dcdlove

可以使用高德地图图片图层 支持把 png 覆盖到地区区域上
https://lbs.amap.com/demo/javascript-api-v2/example/selflayer/imagelayer
，mapbox 也可以

我是一个喜欢报警，但是又喜欢躲起来看热闹的人。比如看到流浪汉在某个角落躺着，比如楼下两个人在很大声吵架，比如大晚上有人在楼下发酒疯，比如有人在车里哭，疫情期间在院子聚集晒太阳打扑克的，我都会报警，反正十几次是有的，一般不超过 10 分钟附近警察就到了，一般到了会电话问我具体位置，我都不露面就电话说，反正我都很满意，这些人要么被带走要么被驱散，或者批评教育，最后我还能收到报警评价反馈 😰

@wentx #327 例如用户密码如果是生日，明文传输给后端，首先开发人员会知道，如果数据库被黑客攻击泄漏了，将用这个密码去撞库其他平台，如果用户各种账号都是这个密码那用户是不是很悲剧，
但是如果 前端将生日处理成一个无意义的不可匿的字符串，就能规避开发人员和系统数据库被攻击后造成的安全隐患。这些都是前端职责范围内要做好的，你要说电脑又病毒监听了网页或键盘活动的情况那我就没法给你答案了，至于公钥存储，鉴于最终代码是公开的，目前做法是对公钥内容进行复杂的加密存储，核心算法和引用链进行执行代码的加密，可以核心执行加密算法写入到 png 图片中，就算公钥被拔出来， 也不用担心密码字符串被解出来，因为对称加密前已经做 MD5+sate 不可逆计算，安全要求高的会结合硬件设备比如 u 盘或手机，2FA 在做计算。

@dhb233 在整个系统层面，完全不需要解出来，就算后端接出来也是一个不可逆不可撞库的随机字符串毫无意义，因为在网页提交后端之前就已经被处理了，真正的密码只有用户才知道，系统层面只需要存储整个脱敏后的随机字符串用于匹配用户输入密码是否正确

@wentx 用户表单输入密码：123456
请求前 非对称加密:jk06U1oTYAoEhvbJVRrBFfhDzweWw7GQVkxmPUnuUWAFCKAFTZkX8vDwu6ewjxcvWwoO3D5l7sapmeDm+dyQIA==
实际请求参数（用户名，密码，一次性 token ，参数签名字符串）
后端接口会对请求签名和是否过期验证，请求后端处理过一次就会过期，如果中间人劫持，他首先无法修改请求内容，再加上每个请求只能验证一次，所以无法完成重放攻击

@wentx 后端为什么要知道用户的密码？正常就不该知道，你只需这个 md5 字符串匹配对不对就行了，后端只需要能判断密码字符串能否匹配正确就行，参与过等保要求的项目吗？

@eber #108 很好奇那多前端不知道使用非对称加密吗？非对称加密 256(md5 （字符串+私盐）)