qrtt1 積分 0

嗯,我們就是用那個麻煩的做法,不過最終還是需要寫個 HandlerMethodArgumentResolver 讓開發者在需要的時候,自動地取到 user Orz.

IngramChen 積分 0

這不是標準的作法啊。但是 spring security 的作法太麻煩了,所以 oauth integration 最後自己刻比較簡單。

HandlerMethodArgumentResolver 的話,每個需要處理 auth 的 handler method ,就一定要帶 ClientAppUserAccessToken ,忘記寫的話,就是漏洞了。(有些 method 不需要 user,然後就會忘了寫)

為了這個漏洞,有另外寫一個 unit test1 去掃所有 method,看有沒有漏掉這個 argument。

這個是 OAuth API 的部份, web 用的 ajax API 又作了另一套類似的... orz

qrtt1 積分 0 編輯於

auth 看起來是放在 HandlerMethodArgumentResolver1 的時候,看起來比加 WebSecurityConfigurerAdapter 簡單多了(上個月也寫了一樣的東西,看網上範例就寫得複雜了些),如果 kaif 早點 open 也許我就會學習使用這樣簡便的設計 :)

IngramChen 積分 3

cookies 的安全性已經是千錘百鍊,很多洞都測出來了,但也是千瘡百孔。稍有不慎就中獎了。

token 放 header 實做的人少,破的人也少 (因為做法都有點不大一樣),所以理論上相對安全一點,但是網站大到有專人來破解,那也是很危險。

通常要真的安全 server 還是會有 session 供比對吧。

changyuheng 積分 0

請問有 token 放在 header 和 cookies 的安全性資料嗎?

hitakeane 積分 0

ORM 的確很痛苦, 雖然寫起來很方便. 雖然不寫 java, 但 opensource 值得鼓勵~

IngramChen 積分 2

對了,因為程式碼是今年寫的。所以全程都是 Java8 ,程式裡能套用 Java8 特性的地方,全部都用了。有興趣可以看看

fox 積分 0

reddit 的算法為何我沒深入了解。 只是基於我做 recommendation 的經驗推想。

IngramChen 積分 0

reddit 的 hot 是以討論數當作分數來算嗎?

IngramChen 積分 0

目前排行沒有計入討論的數量。時間的因素的話現在文章數少,所以會被突顯。不過我覺得每天回來看都是新文章這大方向是對的。

如果怕漏掉精華類的文章,也許 kaif 要補個每週/月 精華之類的榜。

fox 積分 1

reddit 是有分 top/hot/newest 不過 kaif 沒有。 可能文章/討論量還不夠多吧,多了應該就會有不同的排序分類了。

chchwy 積分 3

我猜是時間跟分數各佔某些權重啦。

不過我覺得現在時間權重太高了,比方說之前曾經熱烈討論的 Sass 語言開發者與 c9s 的專案 c6 之戰1 ,這篇文章拿到了13個頂,17個討論,這以目前的 kaif 來說幾乎是頂級熱議題了,但是文章還是沒有辦法在首頁停留超過三天。

IngramChen 積分 1 編輯於

喔,因為你是版主,所以判斷上邏輯比較不一樣。

版主刪文的功能還沒完全做好 (還不能刪別人的文)。這個問題就先放著吧,等版主刪文做完後就修好了。

chchwy 積分 0

發現一個規律,只要是我貼在 game-design 版的文章,我都看得到刪除鈕。 我貼在別的版的文章就看不見刪除鈕。

chchwy 積分 0

這個功能似乎有bug? 我可以刪好幾天前的文章耶

IngramChen 積分 0

排版現在可以預覽了啊!

anyway, 編輯的功能之後會補上...

negaihoshi 積分 0

「編輯」有沒有辦法也一起 因為排版無法預覽,剛剛打了一篇,結果因為都少空格一行,所以全部都黏在一起,卻無法編輯,重打又要在設定一次連結,非常的麻煩。

siuying 積分 2

我現在就是用 vote 來當 tag 的 :)

chchwy 積分 2

可以考慮第三方的方案,像是 Pocket1 之類的