还有一种是统一信任网关。

所有请求（无论内部还是外部）都经过网关传递流量到后端服务，后端服务只要验证请求来自网关就行了(如客户端证书，客户端是指网关，服务端则是真正的服务)。

- api token 错误

- IP 被拉黑了

- 超过了资源限制

- 试图访问不被授权的资源

按照 http status code 应该统一给 403 的 code （或者有几项应该用 401 和 429 ），但是实际业务中表述不够清晰。

调用方会忽略 http status code （比如我）直接用 response 来进行业务流程的判断。IP 被拉黑了我会判断 response ip rate limited 然后换个 ip 。但是这个表述可能会有变更，我的判断就不生效了，所以业务方会 statuscode:403, body.code:IP_RATE_LIMITED, body.message: ip rate limited 。

然后因为某种资源受限而本次访问不被许可可能会有更上一层的大的集合性表述，那可能是 body.code:FORBIDDEN, body.ErrorCode:IP_RATE_LIMITED, body.Message:ip rate limited. 当然可以用 status403 ，但是从 [调用方便] 我不用从 header+body 里分别取我觉得调用方就很好接受。


业务接口是给人用的，方便才是真理。PHP int+string 我管他啥类型，有结果就行。

@yusheng88 如果是开发一个认证服务，那么私钥的生成和签名的验证都是在这个服务内部维护的。外部是接触不到的。或者说不想干的开发者是拿不到的。这个服务还是内网访问的，根据 0 信任模型搭建并维护这个服务。

docker registry 的 jwt 使用是自定义 CA 生成证书，给每个 ID 生成证书，证书内容在 payload 里，认证时使用 ca 公钥验证证书合法性再验证签名。

1. 使用 rsa ，每个 ID 的私钥都不一样。视需要的安全程度比如可以开发一个专门的认证服务私钥在这个服务里面生成、保存。

2. jwt 只是个协议，算法和表述可以自己定义不用过分拘泥于形式。如果用什么三方包那就干掉自己实现一个。也就两个方法事。

@Dachunlv !?? 还没到期自动续费的呢 关闭自动续费？

横幅风格持续 + 播报通知？

老用户与狗不得参与

优酷的视频 ID 不是说是 base64 的么

https://chenjiehua.me/python/youku-userid-and-videoid-decrypt.html

一直都是这样的。
包括卡巴斯基，web 安全开启 https 就会在系统证书链内植入自己的 ca 证书

@edis0n0 #8 是的呢 就是普通长城卡

@edis0n0 #6 我在 do 用 pp 挂的中行长城借记卡是成功的

paypal 支持境内普通借记卡

服务端把 sshd 停掉

手动 /sbin/sshd -D 看日志

@feng0vx 就 weak dependencies

刚才打哈欠