就是微服务，内网 HTTP API 直接读

node 前后端一把梭，用 nextjs 之类的框架

2D 游戏我做过，2D 引擎不怎么难的，会编程的话，上手很快

不要自己从零开始，去下载网上分享的游戏资源来改，几天就能魔改出自己想要的

搞点搞笑小游戏，录屏发到 B 站可以赚钱

去年有个外卖骑手发起骑士联盟，半年发展群员一万多人，今年涉嫌“寻衅滋事罪”羁押于朝阳区看守所

仅供参考

“如何验证这些不同的值是同一个密码呢”

这类密码哈希，要验证密码，不是再 hash 一次去对比，而是用配套的验证函数。要验证密码是否正确，你看文档找到对应的函数方法去调用就可以了

如果你是想做彩虹表，那别想了，随机哈希就是为了让彩虹表失效

静态文件链接不带 userId 参数吧，按你的代码，链接没有 userId 判断不了是否灰度

但是判断不了也应该回源 production_server 啊，怎么会是代理机器呢，你确定没搞错？

无聊、烦躁、焦虑时想抽烟，跟巴甫洛夫的狗听到铃声时就流口水的原因是一样的，是条件反射

戒烟是表面，深层逻辑是改变行为模式

比如有的人焦虑是来回踱步去缓解，有的人是通过钓鱼享受属于自己的时间，找个能接受的试试看

运营商的话术越来越无耻了，前两年电推说免费送，还会问你要不要接受，现在反过来问你要不要不接受了

@MeloForsaken 不是公共依赖，就拦截过滤

网关->鉴权->网关，这种是把请求转发给 Spring Cloud Gateway 匹配路由执行 Filters ，Filter 把权限信息加在 Headers 之后 Spring Cloud Gateway 再自己把请求转发给业务后端，相当于总共反代两次

还有一种常见的是类似微服务的形式，鉴权服务不管实际请求，只提供鉴权 HTTP API ，网关收到请求把信息发给鉴权 HTTP API ，拿到权限信息添加到 Headers 转发给后端

比如用 Nginx + ngx_lua 可以在 rewrite_by_lua 阶段请求鉴权 HTTP API ，把响应的权限信息写入 Nginx 变量，通过 proxy_set_header 传递给后端

location /openapi/ {
set $authinfo '';
rewrite_by_lua_block {
... resty.http 请求鉴权内网 HTTP API
ngx.var.authinfo = 响应的权限信息;
}
proxy_set_header "AuthInfo" $authinfo;
proxy_pass ...请求内网后端的反代配置
}

这样后端就可以在 HTTP Header 的 AuthInfo 里取当前用户和权限信息了

什么怎么写，不就写拦截器那样写么，这问题问得太宽泛，很难答。你要问具体哪个语言的怎么说，大家还可以给你推荐一些框架例子

如果不大懂，干脆用软件方案得了，APISIX 之类的开源 API 网关，带控制台，可以像用云厂商 API 网关服务那样配置

QQ 老毛病，大概率在扫描硬盘或者疯狂写日志

几个 G 这么大的日志目录，你见过没，QQ 就会有

一步到位是消费主义的谎言.jpg

后期发展谁说得准呢，不需要过度设计，有一定设计预留就够了

后期差异太大再分开，重新设计 AB 两张表，迁移或者根据券码、时间决定读新表还是旧表

一、为什么有 HTTPS 还要另外签名

1 、确确保参数完整传递，没有截断、转义之类的问题；
2 、防止因 URL 泄露导致的安全问题；在浏览器历史记录、代理自动配置 PAC 、网络流量审计（包括服务商自己的前端服务器）等场景，URL 可能被记录，如果密钥就在 URL 里，会存在重放、非法构造新请求等隐患；签名就不会有这个问题，密钥不会离开代码环境，签名链接只能用一次。

二、OAuth2 的应用场景是：允许自己的用户授权给第三方读取用户资料，但又不希望第三方拿到用户的账户、密码，这样就可以按 OAuth2 标准建立一个开放授权流程，用户在自己的网站登录，授权时通过 OAuth2 建立一个令牌发给第三方，第三方拿着这个令牌来读取资料。内部授权一般不搞这么复杂，除非产品线是互相独立的。

三、Session ID 和 Token 基本没区别。JWT 的区别是，JWT 带签名，前端服务器不用查后端 API 就能判断这是不是你们签发的令牌，非法构造的和过期的不用到后端验证就能给拒绝掉。普通 Token 没签名，只要格式对了，不查后端你分不清这是不是你签发的。

四、常规 HTTPS 是用户单向认证服务器，服务器不管用户是谁，匿名用户也建立通信。双向认证是服务器也要求验证用户，用户必须使用服务器签发、认可的证书来建立通信，证书不对的就拒绝。

五、私有 API 和公共 API 一样安全靠鉴权机制。但文档有利于理解和构造 API 请求，对调用方来说，有文档省很多事，可以说保护好私有 API 文档可以增加额外的安全性。

中间人抓包为什么不涉及安全学问题，涉及啊，HTTPS 就是为它而生的。按 F12 可以看到请求，因为 Web 设计思想就是开放，互联互通，不搞黑箱，用户有权知道自己在访问什么站点。

哈哈，刚想说 V 站就有个代理，可以问他，一刷新页面看到他评论了

连某手这种非公开 CDN 的链接都有，大概率是盗链的

利用大平台分发内容的黑灰产真不少，以前还见过用 QQ 空间日志分发木马的，把脚本 base64 编码发成几篇日志，拼接起来解码就拿到了木马脚本

bat 脚本可以修改注册表字段（代理设置就在注册表），可以查询当前网络接口信息（有 SSID ）

会编程可以自己写个自动修改脚本，然后把快截方式放到开机启动，或者在任务计划程序添加任务，解锁电脑时触发或者连接网络时触发（这个配置复杂一些）