別說了,我都還遇過用了這個不打緊,他的 SSL Issuer 是 Snake Oil 的
等下...冰菓和奉太郎....會不會太跳痛wwwww
我用過一陣發現他其實就和 cookie 一樣,他只是為了繞開 cookie 的 CORS 問題才多一個這貨
Can't wait for a cryptocurrency with the ethics of Uber, the censorship resistance of Paypal, and the centralization of Visa, all tied together under the proven privacy of Facebook.
他在 backend 還是得實做 state machine 和 state storage
其實我覺得他不該放在 Header 裡面ㄋ
然後他算是解決了伺服器的 state 問題
那是 lb 的鍋,這和 session 一點關係都沒
oauth也不用戳啊,但是他的state至少是被signed過的,可是jwt沒有啊
我完全忘了他最後一個欄位是verify用的,因為那個欄位很沒用🤔
應該說我不懂怎讓他弄出一個不會leak key的驗證方式
JWT的目的就是讓資料被從server帶去client後回來還能保證他是你的資料啊
對 這樣後面每台stateless server可以不用一直去拿
難道你 request 傳回去 server 的時候不用 sign 嗎
瀏覽器又不會自動帶 header 回去,在 xhr 裡面你沒自己加上去就不會出現啊
我在說發 request 給 server 就不用塞jwt header了嗎
是在說戳 api 的時候有沒有要把 jwt 塞在 request header 裡面
我上面不是說不建議塞在header嗎
我建議塞在query/form
啊所以啊,就很 leak 啊,和 cookie 一樣 leak
他又不是 CSRF Token 那種一直隨時在換 token 的
leak啥 jwt本來就不該放敏感資料啊 你搞毛啊
但幾咧,我覺得我不懂 reply attack 的定義,讓我 google 一下
可能有可能沒,我只是覺得他本質和 cookie 沒啥不同
他用在cookie上就是signed cookie啊
好喔,如果當作 signed cookie 的話,那也行
但是他本來設計就是讓你裡面放 identifier 用的啊
反正就是把原本塞在後端某個類似redis的session機制甩鍋給前端幹啊
就是那種反正你都要丟請求給我了,順便把上下文一起送來的概念
你本來就不應該leak你的signed cookie吧
那這樣就直接當 signed json 來送就好了幹麻放 header 啊
也可以喔 我不是上面都在說我不放header 的嗎
好,是我用錯方法,我把他當成 client 送 request payload 的時候也要 sign 了,所以讓 client 端覺得很 leak
discord 亮色主題
現在 Windows 也體驗得到
所以你的 leak state 是指 server backend 裡面的 state 吧
client state跟server state會一致
因為server trust client state
jwt 裡面就 identifier 而已啊,能 leak 啥 state
你可以放你帳號名稱或是不是admin之類的state
連sign都不用好嗎
只要是secure random就好啦
你說的應該是 stateless endpoint server
所以 stateless server 不用再去取一些基本資料
jwt就是把有db那端的東西吐給endpoint去用 可以不用私下溝通只靠client帶啊
像是什麼TG Web login然後丟給Service驗證你真的用TG登入過
也行個頭啊 用jwt徒增資源好嗎 嫌server太高級膩
proven privacy of Facebook
Where's Cambridge Analytica
ethics of Uber
censorship resistance of Paypal
centralization of Visa
privacy of Facebook
所以我剛剛回家路上在想,JWT 都說自己是 token 了,為啥他官方範例卻還塞 data 當 state 來用🤔
海豹不是個喊一下「海豹」,旁邊一定會有人知道是誰的大人物嗎(?
期中考(take-home):25%,期末考:25%(take-home),作業:15%,課堂參與:10%,期末報告(期末隨機口頭報告):25%(讀書心得)
講授、觀看相關影片、閱讀參考書籍、參與心理學實驗
歐 心理學實驗
突然覺得成大的系統只有 Loading 時很鳥 ._.
群己/基礎(96)
核心-社會(106),跨院基本素養(106),校基本素養(106)
選la選la(
我覺得 takehome 可能更難WW
8787 在查老師評價齁
NCTU+ 我知道是什麼好ㄇ
是說,會有廠商特別處理選課的 Race condition 嗎
通常做選課系統的都是小公司,他們都不怎樣有這觀念啦
因為沒做 race cond 保護啊,所以工人智慧(#
有些通識太忙,而且想要忙 Side Project 的時候這就是好主意
我成績一直都沒問題啊,我除了通識每學期必被當一科以外根本沒有紅字好嗎
看起來要編kernel 我這學期編太多了 pass
Linux kernel patch 速度好快
Netflix 那個 CVE 似乎已經可以更新補洞了
或是用 IBM Power 系統那種專有介面把幾台機器串成一台
可是這樣幹真的不好嗎
就把成績相近的擺一起,這樣不是就不用煩惱成績頂尖跟落後學生兩邊都要顧了嗎
你是說 __教室 還是 魔法科__的__生 還是 歡迎來到______的教室
我覺得可以是啊 你有這個 token 基本上你就有狀態
只是 storage 從 server 上轉移到 packet 上
可是正常來說 token 只是代表身份,不代表狀態啊,我可以在後端判斷成任意狀態啊
我覺得往這方面發展好像沒啥用
我們應該要問
0. state 在這邊的定義
1. token 究竟算不算一種 state
來不及後 實研組說我要再晚一年 a.k.a 晚兩年才能
這樣旁邊的同學跟自己的實力差不多,這樣比壓力比較低吧
如果是一個班的最前就會想往上跳R
如果是最後...希望會有警惕的效果
沒啊,對伺服器來說你啥狀態都沒,你只是獲得了一個啥鬼用途都沒的垃圾資料
你token還是要去更後端拉資料啊 浪費資源 完全沒有JWT的意義
不一定
假設你只要render一個含 username 的 indexpage ,完全可以不用再拉一次
哦幹不行我得睡覺,明天還有兩科期末,都是失誤就掰了的科目QQ
還有在這邊 state 的定義到底是啥
context ? uuid ? 還是都包含
我讀了兩年科學班,收穫最大的是我知道我對自然科學的興趣不大
難度跟loadingㄅ(?
說不定還有同名課不重複採計的問題
我同意 JWT 是一種 context 展現阿,我比較想討論的是傳統 random token 算不算一種 state
我同意要去後端拉這件事
但是 state 本身還是存在的
對 你說的對 如果你 JWT 裡面放一個 random token
那就是垃圾
幹 我剛剛第一個問題就說要來討論 state 在這邊的定義ㄌ
你們TG壞了是不是
context 裡面有 uuid / username 之類的東西ㄇ
好 那我們達成共識了
所以 token 算不算是 state 的一種展現
你們可以達成 「token 可能算是 state 的一種展現」
state = context = {uuid, username, logined}
state = contextFunc(token)
它雖然還要去後端拉資料
可是 擁有 token 就等於是 擁有 state 阿
學生在考試壓力下想辦法擠出時間做的歌為啥會有人想去排名
你有那把 token 代表可辯識你的 「 uuid / logined / username 」
「 uuid / logined / username 」 == state
token 即是 state ㄉ展現
我指的是類似 Disco 節奏或是 2beat 那種很強烈的
state 也是你去後端拉回來驗證才能算數的,前端喊啥你就信的話那你幹嘛要後端
可是這樣在語句上聽起來很怪阿
「你有那張身份證,可是那張身份證不一定是你的喔」
「你有那把鑰匙<你有裡面的資料啊」
蛤?公三洨?那現在我丟一個token給你,請你解釋他的stateㄇ
我覺得我們在錯誤ㄉ方向上討論
你們在說的是 state 的內容
我說的是 state 的框架ㄅ
就是「你有key,那你就有一個置務櫃」
僅管櫃子的東西不一定是你的
對 我沒有要解釋 我只說他有一個 state 存在
台中一中
三民高中
北一女中 (有驚嘆號)
高雄女中
竹東高中 (有驚嘆號)
楠梓高中
啊你是說 JWT 的 token 是不是當 state 用不是嗎,啊我只有丟真的 token 出來就不能當 state 用啊
誰像你整個當 shared payload 用成 state 的形狀啊
你們在糾結的點是
「有 vaild key 不一定有櫃子內的東西」
我是在
「有 vaild key 就有一個櫃子」
就跟 state 不代表任何東西一樣
有櫃子就有 state
你有資料就有資料了啊幹 有state就有state了啊
JWT就是token w/ state in one啊 🤔
櫃子=storage
櫃子內=store
開櫃子的key=token
櫃子鎖=validation
櫃子
所以是應該是名詞問題ㄌㄅ 你們把它當實體 我把它當成一個集合
但和token啥關係,你這是用token取出的結果才叫state啊
沒 現在在討論 state 的範疇 跟 token 一點關係都沒ㄌ
但session不就常發生這種事 🤔
你還有機會拿到自己鑰匙開錯櫃子拿到不是你的資料呢
機率多大而已
任何集合的power set裡面都有empty set啊
context 的可能性 = P({username, logined})
好 我要換成英文ㄌ
state = {stateful, stateless(no state)}
那個 state 是 automata 或 PLT 的東西
拿一串PHP SESSION ID
你能看得出來這代表啥東西才有鬼 🌚
那就 state = {stateful, stateless(no state)}
token 可能是 no state ,但仍算一種 state
就大家對於 token 有沒有 state 這件事產生的分歧
🤔 那還得看這邊說的state是什麼state (?
如果要 stateless 就不能帶 unique 的東西ㄅ
🤔 哪方面的unique 而且重點是你有沒有嘗試用這東西來追蹤吧
state = {stateful, stateless}
stateful = {username/logined etc}
雖然很無意義
但你也可以每個request都生一個全新的token啊
超級stateless的(被打
喔我覺得這個是在討論那個沒有完全意義的字串
到底是不是 token 了
好問題 但他很unique
unique到根本無法追蹤 🌚
剛剛的討論都是把 token 當成可以有 state 的 vaild token
可以從後端取得實際的 data , logined / username etc
幹我現在不管播什麼歌
YT的自動播放都會一直跳到竹女畢業歌
就只是一坨東西 可以記錄你誰 還是你能幹啥 還是啥鬼 反正就一坨東西
但問題是你有這東西 但你不嘗試紀錄狀態
這東西還是很stateless啊
你知道authentication還有分stateful跟stateless嗎(
所以我才說你的state是說哪方面
你可以說protocol可以說app可以說auth可以說blahblah
我懂你在說啥
但是換角度想,假設這些 token 都是 vaild 的話
我也可以說你是一直從 stateful <-> stateless 一直跳來跳去ㄅ
對 我同意 state 通常都在 server side
那換個說法好了
假設這把 token 是 vaild 的
那一定取的到一個 state
儘管它可能是空的(也就是你不紀錄)
他可以有token但連取都不取啊
當你不去維護狀態那就很stateless惹
YT一定是因為沒Google的名字 所以跟其他人特立獨行(X
我同意它可以不取 但是它取的到
對 不維護狀態你可以說他是 stateless (吧
但 stateless 還是在 state 的範疇中
所以又要看你說的是stateless/statefull裡的那個state
還是在說stateful裡的這個state (?
ㄟ gRPC 在 Broswer 上目前支援的怎麼樣阿
我看有人說 Gmail 在用但我找不到
後面那個我更傾向於直接講他的 key
username , context 之類ㄉ
阿就是把client當redis用喔,反正你都要送請求了就順便把上下文都丟過來這樣
是對應到state,所以說成他代表state好像也是可以🤔
學生之間能比的東西不多,成績這種那麼明顯的標竿肯定被拿來歧視🌝
十二年國教只是讓所有人都肯定會有高中可以讀,並不代表你必須讀高中
台灣現況機會是保證你有大學讀了不是嗎,然而是什麼大學就不保證了🌝
蛤,上課時間那麼多
還是你都在上課時間聊天交朋友的🤔
對啊,幹嘛要session,直接把整個ram dump下來送到網頁就好了啊
啊就 JWT 和這 SESSION ID 差不多概念,只是 JWT 允許裡面塞 data payload 而已吧
所以我上面才有更正我的定義給 state: Any? 啊
token只是一個relation啦
state可是有context的
token的我說只是weakly stateful
token裡放的是session identifier
譬如你購物車的內容 你的表格資料 你的朋友清單等等
token是個簡易憑證 代表你有存取某個state的權利 我是這樣理解的
得獎前:「不要搞這些有的沒的啦,認真讀書」
得獎後:「這位同學很厲害,不用老師帶都能探索自己的興趣」
「整天在這邊搞東搞西,也沒看你搞出一個什麼能用的」
我們同學撿到我手錶拿給老師 老師沒有在班上問是誰的
然後今天他特別早來 然後在抽屜東摸摸西摸摸 再把我教出去臭罵 然後叫我去抽屜找
垃圾不是問題 問題是他們講話都講得好像自己很好很典範
楷書
Times New Roman
(後者)被 Windows 內建字型綁架的可憐人。
Balabal...自己把它看完(
啊都自己看還聽你講幹話(誤
我們國文老師是
你們看那人都不考試,不要學他
你們看那人不用考試,不要學他
...
想問 google colab 跑我的ml 專題 一直不夠ram怎麼辦QQ 有人有gpu可以讓我遠端跑ㄇ(#
但幾咧,不夠 ram 和 gpu 的等價關係在哪邊????
喔 我不想要人家電腦只有cpu 我這樣要跑很久XD
google colab 上 有gpu的話是6hr
root disk 就超過某個 size 都要計費
上次去,是說普通的機器,就是一個一個點的 VM 關機只算 硬碟的錢
但是 Google 整套打包好的 ML機器,就是都算錢
所以你要人家在不到 24 小時之內從零開始組 server farm 到算 ML ㄇwwwwww
算六個小時ㄉ東西插張卡按 docker 就解決ㄌ(
所以一張 1080ti 你會算很久ㄇ
我再跟伺服器糾結可以借你到明後天(?
可是只計算開機運算的時間ㄅ
資料平常常駐 Google storage
然後 VM 他有個選項是開機直接從 Google storage copy 過來,結束再丟回去,一氣呵成就不會多付費ㄌ
正好我也要找些自搭建的東西 見到mail section
話說calibre真的沒有其他選擇了嗎 我想要一個類似plex和calibre的www
都裝了不設定要幹嘛(
照著學長留下來ㄉ文件架了一次 Mail server
沒ㄌ
對了 你們平時是怎麼管理公私匙的?hashicorp的vault真不會用
除了calibre沒啥東西了吧 其他都很client only
除了設定檔長得很奇耙外 sendmail也沒啥大缺點(?
寄email告訴你他加了一堆新功能,然後默默砍掉舊功能
你什麼時候才要繼續寫 google 轉 team drive
問,我想寫個 ML 可以偵測不同長度的 captcha
我應該用 CNN 還是 RCNN 比較好
RCNN 能 train 出來我覺得效果會比較好,不行的話 CNN 比較穩ㄅ
你可以丟 Google Auto ML 用錢解決問題啊
我書是拆了,可是到現在還沒翻開過 🤦♂
現在又開始每天 04:50 起床了
那批我沒算在內(?
本來也沒幾顆 而且也很老
我只拿來放mirror跟backup
是說沒有什麼公益服務是需要儲存的對吧(?
像 SETI@home 那樣(?
而且我網路想要重新設計,我到時候一起規劃ㄏㄠㄌㄜ,可以順便偵詢你的意見
可是現在 SSD 也跌慘了,這顆價格應該只要當初的一半ㄅ
啊所以 mac 跟 java 有很不友好嗎?
Java不是都虛擬機墊一層
草稿跟練習用這ㄍ很夠(?
還是你覺得光筆觸也會有差(#
前幾天拿 ipad + 1代 pencil
那個延遲
