未来都是靠自己搏出来的。

和房东说，你不同意涨价，涨价就不租了。要你搬走的话就说要时间找房子，谁让你不提前通知涨价。

@shanlan 电脑。。。不，头脑才是吃饭的家伙，键盘不是

https://github.com/xuanbg/insight_auth/tree/release/1.0.0，还没重构完。但缺的只是发送短信验证码部分了。我是准备重构消息中心来完成这个功能的，如果要轻量级一点，自己写个方法实现一下也 ok。

鉴权部分我是通过网关实现的，网关已经搞完并通过测试了。https://github.com/xuanbg/gateway，集成了限流、身份验证、鉴权，还有输入 /输出参数的集中日志采集。

哪有什么穷人思维富人思维，只不过是每个人的时间都有不同的价钱罢了。这些拆迁户老大妈，他们有钱，但没有赚钱能力。因为有钱，所以也没有去赚钱的欲望。他们的时间不值分毫，所以能省则省，省到就是赚到。

另外，按比尔盖茨财富增长的速度来算，他弯腰捡 100 美元绝对是不知道亏到哪里去了。但你觉得他看到地上的 100 美元会不捡起来？捡了就是穷人思维？不捡难道能赚更多钱？

涂层脱落，预约天才吧换屏幕

@icedir 中间人拿到 code 没用啊，他缺密码

招行金卡 6 万就到头了，转了经典白，提到了 70000.

楼上说 https 能搞定一切的，真的研究过安全么？ https 并不能防重放攻击，而登录最大的安全威胁就是重放攻击。我抓到一个登录的 https 包，原样不动发给你，token 什么的轻松到手。

@lsylsy2 https 也可以山寨，这种情况就不要讨论了吧，没有任何意义。我的方法你如何换成明文？我根本不传密码

登录的安全主要就是中间人攻击，而中间人攻击的实现方法无非就是重放攻击。也就是把截获的数据重发一遍或者重新组装后发送，所以防范的办法就是让重放失效。
根据以上分析，唯一的办法就是引入一次性密钥，并且不直接传递任何形式的密码。只要做到这两点，中间人就无处下手进行攻击了。

增加一个获取 code 的接口，服务端生成一个一次性的随机字符串，和用户名、密码一起计算出一个签名，算法可以简单地使用：md5(md5(passwd+account)+code)，因为服务端的密码已经是 MD5 值了，所以不需要再次 md5。签名结果作为 key 保存在 redis 中(value 可以是用户 ID)，然后把这个 code 返回前端。前端使用 md5(md5(md5(passwd)+ account)+code)算法就能计算出相同的签名。只需要把这个签名作为登录的唯一参数传给后端进行验证即可。后端拿这个参数去 redis 中找这个 key，找到就是验证成功。如果用户名、密码、code 任何一个参数对不上，都无法计算出正确的签名，也就不能通过验证。

中间人只能拿到用户名和 code，永远拿不到任何形式的密码。所以即使数据不加密，也是安全的。只要签名是一次性的，中间人拿到签名也没用。既不能用来登录，也无法还原出密码。

能者多劳，多劳多得

楼主新款 LG Ultrafine 4k ？效果如何？

@laike9m typora 很好，用来阅读 md 文档天下第一。但编辑还是 vc code 最方便

vscode+1，我不是开玩笑的

更加优惠的办法就是续费 5 年。。。。。。哈哈哈

变砖就没办法了

无法理解青轴的存在，沙雕老板送了我一个，噼里啪啦的我自己都觉得烦，转手就送别人了。

实在是搞不懂为何那么多人喜欢？

难道敲得越响越牛逼？