token 的作用是一次性凭证

假设一次会话是 S1 -> B -> S2
S1 跟 S2 商定好 token，那么 S2 如果能接到 S1 的 token，证明此会话必有 S1 参与，不是 B 凭空造的，它防止的是 B -> S2 的流程未经 S1 授权，（或者说防止没请求过 S1 的什么 C -> S2 ）（ CSRF token ）

假设一次会话是 B -> S1 -> S2
这时候 S1 向 S2 出示 token，作用是防止 B 绕过 S1 的代理直接请求 S2 得到结果，此时 token 保证 S2 收到的请求一定是 S1 发起的而不是其它的什么服务器或浏览器本身 （ SSRF token ）

这些都是在不考虑信道，只考虑逻辑情况下的额外安全措施，首先信道不安全的话 token 可被窃取盗用那安全性是白搭，但就算信道安全，恶意代码也可能通过各种方式混入到请求中，比如存在 UGC 内容里，或者 XSS 从接受输入的地方混入了代码，token 主要防的是混入的第三方恶意请求

黑科技又不是他自研，我怎么觉得现在信以为真的人就跟轻信什么磁疗红外聊这个药那个药的老人一样

都被商家随意忽悠一下就进去了

剑走偏锋……算其它目录的总大小

@runziimo 比如。。。你发现公司倒闭不发工资没公司肯招人并且辛苦存的 10w 块钱已经只值 1 块钱了。。

看成了“一大堆小朋友”。。。

翻了翻历史发帖……恩 印象没偏差…… lz 你确定要教大一……

我觉得我需要作为游戏玩家来 ky 一下

玩家： 什么？你们那个贴图 /模型 /剧情 /机制做得那么烂飞天 /穿墙 /即死 /卡地形 bug 这么多都不修却在纠结句号不能放行首怎么办？？？

先还钱

总觉得是个常见题材设定

补充设定： 这个时间是绝对的，颠倒因果的时间，正常来讲，死亡是作死原因导致的结果，然而你所知的是已确定的未来，你所经历的只是因为在这个时刻必然会死这个原因修成出来的结果


那就很有意思了，我当然想知道，并且想了解世界如何运作的，在颠倒因果的逻辑框架下会发生什么

1 点睡不着叫失眠？

你让 11 点关游戏 12 点睡觉最后 3 点钟还看了次表的人情何以堪

不用，你只需要学一门 c++ （ 逃

不是分不清
分得清
比如上面这个得就严格地用了“得”的 de

问题是打了一串字输入法中间给了个错的看的人也懒得纠正你也懒得跳过去改错就错吧也不影响什么

但是正式文书文档里我都会校对改正的




比起这个 不觉得引号的存在意义在口语中已经基本消失了吗

运维发现放一块沥青铀矿能让服务器定时 24 小时重启

然后他们做了个机房每个机器旁边摆一个矿石以此替代 crontab

@wutiantong 还真说不上来为什么，但感觉也说不上来隐式转换有什么必要性，从 A 隐式转换为 B 这个场景其实一般真正的目的只是想提供统一的接口，这完全可以通过调整抽象层次解决，A 转 B 的写法也必定是侵入式的，一定程度上破坏了封装，除非 B 是 A 的派生类型。但派生类自带多态，类型转换真的会用到吗

就比如这个比较

https://gist.github.com/pnck/8875c927da7aaa90e6da72a1a1245616

写成这样是不是会好一点？

注意使用接口类的 value()是多态特性，并不是隐式转换

@wutiantong 避免隐式转换才是最佳实践