@Mithril #46 为了反对而反对。

至于“不好换工作”一说，就如我 #44 说的，以及把自己变成“ Java 程序员”了，语言等于工作，把自己绑死在车上

很多时候，我之所以反感 Java，不是因为 Java 不好，也不是因为用 Java 的人不好，

而是因为太多人把自己绑在 Java 的战车上，誓与 Java 共存亡。

在这些人看来，Java 的优点是优点，Java 的缺点也是优点，别的语言的黑历史全部都是 Java 的优点。

无法理解。

一旦一个人把自己变成了“ XX 语言程序员”，这个人离被淘汰就不远了。

中文资料也是资料，但是那是在是“资料”的前提下，各种中文博客转载来转载去都不保证对的内容，我不认为算“资料”。

redis、nginx 在 Windows 上是难用，但是 .net 是可以在 Linux 上运行的，不说 mono 这个社区实现，现在 .net core 是官方支持的。

我也用 Java，所以我才反感 Java 无脑吹以及 .Net 无脑黑。

都 8102 年了，睁开眼睛看看可好？

@rockyou12 Java 资料多 .net 几个数量级？各种中文博客转载来转载去都不保证对的内容可不算哦，你确定资料有 msdn 全面？

redis、nginx 没法用？.net 不开源？

所以说你们不要打着开源的旗号固步自封，都 8102 年了，.net core 开源都“一个世纪”了

@binux #88 如果是 @yamedie #80 的说法，用户 A 登陆后，就可以通过改 user_id 这个 http 参数来访问用户 B、C、D.. 的数据了……

所以本质上是后端 API 权限管理问题（或者后端不知道 token 和 user 的对应关系，反而使用并信任用户输入的 user_id

没用

如果一定要做这种事，国外有个叫“ Approov ”的商业库，可以对 app 进行冲击认证，但是我认为也只是稍微加大了破解难度

@amoselee #2 正方一套好几 w，楼主你打算出多少钱

@binux #86 看 @yamedie #80 的说法，他们后端大概是没做数据的权限限制，所以只要通过了认证，就能操作所有数据……

这让我想到了多年前搞的一个网站，该下页面里面的“ role_id ”就能越权……

请自行完成毕业设计

@laoyur #9 第三方拿不到这么多，大部分腾讯拿走了，第三方分零头

之前朋友的公司申请过认证合作伙伴，走一单不到一百块

@yamedie #71 所以你落入误区了

前端任何数据都不能被信任，前端不应该有任何加密和签名逻辑，前端借口暴露之后不应该导致大规模的伪造请求

你即使混淆了，DevTool 也能给你 Beautify，你即使加签名了，也能轻松找到签名逻辑和 seed

我来跟你讲你说的几个问题怎么解决

1、token 鉴权，比如 OAuth，怕泄漏的数据都只能用户访问，这样 token 泄漏了也只能访问用户自己的数据，token 有效期一过也不能继续访问
2、走 TLS，中间人和旁路设备不能窃听前后端数据交互
3、防爬虫措施，识别脚本流量

你自己在 #68 举的例子更是对前端验证的否定例子，你前端写的再复杂，混淆再严密，还不是 DevTool 直接就改了，数据交易就是要放在后端，用户输入和前端数据就是划等号的，前端（包括网页和 App ）来的数据就是不能被信任。

前端验证只是用户体验的一环，Ajax 技术解决的问题就是“用户等待返回结果时间长”、“页面刷新白屏不友好”，不要因为带“验证”两个字就把前端验证真的当数据校验了。

“做 2 次验证好” 不等于 “前端用 dev 版不好”

槽点就是不存在“前端安全”一说

表单篡改、跨站提交这些问题，前端是一个都解决不了的

这个场景更适合用通知提醒

@clockwork1122 #26 用 Asp .Net 的话，基本就是 Asp .Net MVC （这是微软官方框架的名字） + Rozar Page，虽然也有一些第三方框架，但是还是 Asp .Net MVC 更流行。

如果要走这条路，一定要业余多看看新版本，停留在 VS 2010 + .Net Frameworks 3.5 人就废了，没有强制要求的话至少 4.5 起步，最好一步到位搞 .Net Core。

MSDN （或者 Microsoft Docs ） 可以说是十分全面的了，除了一些深入的书，其他“入门”级别的书都可以说是 MSDN 读书笔记。

“还 asp.net ”？

Asp.Net MVC (with IIS) 的执行效率比 Java (with Tomcat) 高
.Net 文档比 Java 全
“官方” IDE 比 Java 强
生态一点都不比 Java 差
Nuget 库可是比 maven 高到不知道哪里去了

Java 事实上比 .Net 更封闭，Oracle 以开源之名行封闭之实，各大公司在 JCP 博弈导致各种标准迟迟不能确定、确定的标准迟迟不能执行

再一个就是管理，Asp.Net 程序的部署和日常维护可比 Java 简单多了

另外 .Net Core 正在崛起，这是未来的大趋势，如果思想已经停留在 .Net Frameworks 2.0 的时代，只能说是固步自封

.Net 4.0，Windows Only

直接拍死大部分人的购买欲望

可以考虑升级到 .Net Core

UI 用 Bootstrap 或者其他什么框架重构下

或许还有人用

不过和 Sphinx、Elastic 之类的全文索引比起来，单纯用 SQL 去查有点力度不足

原因就不说了，如果感觉不爽，可以用一个 helper function 把你要用的内置函数封装下

约等于重写