 | erobotV2EX 第 85519 号会员,加入于 2014-12-07 00:05:46 +08:00 |
erobot 最近回复了
2017-08-10 20:40:48 +08:00 回复了 baiyi 创建的主题 HTTP 请教各位一个问题, 为什么 session 机制没有被 JWT 所取代? |
不是做 web 的,查了一下说一下理解。
http 协议设计是无状态的,业务如果要求会话的概念,那么需要用某种技术实现,通常都是基于 cookie 的。session_id 和 jwt 都是某种实现会话技术存储在客户端的数据而已,主要区别应该是在于格式和标准化程度,他们完全可以存储一样多的信息,如果空间没有限制的话。
按照我的理解,正常 jwt 里面也应该是有类似 session_id 一样的信息的,不然就是密码本身而不是 token 了,尤其是类似登录状态,服务端应该有能力回收客户端的授权。
关于客户端是否应该存储所有会话状态信息,rfc6265 里面有这样的说法:
8.4. Session Identifiers
Instead of storing session information directly in a cookie (where it might be exposed to or replayed by an attacker), servers commonly store a nonce (or "session identifier") in a cookie.
...
Using session identifier cookies limits the damage an attacker can cause if the attacker learns the contents of a cookie because the nonce is useful only for interacting with the server (unlike non-nonce cookie content, which might itself be sensitive).
http 协议设计是无状态的,业务如果要求会话的概念,那么需要用某种技术实现,通常都是基于 cookie 的。session_id 和 jwt 都是某种实现会话技术存储在客户端的数据而已,主要区别应该是在于格式和标准化程度,他们完全可以存储一样多的信息,如果空间没有限制的话。
按照我的理解,正常 jwt 里面也应该是有类似 session_id 一样的信息的,不然就是密码本身而不是 token 了,尤其是类似登录状态,服务端应该有能力回收客户端的授权。
关于客户端是否应该存储所有会话状态信息,rfc6265 里面有这样的说法:
8.4. Session Identifiers
Instead of storing session information directly in a cookie (where it might be exposed to or replayed by an attacker), servers commonly store a nonce (or "session identifier") in a cookie.
...
Using session identifier cookies limits the damage an attacker can cause if the attacker learns the contents of a cookie because the nonce is useful only for interacting with the server (unlike non-nonce cookie content, which might itself be sensitive).
2017-08-06 22:54:05 +08:00 回复了 Joestar 创建的主题 随想 时间真是洗地的唯一利器 |
只看这件事的话,华为和腾讯对数据的争夺能把隐私数据的问题公开引起大众注意的角度看,华为也算做了件好事,虽然它是主要应该为了自己的商业目的而不是用户。早期的暴露对用户来说应该是好事,如果一直让有大量数据 BAT 等一直蒙头干的话,几年后大众都习惯数据被使用而麻木了,就不知道以后隐私数据的保护规则会成怎样了。后续怎样能使用户的利益最大化,这个在中国感觉可能是看国家和人民对这个问题的认识程度,保证国家 行业的利益也不至于让人民过于反感,通过什么途径感觉倒不是最重要的反正最后肯定还是国家说了算。
当前的环境下,这次的争夺我是支持腾讯的,微信现在还是要用的,在规则制定完善之前,还是减少数据被获取的公司吧,用户是弱势群体
当前的环境下,这次的争夺我是支持腾讯的,微信现在还是要用的,在规则制定完善之前,还是减少数据被获取的公司吧,用户是弱势群体
2017-04-21 10:05:27 +08:00 回复了 bccber 创建的主题 程序员 我这个服务端 有必要使用内存映射文件吗? |
怕 A 读数据影响稳定的话, billlee 提到的共享内存也类似, B 把数据处理好后放内存,通知 A 切换使用新数据
2017-04-21 10:02:38 +08:00 回复了 bccber 创建的主题 程序员 我这个服务端 有必要使用内存映射文件吗? |
感觉你需要的只是要避免 A 对外停止服务,如果内存够,那 A 多开一个线程读数据,读完了后切用新数据,把旧数据释放掉就好了
2017-04-19 18:16:40 +08:00 回复了 alwayshere 创建的主题 程序员 编译 opencv,老是终结在“c++: internal compiler error: Segmentation fault (program cc1plus)” |
32 位进程最大可用 4G 内存, opencv 这种复杂的库也许可能会内存不足
2017-04-19 12:09:48 +08:00 回复了 sunjourney 创建的主题 程序员 Shell 编程问题,怎么保证脚本的执行环境在没污染的环境下? |
没做过,不过感觉可以参考一下图片服务器的设计,随便找了一个回答
https://www.zhihu.com/question/22479662
https://www.zhihu.com/question/22479662
2016-10-21 21:12:03 +08:00 回复了 erobot 创建的主题 程序员 一个国外网站,怎么加速国内用户的访问? |
@nfroot 如果 CDN 的话,动态生成的页面同城是怎么处理的?还是动态的还是跨地域访问,静态资源 CDN ?
2016-10-21 21:10:45 +08:0 回复了 erobot 创建的主题 程序员 一个国外网站,怎么加速国内用户的访问? |
@crayonyi 后端需要访问数据库,数据同步怎么处理比较好?还是只用一个,跨地域访问?
Select Language