Casdoor 真牛，有问题都不让问

拉胯。这作风

这个还真有人用？天天狗皮膏药打广告

还需要我贴这个傻逼框架的历史么…

你已被移出群聊
莫名搞笑😂

早拉黑了

@acehinnnqru 求贴一贴，好奇

新时代掩耳盗铃

这玩意貌似经常来这宣传？！

影响人家赚钱了

@acehinnnqru 什么历史呢，这个玩意儿跟 casbin 是什么关系？

https://cn.v2ex.com/t/895128

之前还有个白嫖学生工作的帖子，找不着了. 我记得我回复过其他帖子，这框架真骚操作一堆…

解决不了问题 X
解决提出问题的人√

出门右转 logto

“这个问题为什么撤回”，你这个基本属于一上来就质疑官方了，也不知道你们之间有什么过节。不过你也是个去搞事儿的主，难怪人家踢你，现在又开始小作文人家，说明 T 你很正确啊，不然还留着你在群里作妖么，哈哈。毕竟现在连国家都怕各种小作文泛滥带节奏，要整治自媒体

另外看清楚，好像是 bug 已经解决了，也不是“解决不了问题”。题主也算不上什么“解决提出问题的人”，顶多算个有不知道哪里来的怒气、免费用着别人的东西、还要编排别人小作文的人，这种人就算勇士了？只不过是个喷子而已。虽然对他们社区也没什么好感，但是不要为了喷而喷，做个喷子很爽，觉得不好用，开源的东西多了，大不了不用就完了。你是要把所有得罪你的人都喷一遍么？有本事看到真正不平事喷国家去？上访去，敢么？

土味

@youngwen 同一个人拉起来的，剩下基本就没啥关系了

@limebax 6

@limebax 这种严重 bug 不应该说明？做开源有这么严重的 bug 还不能让人知道里，如果不是那个群友说，我还不知道，我之前也基于 casdoor 搭建了一套，一直放在服务器上 ，访问了下 app.conf 直接可以获取到配置信息了（包括数据库连接信息）。 这种严重 bug 不应该说明一下？撤回消息算什么？ 怕更多人知道？这还做什么开源？

我这就算喷了？ 撤回我的消息难道我不可以质疑一下？ 那你又算什么？ 人家请来的水军？

在上一篇帖子 Casdoor 的号给我回复就上了 Casdoor 的车，简单用了一段时间(由于各种原因目前还在用)，我简单概括一下，也希望准备使用 Casdoor 的各位先做好心理准备：
* 支持相当糟糕，文档只是笼统说明，在细节方面几乎为零
* Discord 支持近乎没有，你能在 Discord 看到最多的句子是 “see docs” 和 "send a github issue"，然而当你真的打开了一个 Issue ，May 19 开的问题，我都没来得及回复 May 20 就被标记了 Invalid 并关闭了，（ https://github.com/casdoor/casdoor/issues/1861 ），那我也不想多说什么了，重装了整个 Casdoor 实例。不要在获得支持方面抱有任何幻想
* 跟着 Github 保持更新大概率会掉进坑里，DockerHub 上的镜像每次 commit 都更新，跟着一起更多半会出事，尽管很快他们自己就修好了。官方也没有个稳定版一说，只能看着它们的 Demo 演示站的版本跟着更新，也许可能不会出大问题，能用就别更新
* OpenID 规范实现不标准，能用是能用，但除此之外没有任何亮点，一堆小雷等着踩，例如缺失 email_verified 字段，能用的 Claims 寥寥无几，你甚至不能获取用户的 roles ，因此你要在标准 OpenID 规范上再额外请求一次 Casdoor 的私有 API
* 细节方面打磨的相当糟糕，很多看起来能自定义的下拉框，点开发现只有一个选项，例如密钥的加密方式；接入短信/邮件验证码后，没有可配置的防刷措施，唯一能保护你的只有那个验证码，我还试着接入 geetest 的验证码，结果验证码完全加载不出来，就一个占位白框，文档毛也不说；违规用户名没有过滤器；邮箱地址没有后缀黑名单；用了 Casdoor 后你就盼着别有有心人滥用吧，你不会有任何招架之力
* 个性化做的很糟糕，邮件内容也没有模板能够自定义；用户前端个人资料界面左上角的 Logo 无法修改，是被硬编码的 Casdoor SVG Logo
* 安全方面做的十分糟糕，默认 built-in 组织和新建默认组织的用户密码默认是 plain 明文加密方式，如果你在使用一个 Casdoor 作为 SSO 的系统，那么你最好希望系统管理员没用默认的 plain 加密方式，否则你的明文密码就直接躺在数据表里
* 同步器的设计看着很 NB ，看似能够在各个不支持外部登录系统的应用直连同步数据，但它的同步功能要求哈希算法必须和组织密码的哈希算法一致，功能复杂没有任何说明，一堆按钮选择框，而在这种时候文档对此只字不提
* 系统管理员只能有一个并被硬编码为 admin ，没得改，你就算新建一个是全局管理员也无法访问部分页面
* 默认证书重要不能更改也不上保护，删了就会出现第二条报的 panic

各位选择 SSO 系统的时候一定要擦亮双眼，别被忽悠瘸了，上车容易下车难，你的用户不会有心情陪你再注册一次的。

文档？我更愿意称其为产品宣传材料。哈哈！

作为一个 “Identity and Access Management (IAM) / Single-Sign-On (SSO) platform”，自带和新建的组织用的密码哈希算法居然默认用的明文，这种事情简直就该钉在耻辱柱上。
你们明明都支持热哈希算法切换，也有 Argon2id 这种强加密算法，为什么一定默认用 plain? 这不是让新手用户往坑里跳么？

楼主要是还没有上生产就赶紧换程序吧，别和我一样大把时间都用在和 Casdoor 斗智斗勇上。

@limebax 这都能洗的吗？

笑死，有重大漏洞不想着公布受影响的版本和范围，而是掩盖和移除提出问题的人😅😅

只能说还好当时没选择，避坑了

解决提出问题的人，很有特色。

@wyf001912hp 之前一个新项目是准备接入的，代码都已经写好了，最后还是改成了普通邮箱登录，这情况还好没正式使用。

不是漏洞 是后门 我也知道个 自用

@wyf001912hp 牛啊 摸透了

casbin 感觉还行，没用过 casdoor

一周之后我和一位社区的老哥一起被踢出了群

真的搞笑

@limebax 哥们你水军吧

中国人的开源是这样的

@limebax 6

差点用了…… 感谢救命