 S-S 呢。

C->S 自己实现一套 Sign 的意义呢。浏览器端 JS 公开的，sign 的 salt 哪里来呢。安卓端 Hook 之后一览无遗。图个啥呢。

好多回帖。就没人说说为啥列举的几个 server-side 的 api 他就是不用签名呢


看了一下 PKCE 是防止被拦截请求。本质上仍然需要一个 CODE 在本地。否则你调用接口的凭据是什么呢。

@zhengkai
https://github.com/labstack/gommon/blob/master/log/log.go#L74

func output() return os.Stdout

@sadfQED2

2. 好像更满了....
3. 这块儿有好用的包吗

@mstmdev

goos: darwin
goarch: amd64
cpu: Intel(R) Core(TM) i7-7820HQ CPU @ 2.90GHz
BenchmarkStdout-8 10000 261816 ns/op

@Trim21 嗷嗷快。嗯。

oralce linux 更清爽

@murmur #8

fuck 要判断两个 person 性别是否一致吗

占楼

google / facebook / twitter

你想象一下：
国内对应就是：百度 / qzone(qq)|微信 / 微博