rekulas

这个。。。即使电脑小白也不会觉得有趣了吧，已经 web 3.0 了

@labulaka521 普通软件大多都是，但据我所知 rdp 是特殊协议跟 win 底层结合比较密切，可以在不截屏的情况下捕获元素、窗口的变化所以传输效率很高(第三方软件无法获取这类底层数据)
截屏类就比拼截屏效率和变动计算算法了，有些效率也很高比如 teamviewer，可惜不支持离线直连

我还是选 rdp 直连，输入法和一些特殊键不会干扰

在用 lastpass，因为担心有些风险自己本地额外加了层加密，安全性升级脱裤也不怕所以敢存储敏感信息
https://github.com/del-xiong/lastpass_dopass

https://camo.githubusercontent.com/e543c84f03b4829e1b2c15c8c259070fb39adef3de0d5ce348e0e75322d02f95/687474703a2f2f70686f746f7a6f6f6d2d7374617469632e73746f722e73696e616170702e636f6d2f322e6a7067

缺点是要麻烦些，也没有做手机端

问题可以转换下，相当于淘宝用户都可以设置自己地址，然后问如何防止用户用工具模拟提交地址
答案当然是无法防止，只能通过各种手段提高逆向难度

毕竟对服务端来说，客户端都是“无状态”的，只要参数正确，无法识别是真客户端还是伪客户端

又考虑了下，写入用户密码的时候如果不依赖外部服务，可能是需要非对称加密才行，只需要隐藏私钥就行了，目前的计算环境下足够可靠，只要 github 自身不泄露的话...

@d5 这样应该可以，如果不依赖外部服务，盐起不了防范暴力破解的作用，但 secrets 可以，非对称也不是必须的，只需要用 secrets 也作为 hash 参数就足够安全了
举例，库配置定义个 TOKEN
```
SHA_SAFE_TOKEN=ec4fa26383768f35a34c3962faea2e91
```
公开库记录密码值 sha256("202104050006-abcdf"+SHA_SAFE_TOKEN)
登录验证的时候保证 sha256(input+SHA_SAFE_TOKEN) == 记录值即可
只要 SHA_SAFE_TOKEN 不泄露，就绝对安全

建议给每个用户添加盐值，越复杂越好，基本就不可破解了

有一定泄露风险问题，泄露概率负相关于加密字符串难度，因为别人可以直接本地暴力运算指定账号密码，从你给的示例来看难度似乎不太高。
绕过 actions 应该是很难的，除非代码有 bug，输入参数直接 hash，不存在攻击可能性