谷歌了下邮箱，这位很大几率是猎头，各位自己评估。

楼主又来提高搜索引擎效率了啊

因为都是老问题了，有这功夫还不如去多了解下 TCP/IP 协议安全相关的部分。

没有完美的防御方法，任何安全措施都是要付出代价的——就看是在哪一方面了。

1.篡改请求
这个好解决，用非对称加密 hash 签名就行了。

2.重放攻击
request id 或者 TOTP

3.中间人攻击
可以按 ssl 那套逻辑自己实现对数据内容加密一次，这样就算 https 被搞了，也不会泄露用户信息。不过，如果接口会被 web 页面 ajax 复用我就不知道怎么弄了。

4.伪造请求
说实话，客户端可以反编译的话，伪造请求只是难度问题罢了，不能避免

总的来说，只要后台逻辑没什么业务漏洞，攻击产生的利益小于攻击成本，基本上没人会搞的，懒得弄的话，上个 WAF 也能解决不少问题。

不说买的线路就是耍流氓啊

一分钱一分货，一毛钱两分货，一块钱三分货。

你们都太坏了，这年头像楼主这样的好人不多了，要珍惜。
ps ：楼主还有啥要卖的不？

“破解”肯定是能破解的，任何验证码都有个通用的“破解”方法——人工打码 :doge:

验证码的目标并非是“完全防止机器”，而是提高“认证的成本”。这个系统我记得是会根据用户行为来提高验证难度，也就是说，随着样本越来越多，验证的难度是会越来越高的，所以你说的“可以忽略”只是建立在你测试的这些样本数据的结果。

docker 大法好

@lslqtz 小心人家说你小气，说你不想回答就别回答。:doge:

任何一种工具在特定方面有优势的同时咋其他方便也必定会付出一些代价，从追求极限的角度看，配合使用多种工具在性能上确实是最优解。

但是工程项目不仅仅要考虑性能功能的最优解，还得考虑成本和可维护性，最终的选择方案只是各方面成本和预期的一种“妥协”罢了。

可以使用带秘钥 hash 或者将签名用非对称加密。

@meelo 其他软件私有格式或者不支持 txt 格式怪为知罗？

网费都一年都不止 60 块，这么折腾真能节省成本？

典型的 xy 问题。

@rogwan 对于那些所谓收费了伤心，跳出来大谈体验、产品规划，情怀，导出还嫌麻烦的老用户，我就是要人身攻击。

觉得产品不好，一开始就没用，完全 OK 。

用了很长时间，现在觉得收费不值，自己默默动手导出换到别的产品，完全 OK 。

但是，用了很长时间，现在觉得收费不值，再跳出来说产品不好，还要 BB 嫌导出到别的产品麻烦——不好意思，我就是针对这些人了。

@Vizogood
这世界没有免费的午餐，如果有，一定是有另一个人买单。

祝愿你以后能遇到一个跟你大谈情怀的老板——到时候你就知道情怀值多少钱了。

PM 跟用户一对一讨论根本就是效率最低下的方式，即没有方法论，也有没数据支撑——这种需求有什么意义？

你付费是为了得到服务，不是无私的捐助。

真巧，我也懒得找。