本文永久链接 – https://tonybai.com/2025/10/25/go-iota-flaw-or-magic 大家好,我是Tony Bai。 “我一直在 DUNK Go,因为我觉得它是一门糟糕的语言。但我从未意识到,它比无底的绝望深渊还要深。这TMD是啥?” 近日,一条关于 Go 语言 iota 的“咆哮”推文在开发者社区引发了热议。推文作者 Dmitrii Kovanikov 贴出了一张看似极其复杂、反直觉的 iota 计算示例(如下图),并将其作为 Go 语言设计糟糕的“罪证”。 ...
本文永久链接 – https://tonybai.com/2023/11/04/understand-go-web-authz-by-example 在前面的系列文章中,我们了解了Go Web应用身份认证的几种方式,也知道了该如何相对安全地存储用户的密码信息,最大程度减小在系统数据库被攻破时用户密码信息的泄露程度。 一旦用户通过身份验证,他/她就可以以合法的身份进入到系统中,那么问题来了:用户进入系统后是否就可以“为所欲为”了呢?显然不是! 比如我们以普通用户身份登录github,身份验证成功后,我们只能增删改自己账号下的代码仓库数据或读取其他用户的公开仓库(public)数据,我们无法修改和删除其他用户下面的仓库数据,甚至看不到其他用户的私有仓库。Web应用系统(比如github)的这种对用户可以使用什么功能、可以访问和修改哪些数据的管理和控制,就是授权(Authorization),简称为AuthZ。 ...