2025 05 27 HackerNews

2025-05-27 Hacker News Top Stories #

  1. 德国法院判处四名前大众汽车高管因柴油门丑闻入狱,丑闻涉及非法规避装置导致排放造假,造成巨额损失。
  2. 开源社会大学(OSSU)提供免费的计算机科学自学教育路径,涵盖编程、数据结构等核心内容,支持灵活学习和社区互动。
  3. 谷歌错误公开了用户的手机号码,用于身份验证的号码被添加到商业资料中,引发隐私泄露担忧。
  4. Hacker News 切换至 Common Lisp 提升性能,新编译器实现多核运行,但代码未开源。
  5. Lieferando.de 捕获5.7%的餐厅相关域名,可能用于SEO优化或流量驱动,引发法律和欺诈担忧。
  6. 开发者正在创建开源自托管应用程序,用于向朋友和家人发送新闻通讯,避免依赖社交媒体。
  7. 新型材料能够从空气中被动收集水分,潜在应用于干旱地区水收集和设备冷却。
  8. 乔姆斯基指出ChatGPT能模拟语言但不理解含义,需谨慎监管以防传播虚假信息。
  9. GitHub issues 被视为优秀笔记本工具,支持Markdown、代码高亮和搜索功能,适合项目管理和知识记录。
  10. JSON Web Token 十周年,尽管广泛应用于安全领域,但仍面临有效期和权限更新等安全挑战。

German court sends VW execs to prison over Dieselgate scandal #

https://www.politico.eu/article/german-court-vw-execs-prison-dieselgate-scandal-volkswagen-environment-illegal-pollution/

德国一家区域法院于 2025 年 5 月 26 日星期一判处四名前大众汽车高管因柴油门排放丑闻而犯有欺诈罪。法院判处两名前高管入狱数年,而另外两名前高管则被判处缓刑。该判决结束了一场几乎持续四年的重大审判。

柴油门丑闻首次曝光于 2015 年 9 月,当时美国环境保护署发现许多由德国汽车制造商大众汽车生产的柴油车配备了非法的所谓规避装置。这些装置可以检测到汽车正在进行排放测试,并改变性能以达到环境标准,但是在实际驾驶条件下,汽车排放的污染物远远超过了法律允许的限值。

2017 年,大众汽车承认在美国操纵了排放数据,引发了全球性的强烈反应,并引发了汽车行业历史上最大的企业丑闻之一。该丑闻使得位于沃尔夫斯堡的大众汽车公司陷入了深刻的危机。

2019 年,德国检察官指控时任首席执行官赫伯特·迪斯、董事长汉斯·迪特·珀奇和前首席执行官马丁·温特科恩(Martin Winterkorn)因排放欺骗而进行市场操纵。温特科恩于 2015 年丑闻爆发后不久辞职。2020 年,一家德国法院结束了对迪斯和珀奇的法律诉讼,大众汽车支付了 900 万欧元的罚款以了结此案。

温特科恩最初被列为此次审判的被告之一,但由于健康原因在 2021 年 9 月审判开始前被移除。作为证人和被告,温特科恩一直否认对丑闻负责。

自丑闻爆发以来,大众汽车面临了一系列的诉讼和法律诉讼。2020 年,该公司表示,危机已使其损失了超过 300 亿欧元的罚款和和解金。


HN 热度 610 points | 评论 250 comments | 作者:Tomte | 8 hours ago #

https://news.ycombinator.com/item?id=44098091

  • 德国法院判处大众汽车高管因发动机丑闻入狱,很少有公司因不良行为受到惩罚
  • 小偷小摸入狱,巨贪巨腐往往逍遥法外
  • 窃钩者诛,窃国者侯,谁偷窃小物品会被判刑,谁偷窃国家会被当作英雄
  • 杀人者会被判刑,杀人如麻者会被当作政治家
  • 如果你欠银行 100 万美元,那是你的问题,如果你欠银行 1 亿美元,那是银行的问题
  • 小偷偷窃小物品会被判刑,大盗偷窃国家会被当作英雄
  • 如果你偷窃一只鹅会被判刑,如果你偷窃整个国家会被当作英雄
  • 法律会惩罚小偷,但不会惩罚那些偷窃整个国家的人
  • 如果你欠银行的钱很多,你就拥有了银行
  • 公司偷窃顾客的钱往往不会受到惩罚
  • 只有当你偷窃股东的钱时,才会受到惩罚
  • 政府和公司往往只保护股东的利益,而不保护公民的权益

Open Source Society University – Path to a free self-taught education in CS #

https://github.com/ossu/computer-science

这是一个关于计算机科学教育的平台,名为 Open Source Society University(OSSU)。OSSU 提供了一条完整的计算机科学教育路径,使用在线材料,旨在为那些想要获得计算机科学基础知识的人提供一个自学的机会。

OSSU 的课程设计参考了计算机科学专业的本科教育要求,涵盖了计算机科学的各个方面,包括编程、数据结构、算法、计算机系统、网络、数据库等。课程内容来自世界顶级大学,如哈佛、普林斯顿、MIT 等,确保了课程质量和教学材料的可靠性。

OSSU 的课程分为三个阶段:Intro CS、Core CS 和 Advanced CS。Intro CS 是为新入门的学生设计的,旨在让他们了解计算机科学的基础知识和兴趣。Core CS 对应于计算机科学专业的前三年,涵盖了所有专业学生必须学习的基础课程。Advanced CS 则对应于计算机科学专业的最后一年,学生可以根据自己的兴趣选择不同的方向和课程。

OSSU 的学习过程灵活,学生可以根据自己的时间安排和学习速度,自行选择学习的进度和顺序。同时,OSSU 提供了一个社区支持,学生可以与其他学习者交流和讨论,获得帮助和反馈。

OSSU 的课程材料全部开放,免费提供给所有人使用。虽然有些课程可能需要付费来获得评分和认证,但 OSSU 提供了经济援助和奖学金,帮助学生完成学习目标。同时,OSSU 还提供了一个时间估算工具,帮助学生规划自己的学习进度和完成时间。

总的来说,OSSU 是一个为计算机科学爱好者提供的自学平台,提供了完整的计算机科学教育路径和灵活的学习方式,帮助学生获得计算机科学的基础知识和技能。


HN 热度 485 points | 评论 148 comments | 作者:saikatsg | 1 day ago #

https://news.ycombinator.com/item?id=44089150

  • 开源社会大学(OSSU)为全球提供了免费的计算机科学教育资源和学习机会
  • 传统大学教育可能存在诸如课程过时、理论与实践脱节、教师经验不足等问题
  • 自学和在线教育可以提供高质量的教育资源和实践机会
  • 开源社区和在线平台可以提供支持和交流的机会
  • 有经验的工程师可以通过志愿者工作为学习者提供帮助和指导
  • 目前还没有一个完善的开源实时聊天服务来取代 Discord
  • Matrix 和 Revolt 是潜在的开源替代方案,但仍存在稳定性和用户体验的问题

Google shared my phone number #

https://danq.me/2025/05/21/google-shared-my-phone-number/

本文的作者 Dan Q 分享了一个令人担忧的事件,他的个人手机号码被谷歌搜索引擎公开显示。这个手机号码原本是用于身份验证的,但不知何时,谷歌将其添加到了他所创立的志愿者管理软件系统 Three Rings 的谷歌商业资料中。因此,任何人在搜索“Three Rings 登录”时,都能看到他的个人手机号码,并且可以直接拨打。

作者表示,他已经删除了手机号码,但在此之前,他收到了多个来自 Three Rings 用户的电话,这让他感到困惑和担忧。他还提到,这不是第一次他的个人信息被泄露,之前有一家银行也曾将他的信用协议详情发送给了错误的人。

作者对谷歌的行为感到愤怒,认为这是对其隐私的严重侵犯。他还建议大家不要使用谷歌搜索引擎,而是选择其他更注重隐私的搜索引擎。此外,作者还提到,他已经联系了谷歌商业资料的支持团队,试图了解为什么他的手机号码被公开显示,但尚未得到满意的回答。

在文章的评论区,读者们也分享了自己的经历和建议。有人建议作者提交一个信息请求,以了解更多关于其个人信息被泄露的细节。另有人提到,可能是某个安卓手机用户将作者的手机号码标记为商业电话号码,从而导致了这一问题。作者还回答了读者们的提问,澄清了有关其手机号码和谷歌商业资料的细节。


HN 热度 454 points | 评论 161 comments | 作者:luu | 17 hours ago #

https://news.ycombinator.com/item?id=44094270

  • Google 可能从公开的资料中收集了电话号码并将其发布在商家列表中
  • 提供电话号码给 Google 用于身份验证并不意味着它会被公开发布
  • 使用独立的电话号码或虚拟电话号码可以避免个人电话号码被公开
  • Google 的政策要求开发者提供可以公开的电话号码,这可能会带来不便
  • 个人信息的公开可能会导致隐私泄露和不必要的骚扰
  • 使用第三方服务如 Twilio 可以帮助管理和保护电话号码
  • Google 的自动更新机制可能会导致错误或不准确的信息被发布
  • 个人和商家应注意保护自己的隐私和信息安全

Hacker News now runs on top of Common Lisp #

https://lisp-journey.gitlab.io/blog/hacker-news-now-runs-on-top-of-common-lisp/

本网页是一篇博客文章,主要讨论 Hacker News 现在运行在 Common Lisp 之上。Hacker News 最初是使用 Arc Lisp 方言编写的,Arc 是由 Paul Graham 创建的。然而,Arc 是在 Racket 之上实现的,但现在已经切换到 SBCL(Steel Bank Common Lisp)了。这种变化的原因是为了提高性能。

文章提到,Hacker News 不再使用分页来加载长线程的评论,这是由于新实现的 Clarc 的出现。Clarc 是一种 Arc 到 Common Lisp 的编译器,它使得 Hacker News 可以运行在多个核心上。文章还提到,Clarc 的代码还没有开源,但可能会在未来开源。

文章引用了 dang 的几条评论,解释了 Clarc 的实现和开源计划。dang 提到,开源 Clarc 的代码相对容易,但开源 Hacker News 的代码 base 则比较困难,因为其中包含了反滥用措施。文章最后提到,Hacker News 成功地切换到了 Common Lisp 之上,这是一个值得祝贺的成就。

此外,文章还提到了作者的其他作品,包括一门 Common Lisp 课程和几个 Lisp 相关的项目。作者还提供了一个赞助链接和一个推荐的应用 InvoiceNinja。文章最后提到,网页是使用 Hugo 和 Beg 主题生成的。


HN 热度 387 points | 评论 202 comments | 作者:Tomte | 6 hours ago #

https://news.ycombinator.com/item?id=44099006

  • Hacker News 的成功在于其简洁的设计和严格的管理
  • 简单的实现和复杂的接口往往比复杂的实现和优雅的接口更容易被接受
  • Facebook 使用 PHP 也是一个例子,证明了简单的技术可以带来成功
  • 重视内容而不是形式,少即是多,是 Hacker News 的设计哲学
  • 缺乏商业压力是 Hacker News 成功的重要因素
  • Hacker News 的评论系统虽然简单,但仍然存在一些问题,如评论被误判为垃圾评论
  • 使用 Common Lisp 重写 Hacker News 可能会带来更好的性能和更容易的维护
  • Hacker News 的设计理念是追求极简主义,去掉不必要的功能和元素
  • 网站的设计应该注重内容和用户体验,而不是追求复杂的功能和技术
  • 简单的设计和严格的管理可以带来更好的用户体验和社区氛围

https://mondaybits.com/lieferando-captured-6-percent-of-restaurant-related-domain-names/

这篇文章讨论了作者对德国顶级域名“.de”下的大量域名进行分析的过程。作者利用 Common Crawl 项目编译了大约 900 万个“.de”域名列表,并使用 PowerShell 命令和 Golang 程序对这些域名进行了筛选和检查。作者的目标是找出与德国餐厅和食物相关的域名。

通过筛选,作者发现了大约 31,000 个与德国餐厅相关的域名。然而,由于原始列表可能已经过时,作者需要检查哪些域名仍然活跃。使用 Golang 程序,作者发现 63% 的域名仍然活跃,大约 20,000 个域名。其中,49% 的域名有重定向,14% 的域名仍然使用 HTTP 协议,37% 的域名已不存在或返回错误。

在进行手动检查后,作者发现 Lieferando.de 已经占据了大量的餐厅域名。这些域名没有重定向到 Lieferando.de,而是显示了 Lieferando.de 的标志和链接。通过扩展 Golang 程序,作者发现 5.7% 的活跃域名属于 Lieferando.de,约 1,101 个域名。这些域名的例子包括 elba-restaurant-knigstein-im-taunus.de、gasthauskaiser.de 和 grill-restaurantnaxos.de。

作者推测 Lieferando.de 可能已经在 2019 年之前开始占据这些域名,并且这种行为可能是为了驱动流量到他们的网站。作者认为,这种行为可能被描述为增长黑客或搜索引擎优化(SEO)的一种方式。作者还指出,这种行为可能是有效的,并且可能很便宜。最后,作者邀请读者在评论中分享他们对这个话题的想法。


HN 热度 298 points | 评论 173 comments | 作者:natty | 15 hours ago #

https://news.ycombinator.com/item?id=44095250

  • Lieferando 公司通过注册大量与餐厅相关的域名并创建假网站来欺骗消费者并向餐厅勒索钱财 -餐厅老板可以通过注册商标和使用更独特的名称来防止这种情况
  • 这种行为是搜索引擎优化(SEO)和链接农场的结果,使得餐厅的官方网站在搜索结果中排名较低
  • 美国已经有法律禁止留假评价,但执行起来较为困难,尤其是假评价来自国外
  • 有人建议 Google 应该通过发送实体邮件或其他方式来验证商家信息以防止这种欺骗
  • 物理邮件验证可能会带来新的问题,例如邮件丢失或延迟等
  • 有些人认为应该通过监管和法律手段来解决这个问题,例如要求 Google 验证商家信息
  • GrubHub 也曾经在美国使用过类似的策略,注册了大量域名并未经许可将餐厅列入 Google 地图
  • 这种行为可能会对小型企业造成严重影响,导致他们损失客户和收入。

Ask HN: What are you working on? #

https://news.ycombinator.com/item?id=44090387

在这个讨论中,有多个参与者分享了他们正在进行的项目和想法。其中一个项目是一个开源的、自托管的应用程序,旨在向朋友和家人发送电子邮件新闻通讯。这个项目的发起者希望能够分享个人生活更新和家庭照片,而不需要依赖于社交媒体平台,比如 Facebook。该应用程序的工作流程如下:

  1. 用户在一周内撰写相关的帖子。
  2. 帖子可以被分配到不同的群组(如家庭、朋友等)。
  3. 在每周或每月的结束时,应用程序会自动为每个群组生成新闻通讯,提取分配给该群组的帖子。用户可以进行最后的调整后发送出去。
  4. 每个新闻通讯都将附带一个下载所有图片的链接。

该项目的设计考虑到了老年人的友好性,尽量简化用户体验,因此选择了电子邮件作为主要的通讯方式。发起者还提到,他们希望支持多语言功能,以便更好地服务于不同语言的家庭成员。发起者计划在这一周内完成最小可行产品(MVP),并进行测试。

在讨论中,其他参与者对该项目表示了兴趣,并提出了一些建议。例如,关于邮件的可送达性,强调了在电子邮件中添加实体地址和退订链接的重要性,以避免被标记为垃圾邮件。发起者回应称,目前该应用并不打算作为 SaaS 产品提供,而是供技术人员在自己的域名下自托管。

此外,参与者们还分享了其他项目,包括一个基于 3D 体素的游戏引擎,一个开源的表单提交转发器,和一个关于核能行业的咨询项目等。参与者们讨论了核能行业的需求和软件工程师的机会,以及在该领域从事开发的背景和前景。

总体而言,这个讨论展现了多个开源项目的创意和实施,以及参与者们对自我托管和技术透明度的追求。


HN 热度 292 points | 评论 907 comments | 作者:david927 | 1 day ago #

https://news.ycombinator.com/item?id=44090387

  • 一个用户正在开发一个开源的、自托管的应用程序,用于向朋友和家人发送新闻通讯,旨在避免使用 Facebook 等社交媒体平台。
  • 该应用程序允许用户创建帖子、分配到不同的群组,并在每周或每月末自动生成新闻通讯。
  • 有人提醒开发者注意电子邮件的可达性问题,建议添加物理地址和退订链接以避免被邮件提供商屏蔽。
  • 另一个用户的项目 Pagecord 可能会实现类似的功能,允许用户通过电子邮件创建博客。
  • 有人对项目的潜在用途表示兴趣,认为它可以作为社交媒体的替代方案。
  • 开发者表示,目前该应用程序不支持一个用户属于多个群组,但可能会在未来添加此功能。
  • 项目的目标是让技术人员能够自托管应用程序,用于与朋友和家人分享内容。
  • 有人建议使用 Zoho 等邮件服务提供商,以避免电子邮件可达性问题。
  • 另一个用户正在开发一个 3D 像素游戏引擎,具有 GPU 加速的世界生成和编辑功能。
  • 有人正在开发一个开源的 Nest 恒温器替代品,使用 Home Assistant 进行控制。

A new class of materials that can passively harvest water from air #

https://blog.seas.upenn.edu/penn-engineers-discover-a-new-class-of-materials-that-passively-harvest-water-from-air/

宾夕法尼亚大学工程与应用科学学院的研究人员发现了一种新型纳米结构材料,可以从空气中被动收集水分,并将其释放到表面,而无需任何外部能量。该研究由戴永李、拉塞尔·皮尔斯和伊丽莎白·克里米安·赫尔教授领导,发表在《科学进展》杂志上。

该材料是一种两亲性纳米多孔材料,既有亲水性也有疏水性,能够从空气中吸收水分并将其储存在多孔中。然后,水分会从多孔中释放到表面,形成水滴。这种材料的发现是偶然的,研究人员最初是在测试一种不同的材料时发现了这种现象。

研究人员发现,这种材料的特殊性在于其能够同时吸收和释放水分,而不需要任何外部能量。这种现象是由于材料的独特结构,亲水性纳米颗粒和疏水性聚合物的结合,形成了一个纳米级的多孔结构。这种结构使得水分可以从空气中被吸收并储存在多孔中,然后释放到表面。

这种材料的潜在应用包括被动水收集、电子设备和建筑物的冷却等。研究人员希望这种材料能够在干旱地区提供清洁水源,或者为电子设备和建筑物提供更节能的冷却方法。目前,研究人员正在进一步研究这种材料的性质和应用,包括如何优化其结构和性能,以及如何将其应用于实际场景。

该研究得到了国家科学基金会、能源部和其他机构的支持,研究人员希望这种材料能够带来新的技术和应用,解决全球的水资源和能源问题。


HN 热度 292 points | 评论 122 comments | 作者:Tycho | 10 hours ago #

https://news.ycombinator.com/item?id=44097144

  • 新材料可以从空气中提取水,但需要外部能量来释放水分。
  • 该技术与除湿袋类似,但除湿袋可以通过微波炉加热来复用。
  • 该材料不违反物理定律,只是利用了日常湿度循环。
  • 低剂量局部应用可以减少副作用,但仍需要谨慎使用。
  • 该技术仍处于初期阶段,需要更多研究来确定其实际应用价值。
  • 该材料的产水率和实际应用场景尚不明确,需要更多信息来评估其潜力。
  • 该技术可能需要外部能量来释放水分,这限制了其实际应用。
  • 该材料的开发仍处于研究阶段,尚未达到实用阶段。

Chomsky on what ChatGPT is good for (2023) #

https://chomsky.info/20230503-2/

诺姆·乔姆斯基在接受采访时谈到了人工智能(AI)和 ChatGPT 的发展现状。乔姆斯基认为,AI 是一种工程技术,可以用来解决特定的问题,但它并不能取代人类的智慧和认知能力。他指出,AI 的发展主要是为了提高效率和性能,而不是为了理解人类的认知过程。

乔姆斯基还谈到了 ChatGPT 的能力,认为它可以模拟人类的语言行为,但这并不意味着它真正理解了语言的含义。他将 ChatGPT 的能力与其他生物的认知能力进行了比较,例如蚂蚁的导航能力和鸟类的迁徙能力,指出这些生物的认知能力远远超过了人类的能力。

乔姆斯基强调,AI 的发展需要谨慎考虑其潜在的风险和后果。他指出,AI 可以被用来传播虚假信息和进行网络攻击,甚至可能成为一种存在威胁。因此,需要对 AI 的发展进行监管和控制,以确保其被用于有益的目的。

在语言习得方面,乔姆斯基认为,人类的语言习得能力远远超过了 AI 的能力。他指出,人类的语言习得是基于对语言规则和语法的理解,而 AI 的语言习得则是基于对大量数据的统计分析。乔姆斯基认为,AI 的语言习得能力虽然可以模拟人类的语言行为,但它并不能真正理解语言的含义和语法规则。

总的来说,乔姆斯基的采访为我们提供了对 AI 和 ChatGPT 的发展现状和潜在风险的深刻思考。他强调了需要谨慎考虑 AI 的发展和应用,以确保其被用于有益的目的。同时,他也指出,AI 的发展需要与人类的认知能力和语言习得能力进行比较和对比,以更好地理解其潜在的能力和局限性。


HN 热度 257 points | 评论 335 comments | 作者:mef | 1 day ago #

https://news.ycombinator.com/item?id=44089156

  • 人工智能的发展并没有深化我们对人类智慧的理解,但也可能会通过研究人工智能的结构和工作原理来发现新的规律和机制。
  • 人类可能并不是那么特殊,人工智能的发展可能会让我们重新评估人类的价值和地位。
  • 人类的大脑和人工智能系统是两种不同的智能体,人类的智能可能是通过复杂的神经网络和进化过程形成的,而人工智能系统则是通过算法和数据驱动的。
  • 人类的智能和意识可能是通过社会交往和环境影响形成的,孤立的个体可能无法发展出与我们相同的智能和意识。
  • 搜索外星智能可能是徒劳的,因为我们可能无法识别出与我们完全不同的智能形式,但在地球上寻找类似人类的智能可能会有新的发现。
  • 语言模型可能具有类似人类的智能,但其工作原理和意识可能与人类完全不同,我们可能无法区分语言模型的智能和人类的智能。

GitHub issues is almost the best notebook in the world #

https://simonwillison.net/2025/May/26/notes/

这篇文章讨论了使用 GitHub issues 作为笔记本的优势。作者认为,GitHub issues 几乎是世界上最好的笔记本,具有免费和无限的空间,支持 Markdown 语法,包括语法高亮和拖放图片或视频等功能。此外,GitHub issues 还具有出色的链接能力,允许用户在笔记中插入其他 issues 的链接,并且可以自动更新链接。

作者还提到了 GitHub issues 的搜索功能,能够在仓库内、所有仓库或整个 GitHub 中搜索笔记。同时,GitHub issues 还具有全面 API,允许用户导出和创建新的笔记,并可以使用 GitHub Actions 自动化笔记的管理。

然而,作者也指出,GitHub issues 缺乏同步离线支持,这是唯一一个不足之处。作者表示,尽管如此,GitHub issues 仍然是最好的笔记本选择,尤其是考虑到其免费和无限的空间,以及出色的链接和搜索功能。

在文章的后半部分,作者提到了关于 GitHub issues 的一些额外功能,例如使用- [ ] 语法创建待办事项列表,并且可以自动更新待办事项的状态。作者还提到了使用 GraphQL 查询来获取 GitHub issues 的统计信息,例如创建的 issues 和评论的数量。

最后,作者总结了自己使用 GitHub issues 作为笔记本的体验,表示 GitHub issues 是最好的笔记本选择,具有出色的功能和免费的空间,尽管有一些不足之处,但仍然是最好的选择。


HN 热度 252 points | 评论 170 comments | 作者:ingve | 15 hours ago #

https://news.ycombinator.com/item?id=44094980

  • 使用 GitHub issues 作为项目管理工具可以有效地组织和跟踪任务和进度
  • GitHub issues 的搜索和标签功能使得快速找到特定信息变得容易
  • 使用 GitHub issues 来记录和管理个人物品,例如搬家时的箱子内容,能够方便地搜索和找到所需物品
  • 将箱子内容记录在 GitHub issues 中可以避免手写标签的麻烦和提高搜索效率
  • 有些人使用其他工具,如 LibraryThing,来管理个人物品
  • 使用 GitHub issues 来管理个人信息可能会引发对隐私和安全的担忧
  • GitHub 的企业版提供了更好的安全和隐私保护
  • 使用 GitHub issues 来组织个人生活和工作可以提高效率和便利性
  • 有些人认为使用 GitHub issues 来管理个人信息不如使用专门的工具,如 Org mode
  • 使用 GitHub issues 可以实现对个人信息的版本控制和历史记录
  • GitHub 的 GraphQL 查询功能可以用来统计个人在 GitHub 上的活动情况

Ten years of JSON Web Token and preparing for the future #

https://self-issued.info/?p=2708

JSON Web Token(JWT)已经诞生十年了。2015 年 5 月,JWT 成为 RFC 7519,这标志着一个简单的 JSON-based 安全令牌格式和底层 JSON-based 加密标准的诞生。与 JWT 一起发布的 RFC 包括 RFC 7515、RFC 7516、RFC 7517、RFC 7518、RFC 7520、RFC 7521、RFC 7522 和 RFC 7523。这些标准的发布是 OAuth 和 OpenID Connect 工作组共同努力的结果。

JWT 的设计初衷是为了创建一个通用的、广泛有用的标准。随着时间的推移,JWT 被广泛应用于各种场景,包括 OAuth 和 OpenID Connect。JWT 的成功在于其简单性和灵活性,使其能够被广泛采用。如今,JWT 已经成为在线安全领域的重要组成部分。

为了确保 JWT 的安全性,已经有一些工作在进行中。五年前,JSON Web Token Best Current Practices 规范被创建,以提供 JWT 的最佳实践和安全指南。该规范包括了一些实用的建议和注意事项,以帮助开发者避免常见的安全问题。近期,JSON Web Token Best Current Practices 规范正在被更新,以包含更多的安全威胁和缓解措施。

此外,JWT Profile for OAuth 2.0 Client Authentication and Authorization Grants 规范也正在被更新,以解决令牌发送到授权服务器时的模糊性问题。这些更新的规范将有助于提高 JWT 的安全性和可靠性。

总的来说,JSON Web Token 已经成为在线安全领域的重要组成部分,其广泛的应用和不断的更新是其成功的体现。随着技术的不断发展,JWT 将继续发挥其重要作用,保护在线安全和隐私。


HN 热度 231 points | 评论 136 comments | 作者:mooreds | 24 hours ago #

https://news.ycombinator.com/item?id=44092102

  • JWT 的设计初衷是为了提供一种无状态的身份验证机制,但在实际应用中,很难仅凭借 JWT 来确保用户身份的有效性和权限的及时更新。
  • JWT 的有效期和刷新机制可能导致权限更新延迟,尤其是在需要实时更新权限的场景中。
  • 使用 JWT 的 revocation list 可以解决部分问题,但实现和维护 revocation list 可能会带来额外的复杂性和性能开销。
  • 在某些场景中,使用传统的 cookie-based token 可能更为合适,尤其是在需要实时更新权限和较短的有效期的场景中。
  • JWT 的设计和实现需要根据具体的业务需求和场景进行选择和优化,不能一概而论。
  • 实时更新权限和 revocation list 的实现可以通过各种手段来解决,例如使用推送机制、缓存和定时刷新等。