谈谈 AI 写博客
发表更新5 分钟读完 (大约734个字)

谈谈 AI 写博客

科学家依据能否"认识"镜子里的自己来判断动物的智力水平,而如今 AI 也成了这种镜子。我很容易就能分辨一篇文章是否由 AI 生,即使它加了很多类人的细节,或者特别的口癖。但这更像是一种诅咒,这些 AIGC 的东西让我觉得倒胃口,我甚至会有这样一种偏见:相较于人工的产物,AI 的文字更加廉价,缺少阅读价值。为什么会有这种念头呢?因为我清楚知道我的阅读时间比文章本身需要创作的“时间”更长,而这个差距正在不断扩大。这毫无疑问是一场注定失败的战争,但归根结底,这并不是我的个人固执而是对自我存在价值被无形削弱的担忧。

我当然希望有这样一种“银弹”,它可以像领导秘书一样事无巨细地消化,再结构化地输出我的观点。但这种私人定制 Agent 的概念太过美好,我不止是担心我的个人观点被曲解,更是担心群体反馈被一堆电子回声机给替代。

我最新写的博客好几篇都是用 AI 生成或辅助润色的,但后面我仔细想了一下,AI 写文章和 AI 写代码完全不同,后者侧重功能性前者则侧重思考的完整链路过程。如果它只是一份“指南”,那它不应该出现在个人博客里,而更适合归档成 wiki 或者 stackoverflow 这种知识问答类的东西。我使用 AI 的初衷是为了提高效率节约时间,但事实上它并没有,它完全成了一次性的东西——用后即抛。类似避孕套,只不过它完全服务于我仓鼠症叠加收纳癖的心理满足感。

AI 文章没有生命力,我之前写的文章会反复修改,补充引用和出处,以及自己的感悟,后面的文章也会反复引用前者。这样,文章之间不再独立门户,彼此交叉关联着。

其实很多时候生活中就是充斥着这样那样的噪音,但归根结底,噪音也不过是水平线上摇摆的波动,但我常为了消弭这些噪音疲于奔命。个体的专注力是有限的,但思维力是无限的,当然有时候过度思考也会导致头疼,但是这不是思考太过深入,而是问题迟迟无法解决导致的精神焦虑症!

发表更新10 分钟读完 (大约1563个字)

SSH 登陆与证书化实践

目录

  1. 原理速记
  2. ssh-copy-id —— 一键分发公钥
  3. ssh-agent —— 私钥只解锁一次
  4. 小团队高频变更?上 SSH CA
  5. 最小实验环境
  6. FAQ
  7. 结语
阅读更多
发表更新11 分钟读完 (大约1710个字)

接口请求签名与认证的两种方案对比

目录

  1. 为什么一定要做“签名 + 认证”
  2. 方案一:自定义 Ed25519 报文级签名
  3. 方案二:JWT(Ed25519 EdDSA)
  4. 维度对照总表
  5. 场景化选型建议
  6. 结语

为什么一定要做「签名 + 认证」

认证 (Authentication):谁在访问?
完整性 (Integrity):请求内容在传输途中是否被篡改?
抗重放 (Replay):同一帧数据会不会被复制多次发动攻击?

只要是在公网、跨团队或跨语言调用 REST/GraphQL/gRPC/WebSocket,甚至 IoT MQTT,都绕不开上面三个问题。最常见做法就是“在每个请求上做签名,再让服务端验签”。下面给出两套可以直接落地的方案。

方案一:自定义 Ed25519 报文级签名

工作原理

  1. 客户端保存 私钥(48 B PKCS#8 DER,再 base64 存储)。
  2. 每次请求:
    1. 取 UTC 秒级时间戳 timestamp
    2. bodyBytes = json.Marshal(body)
    3. msg = timestamp || bodyBytes
    4. signature = Ed25519.Sign(privKey, msg)
    5. 把 3 个头一并发出
      • X-Timestamp
      • X-Public-Key (base64 DER,44 B)
      • X-Signature (base64,64 B)
      • (可选)再叠一层 Basic Auth / mTLS
  3. 服务端:
    • 校验时间戳 ±N 秒
    • X-Public-Key 还原公钥
    • 重新拼 msg′ = timestamp || body,执行 ed25519.Verify(...)
    • 通过返回 200,失败直接 401/403

完整 Go 代码

客户端——生成头并发送

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
// ---------------- 公共结构体 ----------------
type APIRequest struct {
	Host     string `json:"host"`
	Username string `json:"username"`
	Command  string `json:"command"`
}

// ---------------- 计算签名 ----------------
type SignResult struct {
	XTimestamp string
	XPublicKey string
	XSignature string
	SignedBody []byte
}

func MakeEd25519Headers(privBase64 string, body APIRequest) (*SignResult, error) {
	const (
		privDERLen      = 48
		seedStartIdx    = 16
		pubPrefix       = "MCowBQYDK2VwAyEA" // 12 B 固定前缀的 base64 表示
		timestampFmt    = "20060102150405"
	)
	der, err := base64.StdEncoding.DecodeString(privBase64)
	if err != nil || len(der) != privDERLen {
		return nil, fmt.Errorf("decode priv base64: %w", err)
	}
	seed := der[seedStartIdx:]
	privKey := ed25519.NewKeyFromSeed(seed)
	pubKey := privKey.Public().(ed25519.PublicKey)

	bodyBytes, _ := json.Marshal(body)
	ts := time.Now().UTC().Format(timestampFmt)
	msg := append([]byte(ts), bodyBytes...)

	sig := ed25519.Sign(privKey, msg)
	pubDER, _ := base64.StdEncoding.DecodeString(pubPrefix)
	pubDER = append(pubDER, pubKey...)

	return &SignResult{
		XTimestamp: ts,
		XPublicKey: base64.StdEncoding.EncodeToString(pubDER),
		XSignature: base64.StdEncoding.EncodeToString(sig),
		SignedBody: bodyBytes,
	}, nil
}

// ---------------- 发送 HTTP ----------------
func SendSignedRequest(url string, body APIRequest, sig *SignResult) (string, string, error) {
	j, _ := json.Marshal(body)
	req, _ := http.NewRequest("POST", url, bytes.NewReader(j))
	req.Header.Set("Content-Type", "application/json")
	req.Header.Set("X-Timestamp", sig.XTimestamp)
	req.Header.Set("X-Public-Key", sig.XPublicKey)
	req.Header.Set("X-Signature", sig.XSignature)

	cli := &http.Client{Timeout: 8 * time.Second}
	resp, err := cli.Do(req)
	if err != nil {
		return "", "", err
	}
	defer resp.Body.Close()
	b, _ := io.ReadAll(resp.Body)
	return resp.Status, string(b), nil
}

服务端——验签中间件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
func verifyEd25519(next http.Handler) http.Handler {
	const skew = 30 * time.Second
	const pubPrefixLen = 12

	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		tsStr := r.Header.Get("X-Timestamp")
		pubStr := r.Header.Get("X-Public-Key")
		sigStr := r.Header.Get("X-Signature")
		if tsStr == "" || pubStr == "" || sigStr == "" {
			http.Error(w, "missing hdr", 401); return
		}

		// 1. 时钟偏移
		ts, _ := time.ParseInLocation("20060102150405", tsStr, time.UTC)
		if d := time.Since(ts); d > skew || d < -skew {
			http.Error(w, "expired", 401); return
		}

		// 2. 公钥 & 签名还原
		pubDER, _ := base64.StdEncoding.DecodeString(pubStr)
		if len(pubDER) <= pubPrefixLen {
			http.Error(w, "pub too short", 401); return
		}
		pubKey := ed25519.PublicKey(pubDER[pubPrefixLen:])
		sig, _ := base64.StdEncoding.DecodeString(sigStr)

		// 3. 读取 body & 验签
		body, _ := io.ReadAll(r.Body)
		msg := append([]byte(tsStr), body...)
		if !ed25519.Verify(pubKey, msg, sig) {
			http.Error(w, "bad signature", 401); return
		}

		// 4. 复写 body 继续业务
		r.Body = io.NopCloser(bytes.NewReader(body))
		next.ServeHTTP(w, r)
	})
}

优缺点小结

优点

  • 100 % Stateless,仅依赖 3 个自定义头
  • 报文极小(~108 B)
  • 仅依赖标准库 crypto/ed25519 + encoding/base64

缺点

  • 只能证明“这条报文来自这把公钥”,无法嵌入角色、过期等信息
  • 客户端换钥需要升级配置
  • 无跨语言标准,需要自己维护 SDK 和文档

方案二:JWT(Ed25519 EdDSA 签名)

工作原理

Token = base64url(header).base64url(payload).base64url(signature)

  • header:alg=EdDSA,可选 kid
  • payload:可存 sub(主体)、exp(过期)、role(角色)、tenant_id
  • signature:用同一把 Ed25519 私钥签名
  • 客户端用 Authorization: Bearer <token> 携带

完整 Go 代码

客户端——签出 JWT

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
// go get github.com/golang-jwt/jwt/v5
func IssueJWT(privBase64, subject string, ttl time.Duration) (string, error) {
	const privDERLen = 48
	const seedStartIdx = 16

	der, _ := base64.StdEncoding.DecodeString(privBase64)
	if len(der) != privDERLen {
		return "", errors.New("bad key len")
	}
	seed := der[seedStartIdx:]
	priv := ed25519.NewKeyFromSeed(seed)

	claims := jwt.RegisteredClaims{
		Subject:   subject,
		ExpiresAt: jwt.NewNumericDate(time.Now().Add(ttl)),
		Issuer:    "cli-tool",
	}
	tok := jwt.NewWithClaims(jwt.SigningMethodEdDSA, claims)
	return tok.SignedString(priv)
}

客户端——发送请求

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
func SendJWTRequest(url, jwtToken string, body APIRequest) (string, string, error) {
	j, _ := json.Marshal(body)
	req, _ := http.NewRequest("POST", url, bytes.NewReader(j))
	req.Header.Set("Content-Type", "application/json")
	req.Header.Set("Authorization", "Bearer "+jwtToken)

	cli := &http.Client{Timeout: 8 * time.Second}
	resp, err := cli.Do(req)
	if err != nil {
		return "", "", err
	}
	defer resp.Body.Close()
	b, _ := io.ReadAll(resp.Body)
	return resp.Status, string(b), nil
}

服务端——验证中间件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
func jwtMiddleware(pubDERBase64 string, next http.Handler) http.Handler {
	const pubPrefixLen = 12
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		auth := r.Header.Get("Authorization")
		if !strings.HasPrefix(auth, "Bearer ") {
			http.Error(w, "missing bearer", 401); return
		}
		tokenStr := strings.TrimPrefix(auth, "Bearer ")

		// 1. 解析公钥
		pubDER, _ := base64.StdEncoding.DecodeString(pubDERBase64)
		if len(pubDER) <= pubPrefixLen {
			http.Error(w, "bad pub", 401); return
		}
		pubKey := ed25519.PublicKey(pubDER[pubPrefixLen:])

		// 2. Parse & Validate
		t, err := jwt.Parse(tokenStr, func(tok *jwt.Token) (any, error) {
			if tok.Method != jwt.SigningMethodEdDSA {
				return nil, fmt.Errorf("unexpected alg")
			}
			return pubKey, nil
		})
		if err != nil || !t.Valid {
			http.Error(w, "unauthorized: "+err.Error(), 401); return
		}

		// 3. 可把 claims 放进 ctx
		ctx := context.WithValue(r.Context(), "claims", t.Claims)
		next.ServeHTTP(w, r.WithContext(ctx))
	})
}

优缺点小结

优点

  • payload 可自由写租户、角色、过期、jti(可做黑名单)
  • kid + JWKS 支持不停机密钥轮换
  • 生态成熟,浏览器 / 移动端 / Python / Java … 全有库

缺点

  • Token 本身 200 ~ 800 B,占带宽
  • 依赖第三方库 github.com/golang-jwt/jwt/v5
  • 设计不当易造成权限泄漏(例如过期时间过长)

维度对照总表

维度 自定义 Ed25519 签名 JWT / EdDSA
认证对象 公钥 == 身份,或再叠 Basic/mTLS payload.sub / tenant / role 等
额外声明 几乎没有(可再造头) payload 任意字段
抗重放 依赖时间戳 ±窗口 exp / nbf / jti
Key Rotation 客户端手动换配置 kid + JWKS 热替换
报文大小 3 个头约 108 B Bearer 200–800 B
跨语言生态 自写 SDK jwt.io 完整生态
典型场景 内网 S2S、IoT 边缘、窄带场景 BFF、移动端、三方开放 API

场景化选型建议

  • 单体或少量微服务、全部 Go 语言 —— 选 Ed25519 自定义签名,依赖少、带宽省。
  • 面向前端 / 移动 / 第三方伙伴 —— 选 JWT,标准化、省对接成本。
  • 需要抗重放 / 加权限 / 单点登录 —— 直接用 JWT,免造 jti / exp 机制。
  • 极端窄带(LoRa、NB-IoT)或硬件受限 —— 继续用纯签名方案,甚至可再精简。
  • 高安全场景 —— Ed25519 做“消息完整性”,外层叠 mTLS/JWT 做“身份 + 会话”,双保险。

结语

两条技术路线各有侧重:

  • 自定义 Ed25519 →「最小依赖 + 最小报文 + 最小功能」
  • JWT →「功能丰富 + 生态成熟 + 易扩展」

只要弄清业务边界、带宽约束、团队规模与未来演进,选型并不困难。希望本文能帮助 Go 开发者在“接口签名 / 认证”这道必考题上做出合适选择。Happy Coding!

发表更新Ops22 分钟读完 (大约3291个字)

Prometheus 全链路监控实战: Nginx QPS、ComfyUI 存活、GPU 指标,到 Docker-VPN 网段踩坑记录

一篇给团队新人看的「一把梭」笔记:
• 打开 Nginx 详细指标(QPS / P99 / 5xx)
• 用 Blackbox 监控 ComfyUI 是否挂掉
• GPU 机器指标怎么进 Prometheus
• Docker-Compose + VPN 网段冲突到底怎么解决
• 最后把冗长的 Prometheus YAML 缩成 1/2

能抄就抄,能跑就行

阅读更多
发表更新7 分钟读完 (大约1010个字)

Nginx 管理&端口转发权限配置

Nginx 是一款高性能 Web 服务器和反向代理工具,非常适合搭建多实例服务,统一管理外部访问端口与权限。本文记录完整的安装、配置 SSL/Basic Auth、实例化端口转发以及日志调试全流程,希望对需要集中运维或微服务网关的同学有所助益。

阅读更多
发表更新Linux / Network12 分钟读完 (大约1830个字)

使用 Linux 流量控制(ifb+tc)实现 Host 上下行带宽管理实录

为实现对 Host 的上下行速度控制,需要借助 Linux 流量控制相关工具。Linux 流量控制包含三个部分:流量分类、流量标记、流量策略

我主要参考了 ArchWiki Advanced traffic control。资料中提到需要禁用 TCP 分段卸载(TSO)——否则它会绕过 tc 去节省 CPU(实际上是“负优化”)。不过,由于我本身用 ifb + tbf 提前处理了流量,这个问题表面上看并未暴露,但为保险起见,我依然把每个 host 的 tso 都关掉了。(参考:SUSE 关于 TSO 关闭说明

阅读更多
关注我

链接

最新文章

归档

标签

AI1
AIGC1
Blackbox1
CA1
DP1
Docker1
GPU1
KVM1
MST1
Nginx1
Prometheus1
SSH1
TODO5
algorithm2
btree1
c++1
cryptography1
debug1
dns1
font1
git1
go3
ifb1
intro6
java2
leetcode2
maven1
mysql1
profile1
raft3
redis1
security1
shell8
tc1
tcp1
typescript1
vim1
入门1
函数式编程1
动漫1
安全1
并发1
并查集1
开源1
数据库1
日记27
最短路1
流控,带宽管理1
算法4
网络2
虚拟化1
计算机基础1
运维1
黑客文化1

分类

×