之前一直在使用 https://www.wikiwand.com/ 楼主可以参考一下

@LinJunzhu #9
你没看我给出的第二种和第三种方法么？

第二种方法参考了 php 对 form 的数组实现（同时可以应用于复杂对象）

第三种方式则直接嵌套了一个 JSON String，可能因为我添加了一个虚假的 rsa 导致看起来不太直观，我再补充一下吧：
{
"req_body": "{\n \"title\": \"v2ex 发帖\",\n \"url\": \"/t/638565\",\n \"nonce\": \"v2ex\",\n \"timestamp\": 1580580122\n}",
"nonce": "v2ex",
"timestamp": 1580580122,
"sign": "82f7f51055326385bf9f7e151b212066"
}

补充一下，关于第二种思路，我确认了一下，似乎不是标准实现，但是确实是 php 官方支持的，参见：
https://www.php.net/manual/en/faq.html.php#faq.html.arrays

首先，JSON array 是有序的，可以不用担心无序的问题。

此类问题没有标准的解决方式，只能选择提供若干思路：

思路一，参考 query string 对数组参数的解决方案：
key=value 这种格式，可以认为是参考了 query string 的形式，那么我们可以翻一下 qs 是如何处理的，比如说看看 node 的文档
https://nodejs.org/docs/latest-v12.x/api/querystring.html#querystring_querystring_parse_str_sep_eq_options

可见，node 此处是使用了数组的 key 多次出现，以出现顺序作为数组顺序的方式来解决数组问题的。
不过这种方式暂时无法解决复杂对象的问题。

思路二，参考 form 对数组参数的解决方案
https://stackoverflow.com/questions/9073690/post-an-array-from-an-html-form-without-javascript
我没有仔细核查这种方式是一种标准，还是某个框架 /语言约定俗成。

很显然它利用中括号，又构建了一层 k-v 体系，从而不但解决了数组问题，连复杂对象问题一起解决了。


思路三，直接 JSON String 不香么？
反正验签和业务代码肯定是分离开的，那干脆直接把业务数据都封在一起呗，还能顺便搞个 RSA 之类的加密。

{
"rsa_key_id": "24",
"req_body": "ewogICJyc2Ffa2V5X2lkIjogIjI0IiwKICAicmVxX2JvZHkiOiAiIiwKICAibm9uY2UiOiAidjJleCIsCiAgInRpbWVzdGFtcCI6IDE1ODA1ODAxMjIKfQ==",
"nonce": "v2ex",
"timestamp": 1580580122,
"sign": "82f7f51055326385bf9f7e151b212066"
}

注意：nonce 和 timestamp 同时也包含在 req_body 中，外面再放一份是方便你验签。

prismjs 有支持行高亮的插件。

prismjs 项目： https://prismjs.com/

行高亮插件： https://prismjs.com/plugins/line-highlight

只看了楼主给出的文章，暂时没有深入了解更多的细节。
能够理解 easyswoole 团队维护开源项目的艰难，也对开源作者的贡献表示钦佩和感谢。

但是这里有个小问题想要了解：
swoole 团队在维护 swoole 项目的时候，是否有得到过与付出相称的回报呢？

https://stackoverflow.com/questions/38971969/how-to-compare-audio-on-similarity-in-python

这个回答~

@imn1 #3
Android 你也可以自制输入法啊，自己写一个不带联网权限，没有写入权限的输入法就好。

Android 手机切换输入法时的相应提示
https://wx2.sinaimg.cn/large/760b39b3gy1gayormohfrj20u01p8tgj.jpg

iOS 输入法的 『完全访问』权限
https://wx1.sinaimg.cn/large/760b39b3gy1gayorb5xznj20hs0vkgr7.jpg

会啊，所以 Android 手机，切换输入法的时候会有相应提示，iOS 输入法会有 『完全访问』权限啊

@phx13ye #22
遗漏有很多种可能吧，我这二把刀应该保证不了没有遗漏。
这东西应该只涉及到你期望覆盖的面的大小，没有尽头。

比如说 客户端是否要对 https 证书进行强验证（不止验证证书有效性，还要验证证书是否一致）。
比如说 时间戳+签名 需要有时间差冗余，避免时间不一致导致出错，而冗余就带来了短时间内重放的风险，此时又需要缓存若干个请求信息来防止短时间内的重放。
比如说 你的 token 机制是否足够安全，是否有吊销机制（ JWT 出来挨打）。

每个措施，一般都是对应某个场景给出的，其实还是确认场景的问题。



另外回应你附言中的问题：

content-type 是 json 的话，签名可以放进 header，也可以给 json 再罩一层 “非签名” 区域。
即：参与签名运算的只是某个子字段，而另一个子字段存储签名信息即可。

但是这里需要注意：
JSON 的 k-v 是无序的，且 JSON 序列化的格式是可以自定义的，当你期望对一个 JSON 求签名（ hash ）的时候，请务必协调好两端的 JSON 序列化格式及顺序。
如果觉得麻烦，也可以选择将需要传递的 JSON 对象，先序列化之后，存于某个 JSON String 字段。


> 对于请求，body 一般只能读取一次，读取时要先缓存一份，然后和请求首部比对
这段话我没有理解是什么意思，为什么只能读取一次。
可以考虑设置类似 “API 网关” 的概念，所有请求先经过网关的核验之后再传入业务代码。

从 14 款 15 寸换到 19 款 16 寸表示没有任何不适~

翻了下参数发现，19 款 16 寸比 14 款 15 寸 还是要更轻薄便携一些的，完美~

@jiezhi #71 你这一说我才发现我也是这样，也许是测试服务器的时间配置的有问题？

尝试重置密码失败，这样来看要用的时候必须从京东那里跳转过去才可以？

已购买 100 年，但是似乎只能在 http://wxmp.processon.com/ 上使用

无法在 http://www.processon.com/ 上登录

@ashes1122 #14
不不不，楼主的意思是，深圳不下雪 哈哈哈哈哈哈哈

redis 就可以拿来存取二进制数据啊

@phx13ye #14
看你要的是 『尽可能安全』，还是 『尽可能省事』。
鉴权认证、防监听、防篡改、防重放 都是事实需求啊。


另外我倒数第二句不是疑问句，是设问句，答案就在最后一行啊。

从实际角度来说，这样做也确实存在一定的意义，因为 https 的流量卸载很有可能在负载均衡那一步就进行了，如果没有这个二次加密，那么数据在负载均衡那一步就是 『裸』的了，而多了这一层加密，可以让数据在到达业务代码部分时才被解谜。