Posted on Fri 06 March 2026 in Tech • Tagged with tech, blog, security, auth, session • 2 min read
认证翻车和会话翻车, 往往不是因为黑客太聪明, 而是我们把"登录态"当成了万能钥匙: cookie 没设好、token 乱放、会话不轮换、登出不失效。本文用人话拆解常见坑, 给出 Java/Go/Python 可直接抄的防护套路与自检清单。
Posted on Fri 06 March 2026 in Journal • Tagged with journal, sre, observability, reliability, LMAT, USED • 2 min read
LMAT 是观测的四件套(Log/Metrics/Alert/Trace), USED 是系统体检的四个指标(Usage/Saturation/Error/Delay)。一个管"看见", 一个管"看懂"。把这两套方法配起来, 稳定性工作才不至于变成“救火队日常”。
Posted on Fri 06 March 2026 in Tech • Tagged with observability, SRE, monitoring, stability, LMAT, USED • 7 min read
隐患险于明火,防范胜于救灾,责任重于泰山。本文介绍服务稳定性的两个核心方法论:LMAT(Log, Metrics, Alert, Trace)和 USED(Usage, Saturation, Error, Delay),并结合实践经验,讲解如何构建一套系统化的服务稳定性保障体系。
Posted on Thu 05 March 2026 in Tech • Tagged with authorization, rbac, openfga, zanzibar, security, fine-grained-authorization, 授权, 访问控制 • 8 min read
RBAC 是授权领域的"老黄牛",简单可靠,但在多租户、层级继承、动态共享等场景下力不从心。OpenFGA 基于 Google Zanzibar 论文,用关系元组(Relationship Tuple)重新定义了授权模型。本文从 RBAC 的局限出发,深入剖析 OpenFGA 的架构设计,探讨商业公司落地的路径与风险,以及开源方案与自研的取舍。
Posted on Thu 05 March 2026 in AI • Tagged with AI, prompt-engineering, Claude, LLM, 提示工程, Anthropic • 4 min read
大多数人用 Claude 就像用搜索引擎——丢一句话进去,看看出来什么。但 Claude 4.6 已经不是一个"问答机器"了,它更像一个刚入职的天才实习生:聪明得吓人,但完全不知道你们组的规矩。这篇文章拆解 Anthropic 官方最新的提示工程指南,把那些"看起来都懂、做起来全忘"的技巧变成你明天就能用的 checklist。
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security • 3 min read
CSRF 不靠"攻破你的网站",它靠的是"借你的登录态办坏事"。这篇文章把 CSRF 的本质讲清楚,顺便给出 Java/Go/Python 里能直接抄的防护做法:token、SameSite、Referer/Origin 校验,以及什么时候该用哪个。
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security • 2 min read
IDOR 不玄学,就一句话:你用 "id=123" 这种直达链接访问资源时,服务端有没有确认 "你就是 123 的主人"。这篇文章用可抄的例子讲清楚:它怎么发生,怎么被利用,怎么在 Java/Go/Python 里修到位。
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security, privacy • 2 min read
敏感数据暴露从来不是黑客多聪明,而是我们自己太大意:日志、报错、对象存储、备份、调试接口——每个环节都可能把数据"顺手递出去"。这篇文章给你一份可直接照抄的"数据防裸奔"清单。
Posted on Sat 28 February 2026 in Tech • Tagged with security, xss, owasp, 安全, web • 4 min read
XSS(Cross-Site Scripting,跨站脚本攻击)是 Web 安全里最常见的注入类漏洞之一。本文用通俗类比从 What/Why/How 说起,面向小白讲清楚 XSS 是什么、为什么危险、怎么防,给出 Java/Go/Python 三语言正反示例与常用框架,最后收束成防御套路与自检清单。
Posted on Sat 28 February 2026 in Tech • Tagged with tech, blog, ai, 软件工程 • 4 min read
AI 让"写代码"更便宜, 但让"证明没坑"更贵。软件工程的重心正在从"把需求写成代码", 转向"能力编排与治理": 把 prompt 当契约, 把评估当门禁, 把可观测性当边界, 把回滚当退路。
Posted on Sat 28 February 2026 in Tech • Tagged with security, owasp, access-control, bac, 安全, 访问控制 • 4 min read
OWASP Top 10 每隔几年更新一次,榜首却从未换过——BAC(Broken Access Control,访问控制失效)连续霸榜。本文从这个现象出发,用酒店房卡类比说清楚 BAC 是什么、为何难做对、典型场景和缓解措施,并给出 Java/Go/Python 三语言正反示例、常用框架、最佳实践和自检清单。
Posted on Sat 28 February 2026 in Tech • Tagged with sdk, 微服务, 治理, contract-testing, semver • 3 min read
Posted on Fri 27 February 2026 in Method • Tagged with 职场工具箱, 决策, 复盘, 沟通, OODA • 3 min read
Posted on Wed 25 February 2026 in Tech • Tagged with opencode, claude-code, qwen, deepseek, openai-compatible, ai-sdk, tls, ca • 2 min read
用 opencode 接入公司私有部署的 Qwen/DeepSeek(OpenAI-compatible API),日常写代码、改文档基本够用,还能省掉订阅费与 token 焦虑;关键是把 TLS 自签证书这关过掉,别用“关掉校验”这种野路子。
Posted on Wed 25 February 2026 in Journal • Tagged with 职场工具箱, 向上管理, 沟通, 汇报, 决策 • 2 min read
Posted on Wed 25 February 2026 in Tech • Tagged with go, security, tls, cve • 5 min read
CVE-2025-68121 涉及 Go crypto/tls 的两个会话恢复(session resumption)问题:Config.Clone 复制了自动生成的 session ticket keys,导致不同 tls.Config 之间意外共享会话票据;以及服务端在判断会话是否可恢复时,只检查 leaf 证书过期而忽略完整证书链,可能让过期链条下的会话继续被恢复。
Posted on Mon 23 February 2026 in Tech • Tagged with ai-agent, llm, agents, learning, spaced-repetition, english • 4 min read
一份纯技术向的设计:用 LLM-powered agent 跑一个固定的日常学习闭环(morning learn → evening test → next-day review),并用双维度打分管理句子库:实用度(1–5)与熟练度(1–5)。
Posted on Mon 23 February 2026 in Method • Tagged with 职场, methodology, KPI, emotion, ABC, REBT • 2 min read
让你崩溃的往往不是 KPI(事实),而是你给 KPI 加的“字幕”(解释)。ABC 情绪理论把这条链路拆开,让你把 KPI 从“人格审判”改回“工程仪表盘”,情绪降噪、行动变清晰。
Posted on Mon 23 February 2026 in AI • Tagged with 职场, methodology, AI-agent, english, learning • 2 min read
别指望 AI “一次性把你教会”,把它当成一个会计划、会记忆、会用工具、会复盘的学习搭子更靠谱。照着“早上学—晚上测—第二天复习”的节奏跑一周,再用“实用性/熟练度”双打分(1~5)管理句子库,你会明显感觉到自己不是在背单词,而是在攒职场肌肉记忆。
Posted on Fri 20 February 2026 in Method • Tagged with 职场, methodology, MVP, execution, perfectionism • 3 min read
想得太多做得太少,是许多职场人的隐形内耗。MVP 思维不是创业专属工具,而是个人工作的破局之道:先交付一个“够用的版本”,再迭代,而不是在脑海里反复打磨一个永远不敢面世的完美幻觉。