每個都在那邊`echo '<html>'或是`print('<td>')
當時 我是用
@licson 寫的 SQL 函式庫,都是 prepared statement 的
這我知道 一般都是linux +php+mysql +阿帕器
1. 洩漏key name
2. weak sign
1的話不能算是問題ㄅ 2的話你選一個好ㄉ算法啊 PS512 之類ㄉ
你有看到Google Main site還有主要服務在用ㄇ
JWT沒這麽容易爛啊
不如說到底有那邊容易爛的要素🤔
後者聽起來HTTPS也很爛
也很Weak 什麼RC4的
但他們也還是有 sign 啊
JWT 其實中間要放其他種資料也不是不行啊
你Call Google lib都是protobuf
把protobuf改成BSON聽起來也很合理通順呢(
反正我家Minecraft搞微服務(X)都用BSON溝通的啦
原來jwt能讓客戶選算法嗎🤔
我都讓他用了在算之前先看需不需要算🌚
RFC怎麼寫我沒研究
但user input指定算法還不白名單我覺得是傻了才幹吧
我覺得用 J/BSON/protobuf 隨便啊重點是 sign ㄅ
如果算法很 weak 的話就選個強一點的啊
是有個alg啦
但我覺得這不是讓你給user無條件指定的吧🤔
um 你說的 user 是 伺服器 還是 Client
JWT header有個alg欄位可以聲明算法
但server直接拿他來算給過我覺得是impl 壞了不是jwt的鍋吧
例如我也曾經是其中一個
然後刺蝟一直得不到回應本來也想這麼做(
對
沒有 lib 會讀那個去解密吧
通常 init 就要選算法了
這東西把 WireGuard 變得智障簡單wwww
我很關心反送中啊
很高興老師有在關注這件事情
因遺憾而誕生就算砍了事情還是發生了,做過的事情不能抹滅啊XD
我也沒攪和什麼啊,針對貴校友或是該組長有處置不當疑慮的地方提出問題罷了,以一個教育者自居的話可要從身教做起啊。
