mitmproxy 的根证书安装的时候是访问 http://mitm.it 这个链接, 而这个链接在他们国外服务器, 所以可能很慢很慢很慢很慢, 多刷下试试
-----
这个不对吧，http://mitm.it 是 mitmproxy 代理直接拦截返回响应的

验签等基础性错误中使用 418 错误代码 “I'm a teapot”。
---
这不影响业务吗？

@Wincer 确实，不过楼主也说了，问题在于*2 处的方法也会跳转 init 。


@AbcHiyi 会不会是 vscode debug 的问题，尝试直接执行呢

不传输 secret，调用 API 时，只传递 ak 和必要的数据。像阿里云 API，sk 是用作对称加密并进行消息签名，但我比较好奇的是，都说非对称加密安全性要高一些，为啥阿里云却选择了对称加密？
---
没用过阿里云的 API，通常用 ak 和 sk 做验证的 API，是只传 ak，用 sk 给消息体算签名（哈希算法），这样如果有中间人截获消息，没有 sk 没法算出正确的签名（哈希值），同时在消息体中包含时间戳防止重放攻击。

传输 secret，像 OAuth2 授权，在去获取 code 时，ak 和 sk 都要传递过去，那传递过程中不怕被截获吗？
---
如果中间人能够截获请求和响应，不管在不在请求里传 sk，只要拿到响应里的 access_token 就万事大吉了。就有了用户身份。

我的理解是，前者的响应是资源，保护的是用户身份。后者的响应就是用户身份，所以传不传的无所谓。

@amarant 您看回复了吗？假如以被猫咬了为理由去天才吧咨询，能免费修还是不能免费修，这不是碰瓷；都扯出来镀膜质量了，这还不是碰瓷吗？

您这...下次猫猫把手机拨拉地上屏碎了，是不是手机屏幕质量也不过关？下次猫猫把杯子拨拉地上打碎了，是不是杯子质量也不过关？合着生产个笔记本还得防猫咬，防电钻，防核弹。