有呀，某商业公司，充值的时候不用脸，取回来的时候要脸。

正常情况下，家庭版是给家庭用的，楼主这种行为相当于花钱认干爹。既然认了干爹，为什么不老老实实听干爹的话。这种认干爹的行为，是要比盗版更扰乱市场的行为。

我补充了电源线折断示意图
@Kirscheis #1 surface 线又粗又重，皮实是皮实，但是里面那么粗的金属导线还是不经来回弯曲，光本身的重量都回导致来回弯曲。看那结构，焊接相当有难度
@xmoiduts #2 15W 电源功率不够，surface 电源又是适配器跟线一体无法拆分的。

@rayingecho #52 我又特意去看了一下，JWT 的 Header 和 Payload 是 Base64Url 编码，即明文，你要是放授权那就相当于把授权配置明文公布出去了。如果别人猜出来了签名密钥，原来只能伪造认证，现在还能伪造授权。

到这里我要纠正我之前的结论了，因为 Payload 是明文的，所以单靠 JWT 自身，是不能完美解决可以被复制的漏洞的。

@rayingecho #47 JWT 是弱加密，容易被人反向工程。当然你这个方式是为性能优化的，没啥问题。

请先了解分层的概念，虽然我没了解过 flutter，但也能猜到至少有这些层：框架层、高级抽象类库层、操作系统适配层、码农开发层。所以不用担心别的平台不放手，只要谷歌愿意做适配层和类库层，根本不用鸟其它平台。

当然，理想很丰满、现实很骨感，跨平台思路迄今为止还没有成功过的，也就勉强有一个半成功的 Java。这个 Flutter 的适配层不光要匹配不同的操作系统，还要匹配不同的生态圈，成本无法想象。

要是大量数据还可以弄个算法去判断，单个数据就别想了，操作系统、编程语言、多语言网站环境等等，提前设置 local 都是必要条件。

同问 ipadpro 打字做什么呢？

超级网银和招行专业版了解一下。申请个招行储蓄卡，开通专业版网银，使用虚拟机加 IE，用超级网银的方式绑定其它银行，以后只用招行网银，让其它银行见鬼去。另外浦发银行的网页版不需要 IE。

list.size> 10，啥 list 也救不了你

首要要了解令牌、认证、授权，然后再看下文。注意，在中文中认证、授权有时候是名词，有时候是动词，需根据上下文判断，它们在英文术语中动词和名词是不同的单词。

先说结论，JWT 不能替代 Session，只能替代 Session 的部分功能，即认证。

JWT 是作为令牌设计的。如果只是入门使用，那么设计的是低级令牌，有这些特点：一、需要预先申请；二、不可伪造，但可复制；三、令牌是唯一认证手段，见牌如见人；四、有有效期，但不可收回；五、可以负载其它信息，包括授权。低级令牌有这些漏洞：可以被复制；可以被冒用；不可回收。另外还有一个大漏洞，直接在令牌上放授权，不过一般没人这么干，所以不讨论这个漏洞了。如果你回用 JWT，那么这些漏洞都可以解决。

关于可以被复制的漏洞，最简单的解决方案就是负载中包含客户端 IP，认证时增加额外认证“令牌中 IP=客户端 IP ”。大部分情况下客户端 IP 是不可复制的，如果需要更高安全度，那么就增加更多的不可复制信息，比如 APP 上的设备识别号。作为对比，Session 方式同样有该漏洞，而且复制更简单，只要复制 Header 就够了。而 Session 方式是不能独自解决该漏洞的。

关于可以被冒用的漏洞，这个漏洞单靠 JWT 或 Session 都是无法解决的，只能通过二次验证、行为分析等其它方式去解决。

关于不可回收的漏洞，有两种解决方式，一种是 JWT 认证+辅助认证方式，一种是纯 JWT 认证方式，前者更有效和更简单但有性能损耗。JWT 认证+辅助认证方式是这样，使用 Redis 或数据库维护一份以发出的令牌为键，以用户 ID 为索引，以有效性为值的表，在认证令牌的同时，认证令牌的有效性。如果不考虑性能的话，还可以更简单，辅助认证方式改成直接去数据库查询该令牌代表的用户是否还有效。纯 JWT 认证方式，就是令牌的有效期设置的特别短，但每次认证后都向客户端发放新的令牌。作为对比，第二种认证方式等同于 Session 方式，第一种认证方式优于第二种方式和 Session 方式。

最后，如果深入研究 Session，你就会发现,在认证阶段，Session 本质上也是令牌。但是 Session 不只具有认证的功能，它还有会话存储的功能，这点 JWT 是没有的，所以可以结合使用 JWT 和 Session。比如用 JWT 做认证，用 Session 保存授权，当然还是建议用 JWT 做认证，用 Redis 等缓存来保存授权。

别闹，没有我网易 /盛大 /九城 /xxxx 帮你搞定文化部和版署，你能有机会充钱，再闹，把你推荐给杨永信。在中国现行对电子游戏的看法上，你只能老老实实当孙子。

@lengyihan #21 市场经济下国家宏观调控的手段从主到次是经济、税、法律、行政，你这方式不管怎样都要人工直接干预市场，说破天也最高到达行政手段，计划经济无疑。

电子证件要是真安全，发证机关（ ZF ）为什么不自己搞。我只能说，楼主心真大。

@gamexg #26 如果我没记错的话，Adblock 在 chrome 上的两个分支，跟 Google 是有合作的。
此事基本上来说，经历了前面两个版本的强制 UI 改版、强制隐藏 www、强制隐藏 http 却没有太大的反弹之后，战略人员膨胀了，没有经过技术分析就弄了个性能理由去打压不合作的广告过滤扩展，结果被打脸了。

replay to “谷歌这个公司为了钱，什么都做得出来，GG Chrome 一统江湖的时候，还有多少选择？”
说出前半句你要么是喷子，要么太年轻，商业公司的本质就是为了钱什么都做得出来，所谓天下乌鸦一般黑，你不能喷乌鸦黑，也不能以为乌鸦是白的。至于后半句，Firefox 千万不能死。

直接上冰淇淋，送宽带和 iptv，不是合约可随时停。前提是你所在的城市有这种业务，另外在特殊阶段（比如世界杯期间），iptv 可能会被广电掐信号。北方优选联通，电信会有端口误封、防火墙等各种幺蛾子。

楼主说那么多，其实指标就一个，傻瓜式。在入门领域，确实也就这一个了。

@lengyihan #9 你这是计划经济，管不管用四十年前已经又结论了。