@popok 在 V2EX 第一次见到这种傻问题，商家搜集手机和身份证信息的好处，诸位 V 友给这位傻白甜补补课、开开眼吧！

”大家也都知道“邮箱是用来验证用户的！ 国家也规定不能拖库，不能卖隐私哪。

你可以拱手相让你所有的个人信息，但我们讨论的是普适的账号验证系统以及隐私保护问题。

@popok 手机、指纹、视网膜都是物理验证，为什么不直接指纹和视网膜？

因为成本问题嘛，手机不但增加了使用成本还导致了隐私泄露，普通用户绝对比财务用户基数大多了。

我依然认为，强制绑定手机和身份证得不偿失，但对商家平台是极好的收集用户隐私的好借口。

再重复一遍，我没有否认手机的作用，而是觉得邮箱已经是大多数账号系统最普适的验证方式了，如果你是财务账号，希望是“选择”性的来启用手机、指纹、视网膜验证，而不是强制！！！

@czmecho 另外，被拖库可不是用户的责任，主要还是平台安全性和密码明文、加密机制不到位所致，但跟手机和邮箱没有半毛钱关系，按你的说法，我绑定堆砌 10 个手机号还比绑定 1 个手机号更安全哪，但哪个产品经理会做出这种傻设计? 邮箱之外的指纹、视网膜及手机验证都只是堆砌和增加被黑成本，但这种附加成本并不应该来让普通用户所承受，而应该来让严苛注重安全性的客户来做出单独设置及增强.

@czmecho 两码事，我的观点不是不用手机，而是手机可选的作为双重验证机制，让用户选择是否启用手机二次校验，但现在似乎都被强制了，注意这里的“强制”二字，这才是问题所在，比如，我放个无关紧要的资料到小米云上去，还得暴露我的手机号，还得天天收诈骗信息？

@zts1993 说的跟手机运营商监测不到手机信息一样，手机并不比邮箱安全等级高，同时还会直接或间接暴露个人隐私，引来广告骚扰和诈骗。

从商家角度来看，指纹和视网膜资料他们也都想要，贪婪的本性而已；但从消费者合理性上来看，邮箱才是主流，手机应该作为可选的安全机制。

@uuair

阻碍网站成为 A+的关键点主要是 Web Server 的相关设置，跟 https 证书签发不太相关。

tls/https 证书不管通过什么方式签署下来的，理论上大多数就符合 A+，比如我网站 https://congci.com 就是用自行编程方式来申请证书的。

在这里给大家推荐一个 go 语言版本的证书申请开源项目 - https://github.com/xenolf/lego

签发 go 代码 - certificates, failures := client.ObtainCertificate([]string{"mydomain.com"}, bundle, nil, false)

@ETiV
16 楼和你提出的方式有两个问题：第一，GCP 其实是支持密码登陆的；第二，元数据添加 sshKeys 是基于项目还是实例官方有停止支持提示。

官方 Note: Setting the sshKeys metadata value on the instance metadata instead of the project metadata is deprecated. Compute Engine will stop supporting this metadata value in March 2017.

2008 年，三聚氰胺奶粉事件中受害女童“结石宝宝”的父亲郭利，因与奶粉企业交涉赔偿问题被法院认定构成敲诈勒索罪，判处有期徒刑 5 年。

2017 年 4 月 7 日，广东省高级人民法院对该案进行再审宣判，改判郭利无罪，可依法申请国家赔偿。

@paullee Google Cloud 支持 Web 端和控制台两种方式添加 SSH 公钥，我通常使用控制台添加：

gcloud compute project-info add-metadata --metadata "sshKeys=$USER:$(cat $HOME/.ssh/id_ed25519.pub)"

6 月 1 日起，一批新规将施行，其中包括《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。司法解释明确规定了入罪 10 种情形，其中包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息 50 条以上的。即贩卖个人信息 50 条以上即可入罪。

刑法相关规定中的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

我网站 https://congci.com 搭建在 GCP 中，系统是 Debian ；避免用 root 账号，直接用普通账号加 ssh-keygen 生成密钥最是方便。

@esolve JWT 方式不需要服务端保留 token，因为 JWT 是自包含的，token 里边会包括你需要用到的所有信息：

{
id_token: '用户名等客户端需要的信息',
expires_in: 3600,
token_type: "Bearer"
}

@qiukong ”提供真实身份信息”的范围并不是无限大的，只要能证明身份的其中一种形式即可。

按发帖人的情况，只要厂商按照充值时掌握的任一身份证明方式进行验证即可，并不需要补充不相关的二次或 N 次证明。

厂商借助实名制强制获取用户全部隐私的行为稍显龌龊，超出了国家规定的实名制验证要求。

随着 HTML5 的普及，咱能不能直接走 PWA 渐进式方式，直接通过 WEB+添加至手机桌面形式提供功能服务，摒弃 APP 应用安装形式。

https://url.openle.com/go#url=https://news.congci.com/-/content/jianjin-shi-wangye-yingyong-shouyi-liang-duo

@colordog 换个 ip 在线查询库试试，我在 google 云选择的区域是 asia-east1，申请了 2 次就分配到了这个 104.155.x.x 开头的 ip 地址，台湾离大陆还是挺近的，你也可以不翻墙，通过 hosts 来解决访问 google 的障碍。

@colordog Google 云主机管理后台通常要走 VPN，程序员基本功，但域名解析和主机网络跟 Google 能不能访问没关系，你只要将域名指向到台湾机房 IP 即可，你可以 ping 下我在台湾机房的网站： https://congci.com

我用的是 Google Cloud Platform，分配了个台湾彰化县的固定 IP 地址，ping 值只有 50ms 多，域名也都转过去了，推荐大家使用。

Google Cloud Platform 云平台 300 美金免费体验教程 - https://url.openle.com/go#url=https://news.congci.com/-/content/google-cloud-platform-yun-pingtai-zhengnian-mianfei-tiyan

我是从 JSP 开始入门的，虽说上手快，但 JSP 容易将 java 代码直接写到页面上，偏离面向对象的封装性及业务样式分离原则。

如果让我从新开始学习 JavaWeb，我会从 JSF 开始，因为 JSF 的生命周期和 OO 非常优秀，特别即将发布的 JSF 2.3 新版本 - https://url.openle.com/go#url=https://item.congci.com/-/content/jsf-2-3-xin-texing-ji-gaijin-zengqiang