@nnegier #4 重放攻击行为本质上和 token 没有必然关系。防御手段其实有很多，一般常见的：
1 、使用随机数或者时间戳，加上请求参数 hash 后的值 一起发送给服务端，保证在允许的时间误差内，防止重放。
2 、 一次性的 token 。这个不是说是用户鉴权用的那个 token 串，而是针对某些特殊业务、特殊的接口，在使用前，需要单独获取一次 token ，然后拿这个 token 去请求（和 csrf 的防御类似），安全性高
3 、限流，对某些特殊业务、接口，限制用户的操作次数和操作频率()。
4 、more etc.

如果请求频率过高，那就是 CC 攻击了，这种直接根据请求特征 ban ip 就行了。

现实生产上，一般都是组合使用的，不会说哪种好，那种坏只用一种。另外，如何真的需要开发一些比较敏感的接口，一定要在请求中加时间戳+加密！这个可以参考微信服务的的 AES 请求参数认证，是个很好的例子。

噶了😂😂

@studyingss #5 潜水潜了 4 年，氧气用完了，从水底浮上来了

发生甚么事了 --

半个算不算？

Q: 今天可以把 404 和 403 之类的状态码换成 418 ？
A: 418 I'm a teapot.

如果参数较少，直接传递，更方便；如果参数较多，解构传递会更清晰和可维护更好。

当然怎么使用都可以，不会有性能问题，这个完全是个人偏好。

不成立公司，光靠广告，没有内购， 没有会员付费，就不可能有十分自信的收入的。

都是差不多的，可以试试这个整合包: Sa-Token

OP 可以好好地介绍一下自己，搞不好还能再收获一波

试试移动端 Edge ，已经可以安装扩展了

到期了，又不是不能用了？你购买的那个版本完全可以一直用下去啊

之前看过一个帖子，最近新版 win11 ，进程那里的 CPU 占用率是假的，不是真实的负载。

真实的负载要去详细信息里，看空闲进程的 CPU 占用率。

巨硬巨坑。

京东主站
jd.com 的认证域是 https://passport.jd.com
账号密码、手机号登录都是走此域。

京东物流
jdl.com 的认证域是 https://sso.jdl.com

在 jdl.com 点击页面的登录按钮会调用请求 https://sso.jdl.com/sso/login?from=jdlwl_pc&ReturnUrl=https://www.jdl.com/
这个请求会将信息转发到 https://passport.jd.com/new/login.aspx?sso=1&from=jdlwl_pc&ReturnUrl=https://sso.jdl.com/sso/redirect
然后在 jd.com 的认证域认证完成后，通过回调的 url 返回 jdl.com

这就是传统的 SSO 单点登录，借助 passport.jd.com 的 cookie 或者 stoarge 配合回调 url ，完成跨域认证。

想吃瓜

耳鸣~~~，我经常听到的是黑白电视机，没信号，屏幕拉成一条线的那种声音。
医生说，是肾虚。。。

@gwbw #5 我也想到这个案例，哈哈

未来肯定会消失很多行业，或者说岗位，但是随着 AI 大势到来，更多的行业或者岗位肯定像雨后春笋一样爆发