@march1993 #20 抱歉认错了，误认为你是楼主……

access token 被泄漏的时候的安全性保障，来自于短期有效。

另外为了避免 public 的 client （单纯 agent 的 client，包括网页、手机 app ）所取得的 access token 泄漏造成麻烦，还引入了 PKCE

@march1993 #20 所以 access token 有效期是短暂的，即使泄露不会造成太大危害，但是如果按你的思路设置为长期，就是很危险的了，尤其是有一些 authentication provider 不支持 revoke access token 的情况下

feng huang 的 V2EX iOS app 里面误点感谢突然不能取消感谢好尴尬……

@march1993 #16

另外 agent 不等同于 client，agent 是暴露给用户的部分，包括浏览器、app，而 client 是指包含 agent 和执行 code 换 token 或者 refresh token 换 token 的服务器端两部分，单纯的 agent 形式的 client 又叫 public client，是不能使用 client secret 和 refresh token 的

#17 但是非法的 agent 能偷到一次 access token 不代表可以偷到第二次，而如果能偷到 refresh token 并使 refresh token 有效，就是非常严重的安全事故了

@march1993 #16 此言差矣

refresh token 必须和 client secret 一起用才有效

而且在权限限制严格的情况下，refresh token 必须在满足特定条件下才会被发放给 oauth client

而 access token 是经常暴露出来的，并且可以先送给第三方 resource provuder，但 refresh token 只能在 oauth client 和 authentication provider 之间传递并且必须被保密存放

是操作系统的数据库吧

比如微软的 SUSDB

TPE 的 S1P1 shunt fault 通过调供电现在已经暂时恢复了所有业务

APG 从 2018-06-11 00:00 到 2018-06-21 00:00 中断割接，不过这个缆之前是断了刚修好

交派出所

或者当地交通广播

以及翻页假死 bug

你是 beta 版，出正式版了自然会提示你升级。

更何况 Apple 有义务向你推送并督促你更新安全性更新

楼主深受 Java 便利性的毒害，赶紧汇编自己从网卡驱动写一个

各种 qj 你剪贴板的 app 请求静默黏贴

于是 handoff 从电脑的剪贴板黏贴

先选建离线账号，进系统登陆换 ms 账号

@Lullaby #3 错了，是 application/json

@guoyu4126 #2 分别申请微信支付咯

内部结算不可以么

或者申请个微信支付服务商，子公司或者其他公司作为服务商的服务使用者接入

数据库我现在都是放到 docker，映射 data 目录到 /usr/local/var

@congeec #12

> Http header
> TCP header
> Up header 也都算流量哦

自己实现一个协议和“浏览器”，把 TCP/IP 和 HTTP 里面的“无用”以及“保留”的字节全部清理掉

每个网站都要装一个自己的协议驱动和浏览器，美滋滋

[doge]

@Laynooor #2 事实上用固话的骚扰电话和移动号码的差不多多