用mac book就不能用windows非要用渣渣os x么。反正我电脑里mac唯一的用途是关闭开机声音。。。

debian7

@winiex
不需要和我解释token是什么，以及oauth的流程。
先不提很多实际应用中发送的并不是帐号和密码，而是在网站上设置的独立的key。
最基本的问题是。token是怎么来的？是否是在网上提交帐号和密码换取的？

oauth的确有很多优势，但你并没有证明http basic验证就是一个不该使用的方式。

如果你觉得是，请给github发邮件抗议吧……

@bolasblack
顺便提一下，github的api现在也依然保留着http basic验证吧……

curl -u <username> https://api.github.com/user。

虽然说存在即合理这句话的确有点操蛋。但以自己的需求去否决别人的需求，个人觉得，也有点操蛋的嫌疑。

@bolasblack
1.你的前提是建立在api访问没有使用独立密钥的情况下，所以，和https basic本身的有啥联系么……
2.无法理解这个逻辑。有时限，所以泄露了也没不安全？
3.这个是是否发送明文密码的问题，和https basic本身有啥联系？
4.你讨论的是api还是网站？网站不做https很容易理解。api不用https不就是和登录不用https一个道理？

你也无法证明不使用https时，使用oauth/其他token方式是安全的。不是么？
或者说，你是想告诉大家，所有用帐号密码登录的网站都是不安全的？安全不是以最短的那个木板来决定的么？

@bolasblack
不是https难道token就不暴露了么？
不是https第一次请求token的时候一样要发送帐号密码的吧？
不是https没有讨论的价值吧……

回家的路上边开车边想，其实楼主的做法有点坑啊。

首先session本身并不是一个缓存，session本身是有过期时间的token以及对应的数据，一般构建在缓存之上。以express为例，其实session本身是构建在mysql/nosql/redis/文件/内存上的，而不是缓存本身。php的话道理也一样。也就是说，session本身是一个需要缓存的东西，而非缓存。后期去用session实现缓存本质上是多次一举了，还要复出更大的代价，以及无法在别的需要缓存的地方复用。

再说客户端。如果要使用session, 那么必须要考虑过期，过期后需要用专门的接口认证，也就是基本上实现半个oauthtoken。那别人不用县城的oauth库，去使用session，不是自己和自己过不去啊。

@yuankui

就沟通本身来说，我觉得你有个问题。

你只是提出了一个自己的觉得能够解决问题的方案，

你所有的沟通都没有否定对方的方案有效。

你也没有解决'有些人就是不愿意写session'的问题。

你在没有说服别人的请跨下(既没有证明别人的方法无效，也没有证明自己的发放更好)，却认为别人难以沟通，这才是问题。

PS，如果是session和http basic认证给我选的话，我真的会选http basic认证。
不论是request.js的jar,或者file_get_content的set_headers，都很蛋疼。

@paulw54jrn 不需要失效，直接更新缓存就可以了。
假设缓存是 username对应hash后的密码的话

觉你的同事没什么大问题啊。这不就是一个HTTP basic验证么。在oauth普及前本来也是一个比较常见的api解决方案吧。
以REST来说，不用session也算 符合 state-less的标准啊。
既然你的问题是是否每次都需要查询数据库，那么的确做个缓存就可以了……

其实session也要考虑很多问题啊。客户端的储存与过期处理，服务器端的集群处理，用户session的注销等。

既然缓存能解决，何必用更重的session呢。

code

没有好好用过其他语言盲信一门语言有必要么。

虽然我现在主要是靠php赚钱的，但php依然是我用起来最不爽的语言之一。

多学几门语言没坏事。

再说一点，一直觉得，不觉得学习一门新语言是 / 库很有趣的事情，反而觉得很麻烦的，个人不觉得适合做程序员，这世界多的是写代码能写出快感的人，趁早做职业规划比较好。

sed重度粉丝路过。
没有sed基本都不知道该怎么写shell脚本了。

非科班和培训出来的是两个概念。

mbp?
dell的公司坏过一个商务本(1年)。
hp被我年抛N多超级本。
公司就airbook坚持的比较久。
所以这次入了个mac跑debian。

30入行的飘过……
整了php,nodejs,运维，前端等等之前没接触过的玩意……
要说30是个坑，唯一的解释就是30岁后，学校里学的那些过时的东西彻底没价值了，又学不会新的东西。