1
chemzqm 2014-09-25 16:28:25 +08:00
让用户把 secret 放到前端感觉挺不负责任的
|
2
loading 2014-09-25 16:54:42 +08:00 3
前端提供AES加密后的密文,提示输入密码,在解密存到本地cookie,在自己电脑上其实也就输一次!
在线提供一个工具对API密钥进行AES加密,当然这样改密码比较麻烦,但相对安全很多! |
3
easychen 2014-09-25 17:40:44 +08:00 1
我觉得把key完全放到前端还是太危险了,要么就提供一个集中式的API中心,通过domain来分配内容,第一个设置密码的人获得管理权( cvbox.sinaapp.com就这么做的 );要么就提供一个服务器端docker image,pull就启用。
顺便,我很看好Airpub这类前后端分离的书写工具。可以把云端接口定义一个简洁的规范,然后由社区来贡献各个语言的实现版本。 Ghost虽然好用,但后端是Node,服务器上维护起来还是不方便,难免变成只能在Node社群流行的东西。而如果Ghost后端有PHP实现,我想就不同了。 |
4
willwen 2014-09-25 18:39:49 +08:00 via iPhone
@easychen 道理也是一樣的,即使換成了PHP照樣只能說是PHP社區裡玩的,糾結語言從來不是好事情,更何況ghost也提供如wordpress.conm這樣的服務。
(好吧,我是Node.js粉,拍黃片黑 |
9
easychen 2014-09-25 20:21:46 +08:00
@willwen 你自己的浏览器支持有什么用,得访客的浏览器支持。
而且吧,你做过没做成,和别人做不成没什么逻辑关系… 后端API独立,和古代那种一个程序有N个版本是不同的,最大的区别就是后端API独立可以共享模板市场,从而可以构建一个跨语言的生态出来。 聪明人多,我就不细说了 :) |
10
willwen 2014-09-25 20:26:16 +08:00 via iPhone
@easychen 其實思路是好的,我沒做成是因為當時精力有限罷了,要做成一套完善的標準,先得有一套完善的實現作為基礎。
|
11
loading 2014-09-29 12:08:58 +08:00
突然想起来,其实我上面说的前端加AES也挡不住暴力破解的,必须有认证服务器来防爆破!
自己那太天真了! |