博客

新iPad Pro暴力测试：史上最薄苹果产品容易弯折吗？
近日，维纳斯在《挨踢1024》栏目发布了一则关于新iPad Pro的暴力测试。作为史上最薄的苹果产品，这款iPad Pro的耐用性备受关注。测试结果显示，新iPad Pro在一定程度上确实比较容易弯折。测试视频中，通过施加外力，iPad Pro出现了明显的弯曲现象，显示出其在结构上的脆弱性。

在评论区，用户们纷纷表达了自己的看法。有些人认为，作为高端电子产品，iPad Pro的设计应该在美观与耐用之间找到平衡；而另一些人则表示，尽管它容易弯折，但作为日常使用的工具，只要不故意施加极端压力，完全可以满足需求。

总体来看，这次测试为消费者提供了一个参考，让大家在购买时可以更全面地了解产品的特点和潜在问题。如果你也对新iPad Pro的耐用性有疑问，不妨观看这则暴力测试视频，进一步了解产品性能。

更多详细内容请访问原文链接：新iPad Pro暴力测试

了解更多：
1. 抽屉新热榜
2. 最佳第6人
2024 年 5 月 18 日
ICMP隧道详解
ICMP隧道是一种利用ICMP协议进行通信的隧道技术。它可以在不开放端口的情况下进行通信，因此具有一定的隐蔽性。下面将从技术原理、实现方式和检测防御等方面详细解释ICMP隧道的相关知识。

技术原理

ICMP隧道的实现原理是替换ICMP数据包中的Data部分。在ICMP协议中，Data部分用于传输数据。通过修改Data部分的内容，可以实现在ICMP数据包中传输自定义的数据。具体原理如下：
1. ICMP协议结构：ICMP数据包的结构包括协议头部和Data部分。协议头部占据了0~31个字节，剩下的部分就是Data部分。
2. Data部分的默认内容：不同操作系统的ping命令在发送ICMP数据包时，Data部分的内容是不同的。例如，Windows系统默认传输32字节的数据，内容是abcdefghijklmnopqrstuvwabcdefghi；Linux系统默认传输48字节的数据，内容是!”#$%&'()+,-./01234567。
3. 替换Data部分：ICMP隧道的关键就是替换Data部分的内容。对于Windows系统，只需要替换Data部分并重新计算校验和即可。对于Linux系统，替换Data部分后还需要满足其他规律，以防止链路上的设备对错误包进行抛弃处理。
实现方式

实现ICMP隧道需要编写自己的ICMP发送和应答程序，以替代系统本身的ping程序。具体实现方式如下：
1. ICMP隧道服务器端：服务器端是必须的，用于接收和处理ICMP隧道的请求和应答。可以通过关闭系统的ping应答程序，并启动自己的ICMP应答程序来实现。服务器端需要指定一个独立的公网IP和一个代理端的公网IP，其中代理端的公网IP可以通过在服务器端上使用tcpdump icmp命令获取。
2. ICMP隧道代理端：代理端是ICMP隧道的客户端，用于与服务器端进行通信。代理端需要指定服务器端的公网IP和代理端自身的公网IP。在与服务器端建立连接后，代理端可以通过修改ICMP数据包的Data部分来传输自定义的数据。
检测防御

由于ICMP隧道具有一定的隐蔽性，因此对于网络安全而言，检测和防御ICMP隧道是非常重要的。常见的检测和防御方法包括：
1. 流量分析：通过对网络流量进行分析，检测出异常的ICMP数据包，如数据包大小、频率等。
2. IDS/IPS系统：使用入侵检测系统（IDS）或入侵防御系统（IPS）来监测和阻止ICMP隧道的传输。
3. 防火墙配置：在防火墙中配置规则，限制ICMP数据包的传输，或者对ICMP数据包进行深度检测和过滤。
4. 网络监控：通过实时监控网络流量和日志，及时发现和应对ICMP隧道的使用。
综上所述，ICMP隧道是一种利用ICMP协议进行通信的隧道技术，具有一定的隐蔽性。在实际应用中，需要注意检测和防御ICMP隧道的使用，以保障网络安全。

Learn more:
ICMP隧道技术是一种利用ICMP协议实现数据传输的隐蔽技术。它在网络通信中具备高度隐蔽性，能够绕过防火墙和入侵检测系统。让我们从技术原理、实现方式和检测防御三个方面详细探讨ICMP隧道技术。

技术原理

ICMP（Internet Control Message Protocol）是TCP/IP协议簇中的一个重要子协议，主要用于在IP主机和路由器之间传递控制消息，诸如网络是否连通、主机是否可达、路由是否可用等信息。ICMP隧道正是利用ICMP协议的这一特性，通过在ICMP报文中嵌入数据来实现隐蔽的数据传输。

ICMP隧道的技术核心在于：
1. ICMP报文结构：ICMP报文包含类型字段和代码字段，用于标识报文的类型。常见的ICMP类型包括ICMP_ECHO（请求）和ICMP_ECHOREPLY（应答）。
2. 数据嵌入：ICMP报文可以携带数据，通常利用ICMP_ECHO和ICMP_ECHOREPLY报文的可选数据字段嵌入需要传输的数据。
3. 隐蔽性：由于ICMP报文通常由系统内核处理，不占用特定端口，并且很多防火墙默认允许ICMP报文通过，因此ICMP隧道具有较高的隐蔽性。
实现方式

实现ICMP隧道通常需要编写客户端和服务器端程序，分别在受控主机和攻击者主机上运行。以下是常见的实现工具及其工作原理：
1. icmpsh：这是一个简单且便携的ICMP隧道工具。受控端（客户端）使用C语言实现，运行在目标Windows机器上，而主控端（服务端）可以运行在任何平台上，支持C、Perl和Python等多种实现版本。
  - 建立隧道：受控端接收ICMP_ECHO数据包，解出其中隐藏的命令并执行，然后将执行结果封装在ICMP_ECHOREPLY数据包中发送给主控端。
  - 数据包分析：通过抓包可以看到传输的命令和响应数据。
2. icmptunnel：通过创建虚拟网卡，将所有流量都路由到虚拟网卡，并封装在ICMP回显数据包中传输。
  - 建立隧道：客户端主机的所有用户流量都通过虚拟网卡tun0，icmptunnel在此接口上侦听IP数据包并封装在ICMP回显包中。
  - 数据包分析：抓包分析可以看到通过ICMP隧道传输的所有流量。
3. ptunnel：支持大多数操作系统，包括Windows（需要WinPcap）。
  - 建立隧道：使用命令行工具建立ICMP隧道，类似于其他ICMP隧道工具，通过封装和解封装ICMP数据包实现数据传输。
检测防御

尽管ICMP隧道具有隐蔽性，但通过合理的检测和防御措施仍然可以有效防范其威胁。
1. 流量分析：通过监控网络流量，分析ICMP报文的频率、大小和内容，识别异常的ICMP通信行为。
2. IDS/IPS系统：部署入侵检测系统（IDS）和入侵防御系统（IPS），设置规则检测和阻止异常ICMP流量。
3. 防火墙配置：在防火墙中配置策略，限制ICMP报文的传输，或对ICMP报文进行深度检测和内容过滤。
4. 网络监控：实时监控网络流量和日志，及时发现和响应ICMP隧道的使用。
总的来说，ICMP隧道技术是一种有效的隐蔽通信手段，但通过合理的检测和防御措施，可以有效降低其带来的安全风险。网络管理员需保持警惕，持续更新防御策略，以应对不断变化的安全威胁。

Learn more:
1. 小白必看！ICMP隐蔽隧道从入门到精通 – 知乎
2. 内网转发及隐蔽隧道 | 网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)
  1. ICMP隧道通信原理与通信特征 – FreeBuf网络安全行业门户
进一步阅读与参考

对于那些对ICMP隧道技术有更深入兴趣的读者，可以参考以下资源：
1. 《小白必看！ICMP隐蔽隧道从入门到精通》：这篇文章详细介绍了ICMP隧道的基本概念、实现方法和常见工具，适合新手入门学习。
- 阅读文章
1. 《内网转发及隐蔽隧道 | 网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)-腾讯云开发者社区-腾讯云》：该文章深入探讨了ICMP隧道的网络层实现，适合有一定网络基础的读者进行学习。
- 阅读文章
1. 《ICMP隧道通信原理与通信特征 – FreeBuf网络安全行业门户》：这篇文章从专业角度分析了ICMP隧道的通信原理与特征，并提供了防御和检测方案，适合网络安全从业者参考。
- 阅读文章
通过阅读这些资源，读者可以更全面地了解ICMP隧道技术，并在实际工作中应用所学知识，提升网络安全水平。

结语

ICMP隧道技术虽然具有隐蔽性强、绕过防火墙等优点，但这也使它成为网络攻击者常用的手段之一。作为网络安全从业者，我们需要深刻理解其原理与实现方式，才能在实际工作中有效地检测和防御这种隐蔽通信技术。希望通过本文的介绍，读者能对ICMP隧道有一个全面的认识，并能在日常工作中更好地保障网络安全。

如果您有任何疑问或需要进一步讨论，欢迎在评论区留言，我们将尽力解答您的问题。

Learn more:
2024 年 5 月 18 日
提升 BiglyBT 对 IPFS 友好的处理方式：更好地处理作为 Webseeds 使用的 IPFS URL
在当今数字内容共享的时代，文件的分布和传输方式正在快速演变。BitTorrent 和 IPFS（InterPlanetary File System）是两个强大的工具，分别在文件共享和分布式存储领域占据重要地位。然而，这两个工具之间的互操作性尚有提升空间。最近，有用户在 GitHub 上提出了一项建议，旨在改进 BiglyBT 客户端对 IPFS URL 作为 Webseeds 的处理方式，从而使其更加 IPFS 友好。这一提议不仅有助于提升文件传输效率，还能进一步推动去中心化网络的发展。

现状与问题

当前，当 BiglyBT 遇到一个公共 IPFS 网关 URL 作为 Webseed 时，它会尝试连接到该网关。然而，通过公共网关下载托管在 IPFS 上的文件，特别是大文件，效率往往不高。用户 hollownights 提出，BiglyBT 应该在检测到公共 IPFS 网关 URL 作为 Webseed 时，自动将其重写为由本地主机提供的路径格式 URL，或者如果检测到使用“ipfs:”协议的原生 IPFS URL，则将其重写为子域网关 URL。

具体而言，URL 的重写方式如下：
- 公共网关 URL：https://gateway-host.tld/ipfs/{cid} → http://localhost:8080/ipfs/{cid}
- 原生 IPFS URL：ipfs://{cidv1} → http://{cidv1}.ipfs.localhost:8080
重写后，BiglyBT 将发起请求并等待 HTTP 206（或200）响应。如果收到响应，则继续连接；如果未收到响应，则放弃本地主机 URL，回退到公共网关 URL 或直接丢弃原生 URL。

提议的改进

hollownights 还提出，这种行为可以通过与 IPFS 软件进行通信（通过命令行或 API）进一步优化，但目前以保持简单为目标。此更改结合自动将下载的文件/文件夹导入本地 IPFS 节点的选项（#2823），将显著提高去中心化 Web 协议（IPFS）与去中心化“文件协议”（BitTorrent）之间的互操作性。

此外，parg 对此提出了一些疑问：谁会使用这些 IPFS Webseeds？如果这些 Webseeds 被添加到公开发布的种子文件中，那么大多数用户不会运行本地 IPFS 节点。如果这些 Webseeds 仅限于 IPFS 社区，为什么还要使用种子文件？

hollownights 解释道，这种方法不仅仅是为了增加种子，还可以帮助像互联网档案馆这样的网站更好地将 Web 协议和 BitTorrent 结合起来。他进一步指出，如果 BitTorrent 客户端能够与本地 IPFS 节点通信，将更容易在 IPFS 网络中填充文件和节点，解决（或至少减轻）Web 问题。

实际应用

虽然 parg 认为公众大规模安装和维护 IPFS 节点的可能性不大，但 hollownights 强调这项改进主要面向已经托管种子盒和 IPFS 节点的用户。这些用户通常会发布大量文件，并希望在不同网络之间分发这些文件，同时节省带宽。对于网站而言，这意味着可以使用 IPFS 分发网站上的文件，同时通过种子文件利用用户的带宽。如果用户托管 IPFS 节点，那么这种方式将更加高效；如果没有，一切将如常进行。

通过这些改进，BiglyBT 将更好地支持 IPFS，从而推动去中心化网络的发展。这不仅有助于提高文件传输效率，还能让更多用户受益于去中心化技术的优势。

https://github.com/BiglySoftware/BiglyBT/issues/2822
2024 年 5 月 18 日
巴尔的摩大桥事故：21名船员的“无期徒刑”

七周前，巴尔的摩的弗朗西斯·斯科特·基大桥在一场意外中被撞断，这一消息至今仍在许多人的记忆中挥之不去。尽管事故已经发生了这么久，桥体的清理工作却进展缓慢，仅有部分残骸得到清理。直到5月13日，卡在船头的部分桥体才终于被爆破拆除。

这起事故的起因可以追溯到“达利号”货船及其上的21名船员。时隔七周，这些船员仍然困在原地，不被允许离开。讽刺的是，这个地点距离最近的港口只有2海里（约3.7公里）。对于这些船员来说，这简直像是一场“无期徒刑”。

事故的全貌

事故的详细过程在之前的报道中已经提及，这里简要回顾一下：达利号原计划从巴尔的摩出发，经过27天的航程，将货物运至斯里兰卡。然而，这艘船在刚刚出发后不久便遭遇了事故。

5月14日，美国运输安全委员会（NTSB）发布了一份24页的初步调查报告，揭示了事故的部分内幕。《纽约时报》梳理了其中的重点，指出达利号在出事前一天至少经历了两次电力故障，导致船员在出发前大约十个小时对电力系统进行了调整。虽然调整的具体影响尚不明确，但事故的直接原因是船舶的断路器跳闸，致使其丧失了推进和转向能力。

达利号配备了四台柴油发动机驱动的发电机。NTSB的调查显示，事故当天使用的柴油并无质量问题，问题出在前一天船员在其中一台发动机上安装废气清洁系统时误关了排气风门，导致发动机熄火，发电机也随之关闭。后来船员用另一台发电机短暂恢复了供电，但燃料压力不足，导致这台发电机也跳闸。在恢复供电过程中，船员将断路器换成了备用的，这可能为后来的事故埋下了隐患。

事故过程

3月26日凌晨1点左右，达利号驶离巴尔的摩港，沿繁忙的航道前进。所有系统表面上都能正常工作，负责该船的高级驾驶员将控制权交给了一名学徒，自己则在一旁待命。然而，在接近大桥时，备用断路器突然跳闸引发停电，推进和转向系统随之失灵。高级驾驶员赶紧接过控制权，并下令船舵向左舷急转并抛锚。然而，另两个断路器也跳闸了，导致第二次停电。最终，达利号无可避免地与大桥相撞。

事故的后果

这起事故不仅导致六名建筑工人遇难，还对巴尔的摩港和弗朗西斯·斯科特·基大桥的商业运输造成了严重影响。据多家保险公司估计，此次事故造成的保险损失可能高达10至40亿美元，甚至被伦敦劳合社主席认为可能成为有史以来最大的一次海上保险损失。

现在，律师们已经摩拳擦掌准备开始法律战斗。《华尔街日报》估计，整个诉讼可能会持续十年之久。

谁来承担责任？

调查人员收集了船上的数据，并与船员进行了交谈，所有船员的酒精测试结果均为阴性。然而，巴尔的摩市政府坚持认为事故由船员责任造成，已经起诉了达利号的拥有者和管理者，指责两家公司提供了“无能的船员”。

此外，由于事故影响巨大，FBI也展开了刑事调查。由于签证限制、缺乏“上岸通行证”，再加上NTSB和FBI的联合调查，21名船员中有20名印度籍，1名斯里兰卡籍，他们都无法下船。FBI还没收了他们的所有通讯设备，使他们与外界几乎隔绝。

船员的困境

由于原定航程只需一个月，船员们的食物早已吃光。现在他们靠美国海岸警卫队提供的补给维持基本生活。船上的卫生条件也变得越来越糟糕，船员们无法获得足够的医疗用品和必要的维护工具。可以想象，这些船员每天都生活在焦虑和不确定中，既要应对长时间的拘留，又要面对可能的法律后果。

船员的心声

尽管他们的处境艰难，但这些船员依然保持了基本的职业操守。船员之一，阿尼尔·库马尔，在接受电话采访时表示：“我们每天都在等待，等待可以离开这艘船，等待可以回家。我们希望事情能尽快得到解决，这种等待的煎熬实在难以忍受。”

未来的走向

目前，达利号的船东和管理公司正积极配合调查，并为船员争取早日回国的权利。律师们也在为船员们争取法律上的公正待遇，试图证明事故是由于设备故障和操作失误所致，而非船员的个人责任。

从法律角度来看，这起事故涉及多个方面的责任认定，包括设备制造商、船东、管理公司以及船员本身。无论最终结果如何，这起事故无疑将对未来的海上运输和安全标准产生深远影响。

结语

巴尔的摩大桥事故不仅是一次海上运输的惨剧，更是对人类耐力和职业道德的考验。21名船员在如此艰难的情况下仍然坚守岗位，等待最终的调查结果，这种精神值得我们尊敬和关注。

然而，事故背后的深层次问题，如船舶设备的维护、船员的培训和管理、以及全球航运业的法律和监管机制，都需要进一步探讨和改进。希望这起事故能为未来的海上运输安全提供有益的教训，避免类似悲剧再次发生。

希望通过详细描述巴尔的摩大桥事故的全过程，不仅让读者了解事件的来龙去脉，还能引发对海上运输安全和船员权益的关注。

2024 年 5 月 17 日
外包式儿童陪伴师：高薪背后的隐忧

月入四万的“外包父母”，正掏空孩子的童年-虎嗅网 (huxiu.com)

近些年，随着生活节奏的加快和工作压力的增大，越来越多的家长选择将育儿工作外包给所谓的“儿童成长陪伴师”。这种现象尤其在北上广深等大城市中愈发普遍。然而，这种外包育儿的模式真的能解决家长们的育儿难题吗？还是说它反而在无意间掏空了孩子们的童年？

外包式儿童陪伴师：高薪背后的隐忧

“儿童成长陪伴师”这个听起来颇为高大上的职业，其实就是代替家长陪伴孩子，监督他们的学习和生活。从帮助孩子完成作业到接送孩子参加各种培训班，这些陪伴师几乎包办了家长的所有职责。根据虎嗅网的报道，这些陪伴师的月薪可以高达四万元，市场需求也异常火爆。

然而，问题也随之而来。首先，这个行业并没有被官方认定，自然缺乏相关的行业规范，服务质量参差不齐。陪伴师的资质也良莠不齐，有些只是换了个马甲的补课老师，实际提供的服务并不值那么高的费用。

家长角色的缺位

家长们选择外包陪伴，很大程度上是因为工作忙碌，无法抽出时间陪伴孩子。然而，真正的亲子关系需要的是家长的亲身参与和情感支持，而不是靠外人来完成。长期依赖外包，只会导致亲子关系的疏离。当孩子遇到青春期叛逆、厌学等问题时，家长和孩子之间缺乏沟通和了解，最终只能再次依赖外部的“专家”来解决问题。

赵菊英式教育：短期见效的陷阱

“网红”家庭教育专家赵菊英，以其极端的教育方式吸引了不少家长的关注。她通过砸烂孩子的玩具，来逼迫孩子形成所谓的“梦想”。这种“羞辱惩罚式”教育不仅无法真正解决问题，反而容易引发孩子的极端反抗和对家长的仇恨。

赵菊英的“成功”并非个例，而是反映了家长们在教育上的焦虑和急功近利的心态。他们希望通过短期的努力和金钱的投入，迅速把孩子培养成“学霸”，但这种方法忽视了孩子作为独立个体的需求和感受。

真正的亲子关系：不可外包的责任

家庭教育的核心在于情感交流和价值观的传递，这是任何外聘的专家和陪伴师都无法替代的。家长们与其花钱买陪伴，不如多花时间学习如何真正成为一个好父母。我们不是孩子一出生就自动会当爹妈了，需要不断学习和成长。

孩子的情感需求是随着年龄增长而不断上升的，家长们需要在孩子成长的过程中，给予足够的关注和支持。如果家长只是通过花钱来解决问题，最终只会导致亲子关系的疏离，甚至可能对孩子的心理健康造成长期的负面影响。

结语

短期内，外包育儿看似能够解决家长们的时间和精力问题，但却忽视了亲子关系中的核心：爱与陪伴。真正的亲子关系需要家长的亲身参与和无条件的接纳与理解。希望每一位家长都能意识到，育儿不是一场可以外包的任务，而是一段需要用心经营的旅程。

让我们一同反思，在忙碌的生活中，如何找到平衡点，给予孩子真正需要的陪伴和支持。

祝愿每一位家长和孩子都能在爱与理解中共同成长。

（原文来自微信公众号：格致君，作者：格致君的后花园，更多精彩内容请点击虎嗅网。）

2024 年 5 月 17 日
《被互联网辜负的人: 互联网的士绅化如何制造了数字不正义》

内容简介

想象你生活的城市地图上忽然多出来一块空地，规划者邀请有特定背景的人加入，包括你，一起在这块空地上建设议事大厅、居住区、运动场、电影院等设施。大家一起添砖加瓦，几个月间空地变成一个富有生活气息的社区，吸引了越来越多的人申请加入。几年后，随着涌入人群一波接一波而来，规划者提议社区建设新空间，迎合新人群、新需求。你和其他初代居民反对，认为这会破坏社区氛围，但规划者不再理会你们的想法。你发现自己陷入了两难：留下，无法参与决定社区的未来；搬走，带不走你在社区里熟识的邻里、你给社区贡献的东西。

互联网平台有很多工具来吸引、利用和剥削用户，但贡献内容、人气和数据的用户对平台如何运作没有约束力。这是真实发生在互联网近二十年里的事，互联网像遭遇士绅化的老城区，变得更加便捷、光鲜但缺乏多样性，有明确优先服务的人群，极端重视利润而轻视社群，急着把最初搭建社区但已不再有利用价值的人群边缘化甚至扫地出门。本书以美国为例，记录这个过程怎样发生，它的实质危害如何，以及网民可以如何行动。

各方赞誉

《被互联网辜负的人》巧妙地拆除了科技巨头的浪漫化概念，帮助读者理解互联网是一个日益孤立、商品化、被监视和失所的地方。这本易读易懂的书绝对是我所有课程的必读书目。

——克莱门西亚·罗德里格斯，美国天普大学媒介研究教授

《被互联网辜负的人》令人信服地证明了士绅化及其在失所、孤立和商业化方面的后果已经从城市经济领域转移到了互联网上。这本书揭示了数字世界是如何从DIY反主流文化的空间转变为企业寡头的游乐场的。

——保罗·杰尔包多，伦敦国王学院数字文化中心主任

杰西·林格尔继承了简·雅各布斯、玛格丽特·米德和丽贝卡·索尔尼特的传统，是美国令人敬畏的新批评声音。

——希瓦·维迪亚那桑，《谷歌化的反思》作者
ed2k://|file|0E01DA59E7D18DFD1A876A5FE3AB5DDA.pdf|55375063|2C0EDB65F55EF50956F5701453E9DBD6|h=M3HLY3XNYYB46G55JLNLCL2BOICUWNPH|/

ActivityPub 协议支持下的分布式联邦化社区才是最符合大部分人利益的选择。

2024 年 5 月 17 日
有关美国可能禁止TikTok的最新进展
最新进展显示，美国政府对于禁止TikTok的立场仍然坚定。以下是关于美国可能禁止TikTok的最新进展的概述：
1. 美国众议院通过了一项法案：众议院通过了一项法案，要求中国所有者字节跳动公司（ByteDance）出售TikTok，否则该应用将被禁止在美国使用[1]。该法案得到了两党的支持，因为共和党人和民主党人都担心中国的影响力。
2. 法案要求出售TikTok：该法案规定，在六个月内必须将TikTok出售给一个让美国政府满意的买家。出售的结果需保证字节跳动不再对TikTok或其向用户推荐内容的算法拥有任何控制权。如果字节跳动不能或拒绝出售TikTok，应用程序商店和网站托管公司在美国分发或更新这款应用程序将变成非法。美国司法部有权对任何与TikTok合作或提供其应用程序下载的公司进行惩罚[1]。
3. TikTok承诺挑战法律：TikTok表示将在法庭上挑战这项法律，并强调其对用户权利的捍卫。公司首席执行官周受资发布视频表示，他们有信心继续为用户的权利而战，并呼吁人们分享TikTok如何改善他们的生活[2]。
4. 法律可能面临挑战：这项法案可能会面临法律挑战，并可能遭到北京的抵制。TikTok可能会依靠第一修正案来辩护，认为强制出售可能侵犯其用户的言论自由权。预计TikTok的案件将在法庭上得到审理[2]。
5. 不确定的出售情况：目前还不清楚谁有财力收购TikTok，因为它的价格会很高。如果被迫出售，目前还不清楚字节跳动是否会卖掉全球业务还是仅卖掉美国业务[1]。
尽管美国政府对禁止TikTok持坚定立场，但是目前仍有许多不确定因素，包括法律挑战和出售情况。因此，TikTok在美国是否会消失仍然不确定。

Learn more:
目前，除了美国和印度，还有一些国家也在考虑或已经采取了禁止TikTok的行动。以下是一些国家的情况：
1. 澳大利亚：澳大利亚政府曾表示，他们在考虑禁止TikTok，担心该应用可能会对国家安全构成威胁[2]。
2. 日本：日本政府也在审查TikTok的安全性，并考虑采取相应的措施。他们担心该应用可能会泄露用户的个人信息[2]。
3. 新加坡：新加坡政府曾表示，他们正在审查TikTok的安全性，并将根据审查结果决定是否采取禁止措施[2]。
4. 印度尼西亚：印度尼西亚政府曾在2020年暂时禁止TikTok，理由是担心该应用可能会传播淫秽和不良内容[2]。
5. 巴基斯坦：巴基斯坦政府曾在2020年禁止TikTok，理由是担心该应用可能会传播淫秽和不道德的内容[2]。
需要注意的是，以上国家的禁止行动可能是临时性的，具体情况可能会随着时间的推移而发生变化。此外，由于TikTok在全球范围内拥有大量用户，禁止措施可能会受到用户和利益相关方的反对和抵制。

Learn more:
除了安全性问题，还有其他原因导致国家考虑禁止TikTok。以下是一些可能的原因：
1. 数据隐私和安全：许多国家担心TikTok可能会收集和共享用户的个人数据，这可能对用户的隐私和网络安全构成威胁。这些国家担心用户数据可能被滥用或用于不当目的。
2. 内容审查和传播控制：一些国家担心TikTok可能被用于传播不良或有害内容，包括政治宣传、虚假信息和仇恨言论。这些国家可能认为TikTok无法有效监管和控制其平台上的内容，因此考虑禁止该应用程序。
3. 国家安全和外部干涉：一些国家担心TikTok可能被用于外部势力的干涉和操纵，以影响国内政治和社会稳定。这些国家可能认为TikTok的所有权和管理结构使其容易受到外部势力的影响，因此采取禁止措施以保护国家安全。
4. 经济竞争和垄断担忧：一些国家担心TikTok的垄断地位和市场影响力可能对本国的科技和媒体产业造成不利影响。这些国家可能认为TikTok的垄断地位可能导致市场不公平竞争和经济不平衡，因此考虑限制或禁止该应用程序。
需要注意的是，不同国家对于禁止TikTok的原因可能有所不同，这些原因可能是单独的或综合的。此外，一些国家可能会采取限制措施而不是完全禁止TikTok。

Learn more:
除了禁止，一些国家采取了其他限制措施来应对TikTok的问题。以下是一些国家采取的限制措施：
- 数据安全和隐私保护措施：
- 美国：美国参议院通过了《TikTok剥离法案》，要求中国母公司字节跳动将TikTok在美业务出售给美国公司，否则将面临在美国被禁的命运[1]。
- 印度：印度在2020年禁止了TikTok等59款中国应用程序，并在2020年以保护民众数据安全为由发出永久禁令[1]。
- 道德和心理健康问题：
- 欧盟：欧盟当局认为TikTok容易使人成瘾，尤其是年轻用户，因此暂停了应用程序TikTok Lite的打赏功能，该功能用实体商品的优惠券来奖励观看视频的用户[1]。
- 阿富汗：塔利班重新夺取政权约一年后，于2022年在阿富汗禁用了TikTok，其主要考量是道德因素[1]。
- 伊朗：伊朗的毛拉政权封锁了几乎所有主要社交媒体平台，包括TikTok[1]。
- 吉尔吉斯斯坦、乌兹别克斯坦、尼泊尔和索马里：这些国家也出于类似原因禁止使用TikTok[1]。
- 政府机构限制使用TikTok：
- 欧盟：欧盟委员会、欧洲理事会和欧洲议会禁止员工在工作设备上使用TikTok，担心中国政府可能获得设备上的数据[1]。
- 美国和加拿大：联邦政府雇员被禁止在工作设备上安装TikTok，多数州也出台了类似规定[1]。
- 澳大利亚、新西兰、英国、荷兰、挪威、丹麦和拉脱维亚等国家政府指示其员工从工作手机中删除TikTok[1]。
- 德国考虑监管：
- 德国：德国联邦政府并无原则性的规定禁止在工作手机上使用TikTok，但政府设备上既未预装该App，也无法下载。德国执政党正在考虑对TikTok进行监管，或禁止在联邦公务员的手机上使用TikTok[1]。
这些限制措施的目的是保护数据安全、隐私、道德和心理健康等方面的考虑。

Learn more:
2024 年 5 月 17 日
马斯克列出征服火星时间表：5年内无人登陆，10年内载人登陆，20年内建造城市，30年内会有文明

Reblog via 抽屉新热榜

马斯克列出征服火星时间表：5年内无人登陆，10年内载人登陆，20年内建造城市，30年内会有文明
https://dig.chouti.com/link/42431666

2024 年 5 月 17 日
Libgen中文新书速递:《機器學習最強入門：基礎數學／機率／統計邁向AI真實數據專題實作－王者歸來

《機器學習最強入門：基礎數學／機率／統計邁向AI真實數據專題實作－王者歸來》
作者：洪錦魁/洪锦魁
深智數位股份有限公司 2023
下載：https://libgen.is/book/index.php?md5=DE4C26EA99FE42EA1A2C5FF2B6824D9C

2024 年 5 月 17 日
深入浅出：WordPress插件开发基础
欢迎来到WordPress插件开发的世界！WordPress插件不仅能为您的网站添加各种功能，还能让您在广大的WordPress社区中分享您的创意和技术成果。本文将带您逐步了解WordPress插件的开发基础，从头文件要求到钩子的使用，帮助您快速入门并掌握插件开发的核心要素。

WordPress插件入门

一个WordPress插件其实就是一个带有特定头注释的PHP文件。头注释包含了插件的元数据，例如插件名称和作者等。我们强烈建议为插件创建一个专门的目录，以保持文件整齐有序，便于后续维护。

创建一个简单的插件
1. 切换到WordPress站点的插件目录
```
   cd wp-content/plugins
```
1. 创建一个新目录
```
   mkdir plugin-name
   cd plugin-name
```
1. 创建一个PHP文件
```
   vi plugin-name.php
```
注意：你可以使用任意你喜欢的文本编辑器来创建和编辑PHP文件。
1. 添加插件头注释
```
   <?php
   /*
   Plugin Name: YOUR PLUGIN NAME
   */
```
保存文件后，您可以在WordPress后台的插件列表中看到您创建的插件。

钩子：Action和Filter

WordPress钩子是插件开发的核心。通过钩子，您可以在特定的时机介入WordPress的代码执行流程，而无需编辑任何核心文件。
- Action钩子：允许您添加或修改WordPress的功能。
- Filter钩子：允许您修改用户提交的或展示给用户的内容。
使用基础钩子

在创建插件时，需要使用以下三个基础钩子：
- register_activation_hook()
插件激活时运行，用于设置插件的初始状态，如添加默认设置等。
```
  register_activation_hook(__FILE__, 'my_plugin_activate');
  function my_plugin_activate() {
      // 初始化代码
  }
```
- register_deactivation_hook()
插件禁用时运行，用于清理插件数据。
```
  register_deactivation_hook(__FILE__, 'my_plugin_deactivate');
  function my_plugin_deactivate() {
      // 清理代码
  }
```
- register_uninstall_hook()
插件卸载时运行，用于彻底删除插件数据。
```
  register_uninstall_hook(__FILE__, 'my_plugin_uninstall');
  function my_plugin_uninstall() {
      // 卸载代码
  }
```
添加自定义钩子

您可以使用do_action()函数添加自定义钩子，其他开发者可以通过这些钩子扩展或修改您的插件。
```
do_action('my_custom_hook');
```
移除挂载到钩子上的函数

使用remove_action()可以移除挂载到某个钩子上的函数。
```
remove_action('my_custom_hook', 'my_function');
```
WordPress API的使用

WordPress提供了丰富的API，大大简化了插件开发的过程。例如：
- 选项API：用于将数据保存到数据库中。
- HTTP API：用于发送HTTP请求。
插件的发布

在分享插件之前，请选择适当的许可证。推荐使用GNU通用公共许可证（GPLv2+），以确保与WordPress核心许可证兼容。

插件头文件要求

头文件至少需要包含插件名称，并可选择性地包含以下部分：
- 插件名称：（必需）插件的名称。
- 插件URI：插件主页的URL。
- 描述：简短描述，不超过140个字符。
- 版本：例如1.0或1.0.3。
- 作者：插件作者的名字。
- 作者URI：作者的个人网址。
结语

通过本文的介绍，您应该已经对WordPress插件开发有了基本的了解。插件开发不仅能提升您网站的功能性，还能为广大WordPress用户提供便利。快来动手开发属于您的第一个插件吧！

如需更详细的教程和示例，欢迎访问WordPress插件开发教程手册。
2024 年 5 月 17 日

WordPress 插件开发

学习 WordPress 插件开发是一个非常有益且实用的技能，可以帮助你扩展和定制 WordPress 网站的功能。以下是一个详细的指南，帮助你从零开始学习 WordPress 插件开发。

1. 基础知识准备

在开始插件开发之前，你需要具备一些基本知识：

HTML/CSS：了解基本的网页结构和样式。
JavaScript：掌握基本的编程逻辑和DOM操作。
PHP：WordPress 插件主要使用 PHP 编写，需要了解 PHP 的基本语法和功能。
MySQL：了解基本的数据库操作，因为 WordPress 使用 MySQL 作为数据库。

2. 设置开发环境

为插件开发设置一个合适的开发环境：

本地服务器：使用工具如 XAMPP、MAMP 或 Local by Flywheel 来设置一个本地开发服务器。
文本编辑器或 IDE：选择一个代码编辑器，如 Visual Studio Code、Sublime Text 或 PHPStorm。
WordPress 安装：在本地服务器上安装最新版本的 WordPress。

3. 了解 WordPress 插件结构

一个简单的 WordPress 插件通常包含以下文件和文件夹：

插件主文件：通常命名为plugin-name.php，包含插件的主要功能代码。
README 文件：包含插件的基本信息和说明。
其他文件：如 CSS、JavaScript、图片等资源文件。

4. 创建第一个插件

下面是创建一个简单插件的步骤：

4.1 创建插件目录和主文件

在 wp-content/plugins 目录下创建一个新文件夹，例如 my-first-plugin。在该文件夹中创建一个 PHP 文件，例如 my-first-plugin.php。

4.2 插件头部信息

在 my-first-plugin.php 文件中添加插件的头部信息：

<?php
/*
Plugin Name: My First Plugin
Plugin URI: https://example.com/my-first-plugin
Description: This is my first WordPress plugin.
Version: 1.0
Author: Your Name
Author URI: https://example.com
License: GPL2
*/

4.3 插件的基本功能

添加一些基本功能，如在 WordPress 后台显示一个简单的信息：

function my_first_plugin_admin_notice() {
    echo '<div class="notice notice-success is-dismissible">
        <p>My First Plugin is activated!</p>
    </div>';
}
add_action('admin_notices', 'my_first_plugin_admin_notice');

5. 学习 WordPress 钩子（Hooks）

WordPress 插件开发的核心是钩子（Hooks），它包括动作钩子（Action Hooks）和过滤器钩子（Filter Hooks）。通过钩子，你可以在特定的时间点执行代码：

动作钩子（Actions）：允许你在 WordPress 的执行过程中插入自定义代码。
过滤器钩子（Filters）：允许你修改 WordPress 数据或输出。

例子：

// 动作钩子
add_action('wp_footer', 'my_first_plugin_footer_message');
function my_first_plugin_footer_message() {
    echo '<p>Thank you for visiting my website!</p>';
}

// 过滤器钩子
add_filter('the_content', 'my_first_plugin_content_filter');
function my_first_plugin_content_filter(content . '<p>Custom content added by My First Plugin.</p>';
}

6. 学习 WordPress 插件 API

WordPress 提供了丰富的 API 供插件开发者使用：

Settings API：管理插件设置页面。
Shortcode API：创建短代码。
Widgets API：创建自定义小工具。
REST API：创建自定义 REST 端点。

7. 学习插件国际化和本地化

为了使你的插件可以被翻译成不同的语言，了解如何国际化和本地化插件是很重要的：

// 加载插件文本域
function my_first_plugin_load_textdomain() {
    load_plugin_textdomain( 'my-first-plugin', false, dirname( plugin_basename( __FILE__ ) ) . '/languages' ); 
}
add_action('plugins_loaded', 'my_first_plugin_load_textdomain');

8. 探索插件开发资源

官方文档：阅读 WordPress 插件开发手册。
教程和书籍：查找相关的在线教程和书籍，如《Professional WordPress Plugin Development》。

9. 配置插件设置页面

为插件添加一个设置页面是常见的需求。以下是如何使用 Settings API 创建一个简单的插件设置页面的步骤：

9.1 添加菜单项

首先，需要在 WordPress 管理菜单中添加一个新的菜单项：

function my_first_plugin_menu() {
    add_menu_page(
        'My First Plugin Settings', // 页面标题
        'My First Plugin', // 菜单标题
        'manage_options', // 用户权限
        'my-first-plugin', // 菜单别名
        'my_first_plugin_settings_page', // 回调函数
        'dashicons-admin-generic' // 图标
    );
}
add_action('admin_menu', 'my_first_plugin_menu');

9.2 创建设置页面

在回调函数 my_first_plugin_settings_page 中定义设置页面的内容：

function my_first_plugin_settings_page() {
    ?>
    <div class="wrap">
        <h1>My First Plugin Settings</h1>
        <form method="post" action="options.php">
            <?php
            settings_fields('my_first_plugin_options_group');
            do_settings_sections('my-first-plugin');
            submit_button();
            ?>
        </form>
    </div>
    <?php
}

9.3 注册设置

使用 Settings API 注册插件设置：

function my_first_plugin_settings_init() {
    register_setting('my_first_plugin_options_group', 'my_first_plugin_option_name');

    add_settings_section(
        'my_first_plugin_settings_section', // ID
        'My First Plugin Settings', // 标题
        'my_first_plugin_settings_section_callback', // 回调函数
        'my-first-plugin' // 页面
    );

    add_settings_field(
        'my_first_plugin_field', // ID
        'Sample Field', // 标签
        'my_first_plugin_field_callback', // 回调函数
        'my-first-plugin', // 页面
        'my_first_plugin_settings_section' // 部分
    );
}
add_action('admin_init', 'my_first_plugin_settings_init');

function my_first_plugin_settings_section_callback() {
    echo 'Enter your settings below:';
}

function my_first_plugin_field_callback() {
    option) . '" />';
}

10. 创建短代码

短代码允许用户在文章和页面中插入自定义内容。以下是如何创建一个简单的短代码：

function my_first_plugin_shortcode(atts = shortcode_atts(
        array(
            'text' => 'Hello, World!',
        ),
        atts['text']) . '</div>';
}
add_shortcode('my_shortcode', 'my_first_plugin_shortcode');

11. 创建小工具

小工具可以在 WordPress 侧边栏等小工具区域显示内容。以下是如何创建一个简单的小工具：

“`php
class My_First_Plugin_Widget extends WP_Widget {
function construct() { parent::_construct( ‘my_first_plugin_widget’, // ID (‘My First Plugin Widget’, ‘text_domain’), // 名称
array(‘description’ => _(‘A simple widget’, ‘text_domain’)) // 描述
);
}

public function widget(instance) {
    echo args['before_title'] . apply_filters('widget_title', args['after_title'];
    echo '<p>' . esc_html(args['after_widget'];
}

public function form(title = !empty(instance['title'] : __('New title', 'text_domain');
    instance['text']) ? this->get_field_id('title')); ?>"><?php _e('Title:'); ?></label>
        <input class="widefat" id="<?php echo esc_attr(this->get_field_name('title')); ?>" type="text" value="<?php echo esc_attr(this->get_field_id('text')); ?>"><?php _e('Text:'); ?></label>

11. 创建小工具（续）

11.1 完成小工具的表单和更新方法

在上面的代码基础上，继续完成小工具的表单和更新方法：

        <textarea class="widefat" id="<?php echo esc_attr(this->get_field_name('text')); ?>"><?php echo esc_attr(new_instance, instance = array();
        new_instance['title'])) ? strip_tags(instance['text'] = (!empty(new_instance['text']) : '';

        return request) {
    return new WP_REST_Response(array('message' => 'Hello, World!'), 200);
}

13. 安全性和最佳实践

确保你的插件是安全的，并遵循最佳实践：

13.1 数据验证和清理

在处理用户输入时，确保对数据进行验证和清理：

// 验证和清理输入数据
function my_first_plugin_validate_data(data);
}

13.2 使用非ces (Nonces) 进行安全验证

在处理表单提交时，使用非ces 来防止跨站请求伪造 (CSRF) 攻击：

// 创建一个 nonce
function my_first_plugin_create_nonce() {
    return wp_create_nonce('my_first_plugin_nonce_action');
}

// 验证 nonce
function my_first_plugin_verify_nonce(nonce, 'my_first_plugin_nonce_action');
}

13.3 避免直接文件访问

在插件的每个文件顶部添加以下代码，防止直接访问：

if (!defined('ABSPATH')) {
    exit; // 退出如果直接访问
}

14. 插件国际化和本地化（续）

确保你的插件可以被翻译成不同的语言：

14.1 创建语言文件

在插件目录下创建一个 languages 文件夹，并使用 .pot 文件保存插件的翻译字符串。例如，创建一个 my-first-plugin.pot 文件。

14.2 加载语言文件

在插件初始化时加载语言文件：

function my_first_plugin_load_textdomain() {
    load_plugin_textdomain('my-first-plugin', false, dirname(plugin_basename(__FILE__)) . '/languages');
}
add_action('plugins_loaded', 'my_first_plugin_load_textdomain');

15. 发布和分发插件

当你完成插件开发后，可以考虑将插件发布到 WordPress 插件目录中。

15.1 准备插件

确保你的插件包含以下文件：

主插件文件：包含插件头部信息和主要功能代码。
README 文件：详细描述插件的功能、安装方法和使用说明。
语言文件：包含 .pot 文件和翻译文件。
其他资源文件：如 CSS、JavaScript、图片等资源文件。

15.2 创建 README 文件

使用 Markdown 编写 README 文件，并确保它包含以下部分：

Plugin Name: 插件名称
Description: 插件描述
Installation: 安装说明
Frequently Asked Questions: 常见问题解答
Changelog: 更新日志

15.3 提交插件

访问 WordPress 插件提交页面并按照指南提交你的插件。一旦审核通过，你的插件将出现在 WordPress 插件目录中。

16. 进一步学习资源

要深入学习 WordPress 插件开发，以下资源非常有用：

16.1 官方文档

WordPress Plugin Handbook: 官方插件开发手册，包含详细的开发指南和示例代码。
WordPress Code Reference: 提供了 WordPress 核心函数、类、钩子的详细文档。

16.2 在线课程和教程

Udemy: 提供了许多关于 WordPress 插件开发的在线课程。
Lynda/LinkedIn Learning: 提供了高质量的 WordPress 开发视频教程。

16.3 开发者社区

WordPress Stack Exchange: 专门针对 WordPress 开发问题的问答社区。
WordPress.org 支持论坛: 官方支持论坛，可以在这里提问和回答问题。

16.4 博客和文章

Tuts+: 提供了大量关于 WordPress 开发的文章和教程。
Smashing Magazine: 定期发布关于 WordPress 的开发技巧和最佳实践的文章。

17. 高级插件开发技巧

17.1 面向对象编程 (OOP)

使用面向对象编程风格可以使你的插件代码更具可维护性和可扩展性。以下是一个简单的 OOP 插件示例：

class My_First_Plugin {
    public function __construct() {
        add_action('init', array(args = array(
            'public' => true,
            'label'  => 'Custom Post',
        );
        register_post_type('custom_post', my_first_plugin = new My_First_Plugin();

17.2 使用命名空间

使用命名空间可以避免类名和函数名冲突：

namespace MyFirstPlugin;

class Main {
    public function __construct() {
        add_action('init', array(args = array(
            'public' => true,
            'label'  => 'Custom Post',
        );
        register_post_type('custom_post', main = new Main();

17.3 自动加载

使用自动加载器可以简化类文件的加载：

spl_autoload_register(function (prefix = 'MyFirstPlugin\\';
    len = strlen(prefix, len) !== 0) {
        return;
    }

    class, file = relative_class) . '.php';

    if (file_exists(file;
    }
});

17.4 单例模式

使用单例模式确保插件的主类只实例化一次：

class My_First_Plugin {
    private static this, 'init'));
    }

    public static function get_instance() {
        if (self::instance = new self();
        }
        return self::cache_key = 'my_first_plugin_cached_data';
    cache_key);

    if (data = '...';
        wp_cache_set(data, '', 3600);
    }

    return wpdb;
    wpdb->prefix . 'my_first_plugin_table';

    wpdb->get_charset_collate();

    table_name (
        id mediumint(9) NOT NULL AUTO_INCREMENT,
        name tinytext NOT NULL,
        email text NOT NULL,
        date datetime DEFAULT '0000-00-00 00:00:00' NOT NULL,
        PRIMARY KEY  (id)
    ) sql);
}

register_activation_hook(__FILE__, 'my_first_plugin_create_table');

19.2 插入数据

function my_first_plugin_insert_data(email) {
    global table_name = wpdb->insert(
        name,
            'email' => wpdb;
    wpdb->prefix . 'my_first_plugin_table';

    wpdb->get_results("SELECT * FROM results;
}

20. AJAX 操作

使用 AJAX 可以在不刷新页面的情况下与服务器进行交互。

20.1 在前端调用 AJAX

jQuery(document).ready(function(('#my-button').click(function() {
        data = response = array('message' => 'Success', 'data' => response);
}

add_action('wp_ajax_my_first_plugin_action', 'my_first_plugin_ajax_handler');
add_action('wp_ajax_nopriv_my_first_plugin_action', 'my_first_plugin_ajax_handler');

21. 使用自定义钩子和过滤器

创建自定义钩子和过滤器，使其他开发者可以扩展你的插件功能。

21.1 创建自定义动作钩子

function my_first_plugin_do_custom_action() {
    do_action('my_first_plugin_custom_action');
}

function my_first_plugin_add_custom_action() {
    echo 'Custom Action Triggered!';
}

add_action('my_first_plugin_custom_action', 'my_first_plugin_add_custom_action');

21.2 创建自定义过滤器

function my_first_plugin_apply_custom_filter(content);
}

function my_first_plugin_modify_content(content . ' - Modified by custom filter';
}

add_filter('my_first_plugin_custom_filter', 'my_first_plugin_modify_content');

22. 使用第三方库

有时，你可能需要在插件中使用第三方库。你可以通过 Composer 来管理依赖关系。

22.1 安装 Composer

确保在你的开发环境中安装了 Composer。

22.2 创建 `composer.json` 文件

在插件根目录下创建一个 composer.json 文件：

{
    "name": "yourname/yourplugin",
    "description": "A description of your plugin",
    "require": {
        "some/package": "^1.0"
    }
}

22.3 安装依赖

在终端中运行以下命令：

composer install

22.4 在插件中加载 Composer 自动加载器

在插件的主文件中添加以下代码：

require_once __DIR__ . '/vendor/autoload.php';

23. 测试和调试（续）

23.1 使用 WP_DEBUG

在 wp-config.php 文件中启用调试模式：

define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);
@ini_set('display_errors', 0);

此设置会将错误记录到 wp-content/debug.log 文件中，而不是直接显示在页面上。

23.2 使用 PHPStorm 和 Xdebug 进行调试

安装 Xdebug: 根据你的 PHP 版本和操作系统安装 Xdebug。
配置 php.ini: 添加以下行到你的 php.ini 文件： zend_extension="path/to/xdebug.so" xdebug.remote_enable=1 xdebug.remote_host=127.0.0.1 xdebug.remote_port=9000 xdebug.remote_handler=dbgp
配置 PHPStorm: 在 PHPStorm 中配置 Xdebug 远程调试。在 “Preferences” -> “Languages & Frameworks” -> “PHP” -> “Debug” 中设置 Xdebug 端口为 9000。
设置断点: 在 PHPStorm 中打开你的插件代码并设置断点。
启动调试: 启动 PHPStorm 的调试监听，然后在浏览器中访问你的插件页面。代码将在断点处暂停，你可以逐步调试。

24. 国际化与本地化

24.1 准备插件以进行翻译

使用 __() 和 _e() 函数准备你的插件代码：

echo __('Hello, World!', 'my-first-plugin');
_e('Hello, World!', 'my-first-plugin');

24.2 创建 POT 文件

使用 xgettext 或 Poedit 等工具生成 POT 文件：

xgettext --from-code=UTF-8 -k__ -k_e -o languages/my-first-plugin.pot cleaned_data = sanitize_text_field(wpdb->prepare() 函数来防止 SQL 注入：



global sql = wpdb->prefix}my_table WHERE id = %d", results = sql);



26. 创建设置页面



26.1 添加设置页面



function my_first_plugin_add_admin_menu() {
    add_options_page(
        __('My First Plugin Settings', 'my-first-plugin'),
        __('My First Plugin', 'my-first-plugin'),
        'manage_options',
        'my-first-plugin',
        'my_first_plugin_options_page'
    );
}
add_action('admin_menu', 'my_first_plugin_add_admin_menu');



26.2 创建设置页面内容



function my_first_plugin_options_page() {
    ?>
    <div class="wrap">
        <h1><?php _e('My First Plugin Settings', 'my-first-plugin'); ?></h1>
        <form action="options.php" method="post">
            <?php
            settings_fields('my_first_plugin_options');
            do_settings_sections('my-first-plugin');
            submit_button();
            ?>
        </form>
    </div>
    <?php
}



26.3 注册设置



```php
function my_first_plugin_settings_init() {
register_setting('my_first_plugin_options', 'my_first_plugin_options');



add_settings_section(
    'my_first_plugin_section',
    __('General Settings', 'my-first-plugin'),
    'my_first_plugin_section_callback',
    'my-first-plugin'
);

add_settings_field(
    'my_first_plugin_field_text',
    __('Sample Text Field', 'my-first-plugin'),
    'my_first_plugin_field_text_callback',
    '







26. 创建设置页面（续）



26.3 注册设置（续）



    add_settings_field(
        'my_first_plugin_field_text',
        __('Sample Text Field', 'my-first-plugin'),
        'my_first_plugin_field_text_callback',
        'my-first-plugin',
        'my_first_plugin_section'
    );
}

add_action('admin_init', 'my_first_plugin_settings_init');

function my_first_plugin_section_callback() {
    echo __('Enter your settings below:', 'my-first-plugin');
}

function my_first_plugin_field_text_callback() {
    options['my_first_plugin_field_text']) ? esc_attr(args, args['before_widget'];
        if (!empty(args['before_title'] . apply_filters('widget_title', args['after_title'];
        }
        echo __('Hello, World!', 'my-first-plugin');
        echo instance) {
        instance['title']) ? this->get_field_id('title'); ?>"><?php _e('Title:', 'my-first-plugin'); ?></label>
            <input class="widefat" id="<?php echo this->get_field_name('title'); ?>" type="text" value="<?php echo esc_attr(new_instance, instance = array();
        new_instance['title'])) ? strip_tags(instance;
    }
}



27.2 注册小工具



function my_first_plugin_register_widgets() {
    register_widget('My_First_Plugin_Widget');
}

add_action('widgets_init', 'my_first_plugin_register_widgets');



28. 使用 REST API



28.1 创建自定义 REST API 路由



function my_first_plugin_register_rest_route() {
    register_rest_route('my-first-plugin/v1', '/data/', array(
        'methods' => 'GET',
        'callback' => 'my_first_plugin_get_data',
    ));
}

add_action('rest_api_init', 'my_first_plugin_register_rest_route');

function my_first_plugin_get_data(data = array('message' => 'Hello, World!');
    return new WP_REST_Response(atts = [], atts = array_change_key_case((array)a = shortcode_atts([
        'title' => 'Default Title',
    ], a['title']) . '</div>';
}

add_shortcode('my_first_plugin', 'my_first_plugin_shortcode');



29.2 使用短代码



在文章或页面中使用短代码：



[my_first_plugin title="Hello, World!"]







30. 单元测试（续）



30.1 设置 PHPUnit（续）



在 tests 目录中创建 bootstrap.php 文件以初始化测试环境：



<?php
_tests_dir) {
    _tests_dir . '/includes/functions.php';

function _manually_load_plugin() {
    require dirname(__DIR__) . '/my-first-plugin.php';
}

tests_add_filter('muplugins_loaded', '_manually_load_plugin');

require this->assertTrue(true);
    }
}



30.2 运行测试



使用以下命令运行 PHPUnit 测试：



phpunit --bootstrap tests/bootstrap.php tests/test-sample.php



31. 使用自定义表单



31.1 创建自定义表单



在插件中使用 HTML 和 PHP 创建自定义表单：



function my_first_plugin_form() {
    ?>
    <form action="<?php echo esc_url(admin_url('admin-post.php')); ?>" method="post">
        <input type="hidden" name="action" value="my_first_plugin_form_action">
        <?php wp_nonce_field('my_first_plugin_form_nonce', 'my_first_plugin_nonce'); ?>
        <label for="name"><?php _e('Name:', 'my-first-plugin'); ?></label>
        <input type="text" name="name" id="name" required>
        <input type="submit" value="<?php _e('Submit', 'my-first-plugin'); ?>">
    </form>
    <?php
}



31.2 处理表单提交



在插件中处理表单提交：



function my_first_plugin_form_handler() {
    if (!isset(_POST['my_first_plugin_nonce'], 'my_first_plugin_form_nonce')) {
        wp_die(__('Nonce verification failed', 'my-first-plugin'));
    }

    if (!current_user_can('manage_options')) {
        wp_die(__('You do not have sufficient permissions to access this page.', 'my-first-plugin'));
    }

    _POST['name']);
    // 处理表单数据，例如保存到数据库
    wp_redirect(admin_url('options-general.php?page=my-first-plugin&message=success'));
    exit;
}

add_action('admin_post_my_first_plugin_form_action', 'my_first_plugin_form_handler');



32. 使用 AJAX



32.1 注册 AJAX 动作



function my_first_plugin_ajax_handler() {
    check_ajax_referer('my_first_plugin_nonce', 'security');

    if (!current_user_can('manage_options')) {
        wp_send_json_error(__('You do not have sufficient permissions to access this page.', 'my-first-plugin'));
    }

    response);
}

add_action('wp_ajax_my_first_plugin_action', 'my_first_plugin_ajax_handler');



32.2 在前端使用 AJAX



在前端脚本中使用 AJAX 进行请求：



jQuery(document).ready(function(('#my-button').on('click', function() {
        wpdb;
    wpdb->prefix . 'my_first_plugin_table';

    wpdb->get_charset_collate();

    table_name (
        id mediumint(9) NOT NULL AUTO_INCREMENT,
        name tinytext NOT NULL,
        value text NOT NULL,
        PRIMARY KEY  (id)
    ) sql);
}

register_activation_hook(__FILE__, 'my_first_plugin_create_db_table');



33.2 插入数据



在插件中插入数据到自定义表：



function my_first_plugin_insert_data(value) {
    global table_name = wpdb->insert(
        name,
            'value' => wpdb;
    wpdb->prefix . 'my_first_plugin_table';

    wpdb->get_results("SELECT * FROM results;
}



34. 本地化



34.1 加载插件的翻译文件



在插件中加载翻译文件：



function my_first_plugin_load_textdomain() {
    load_plugin_textdomain('my-first-plugin', false, dirname(plugin_basename(__FILE__)) . '/languages');
}

add_action('plugins_loaded', 'my_first_plugin_load_textdomain');



34.2 创建翻译文件



使用 Poedit 或其他翻译工具创建 .po 和 .mo 文件，并将它们放在 languages 目录中。例如，创建 my-first-plugin-zh_CN.po 和 my-first-plugin-zh_CN.mo 文件。



35. 安全性



35.1 数据验证和清理



在处理用户输入时，确保数据的验证和清理：



_POST['name']);



35.2 非可信数据的输出



在输出非可信数据时，使用适当的 WordPress 函数进行转义：



echo esc_html(_POST['my_first_plugin_nonce']) || !wp_verify_nonce(data = wp_cache_get('my_first_plugin_data');

if (data = my_first_plugin_get_data();
    wp_cache_set('my_first_plugin_data', url) {
    if (strpos(url;
    } else if (is_admin()) {
        return str_replace('#async', '', url) . "' async='async";
    }
}

add_filter('clean_url', 'my_first_plugin_enqueue_async_script', 11, 1);



37. 与第三方服务集成



37.1 使用 API 密钥



存储和使用 API 密钥：



response = wp_remote_get("https://api.example.com/data?api_key={response)) {
    response->get_error_message();
    echo "Something went wrong: body = wp_remote_retrieve_body(data = json_decode(arg1, arg1, value = apply_filters('my_first_plugin_custom_filter', value) {
    // 修改并返回数据
    return request) {
    data, 200);
}







41. Gutenberg 块



41.1 创建自定义 Gutenberg 块



继续创建和注册自定义 Gutenberg 块。




创建编辑器脚本（续）： 在 src 目录中继续创建 index.js 文件的内容： import { registerBlockType } from '@wordpress/blocks'; import { useBlockProps, RichText } from '@wordpress/block-editor'; registerBlockType('my-first-plugin/my-custom-block', { edit({ attributes, setAttributes }) { const blockProps = useBlockProps(); return ( <div {...blockProps}> <RichText tagName="p" onChange={(content) => setAttributes({ content })} value={attributes.content} placeholder="Write your content here..." /> </div> ); }, save({ attributes }) { const blockProps = useBlockProps.save(); return ( <div {...blockProps}> <RichText.Content tagName="p" value={attributes.content} /> </div> ); }, attributes: { content: { type: 'string', source: 'html', selector: 'p' } } });



编译脚本： 更新 package.json 以添加构建脚本： { "scripts": { "build": "wp-scripts build", "start": "wp-scripts start" }, "devDependencies": { "@wordpress/scripts": "^23.0.0" } } 然后运行构建命令： npm run build



加载脚本： 在插件的 PHP 文件中加载编译后的 JavaScript 文件： function my_first_plugin_register_block() { wp_register_script( 'my-first-plugin-editor-script', plugins_url('build/index.js', __FILE__), array('wp-blocks', 'wp-element', 'wp-editor') );register_block_type('my-first-plugin/my-custom-block', array( 'editor_script' =&gt; 'my-first-plugin-editor-script', ));} add_action('init', 'my_first_plugin_register_block');




42. 使用 WP-CLI



WP-CLI 是一个强大的命令行工具，可以用于管理 WordPress 安装，包括插件的开发和调试。



42.1 创建自定义 WP-CLI 命令




注册自定义命令： 在插件的主文件中注册一个自定义 WP-CLI 命令： if (defined('WP_CLI') && WP_CLI) { WP_CLI::add_command('my_first_plugin', 'My_First_Plugin_CLI_Command'); } class My_First_Plugin_CLI_Command { public function hello(assoc_args) { WP_CLI::success('Hello, World!'); } }



运行命令： 在终端中运行自定义 WP-CLI 命令： wp my_first_plugin hello




43. 单元测试



43.1 使用 PHPUnit 进行单元测试




安装 PHPUnit： 使用 Composer 安装 PHPUnit： composer require --dev phpunit/phpunit



设置测试环境： 创建 phpunit.xml.dist 文件以配置测试环境： <phpunit bootstrap="tests/bootstrap.php"> <testsuites> <testsuite name="My First Plugin Test Suite"> <directory>tests</directory> </testsuite> </testsuites> </phpunit>



编写测试： 在 tests 目录中创建测试文件，例如 test-sample.php： class SampleTest extends WP_UnitTestCase { public function test_sample() { email = sanitize_email(url = esc_url(_POST['_wpnonce'], 'my_action')) { die('Security check failed'); }




45.2 SQL 注入防护



使用 prepare 方法来防止 SQL 注入：



global wpdb->query(wpdb->posts WHERE post_title = %s", message = __('Hello, World!', 'my-first-plugin'); _e('Welcome to my plugin!', 'my-first-plugin');

生成 POT 文件：使用 wp i18n 工具来生成 POT 文件： npx wp i18n make-pot . languages/my-first-plugin.pot

47. 优化性能

47.1 缓存

使用 Transients API：缓存临时数据，以减少数据库查询： data === false) { data, 12 * HOUR_IN_SECONDS); }
使用对象缓存：使用 wp_cache_set 和 wp_cache_get 进行对象缓存： wp_cache_set('my_cache_key', cached_data = wp_cache_get('my_cache_key');

47.2 优化数据库查询

确保数据库查询高效，避免不必要的查询和数据加载：

global results = wpdb->prepare("SELECT * FROM instance = null;public static function get_instance() { if (null === self::instance = new self(); } return self::this-&gt;setup_hooks(); } private function setup_hooks() { add_action('init', array(this, 'add_admin_menu')); }public function add_admin_menu() { add_menu_page('My First Plugin', 'My First Plugin', 'manage_options', 'my-first-plugin', array(instances = array();public function set(instance) { name] = name) { return name]; }} container->set('admin', new MyFirstPlugin_Admin()); container->get('admin');




49. REST API



49.1 创建自定义 REST API 端点



WordPress 提供了一个内置的 REST API，可以用来创建自定义端点。




注册自定义端点： 使用 register_rest_route 函数注册一个自定义 REST API 端点： function my_first_plugin_register_api_routes() { register_rest_route('my-first-plugin/v1', '/data', array( 'methods' => 'GET', 'callback' => 'my_first_plugin_get_data', )); } add_action('rest_api_init', 'my_first_plugin_register_api_routes'); function my_first_plugin_get_data(blog_ids as blog_id);
            my_first_plugin_single_deactivate();
            restore_current_blog();
        }
    } else {
        my_first_plugin_single_deactivate();
    }
}

register_deactivation_hook(__FILE__, 'my_first_plugin_deactivate');
```

50.2 处理多站点特定功能

存储全局设置：在多站点环境中，可以使用 get_site_option 和 update_site_option 来存储和检索全局设置： function my_first_plugin_get_global_setting(key); } function my_first_plugin_set_global_setting(value) { update_site_option(value); }
跨站点数据同步：在多站点网络中，可以通过 switch_to_blog 和 restore_current_blog 函数在不同站点之间切换，以同步数据： function my_first_plugin_sync_data_across_sites(wpdb; wpdb->get_col("SELECT blog_id FROM blog_ids as blog_id); update_option('my_first_plugin_data', this->assertTrue(true); } }
运行测试：运行 PHPUnit 以执行测试： vendor/bin/phpunit

52. 钩子和过滤器

52.1 创建自定义钩子

创建自定义动作钩子：在插件代码中创建一个自定义动作钩子： do_action('my_first_plugin_custom_action', arg2);
创建自定义过滤器钩子：在插件代码中创建一个自定义过滤器钩子： value, arg2);

52.2 使用钩子和过滤器

添加动作钩子：使用 add_action 函数来挂载自定义动作钩子： add_action('my_first_plugin_custom_action', 'my_custom_action_function', 10, 2); function my_custom_action_function(arg2) { // 自定义动作处理逻辑 }
添加过滤器钩子：使用 add_filter 函数来挂载自定义过滤器钩子： add_filter('my_first_plugin_custom_filter', 'my_custom_filter_function', 10, 3); function my_custom_filter_function(arg1, value; }

2024 年 5 月 17 日

特性	CBOR	JSON
格式	二进制	文本
数据体积	较小	较大
解析效率	较高	较低
自描述性	是	是
适用场景	物联网、嵌入式系统、网络协议等	Web 服务、配置文件等

要在WordPress网站中启用Passkey认证，你可以按照以下步骤操作：

安装插件：首先，你需要安装一个支持WebAuthn和Passkey认证的WordPress插件。WP-WebAuthn是一个可以在WordPress站点上启用WebAuthn的插件。
配置插件：安装插件后，你需要进入WordPress管理后台的“设置”部分，找到WP-WebAuthn插件的设置页面，并按照插件的文档说明进行配置。
启用HTTPS：由于WebAuthn和Passkey认证需要安全的连接，确保你的WordPress网站使用HTTPS连接。如果尚未启用，请配置SSL证书以启用HTTPS。
用户注册身份验证器：用户需要在他们的个人资料页面注册身份验证器。这可能涉及到使用生物识别技术，如指纹或面部识别，或者是通过USB设备、NFC等方式。
测试认证流程：配置完成后，尝试注册和使用Passkey进行登录，以确保一切工作正常。
用户教育：由于Passkey是一种较新的技术，你可能需要向你的用户解释如何使用它，以及它如何增强账户的安全性。
技术支持：如果你遇到任何问题，可以查看插件的文档，或者在插件的GitHub页面上寻求帮助。
保持更新：定期检查插件更新，以确保你的Passkey认证功能保持最新和安全。

请注意，启用Passkey认证可能需要一定的技术知识，特别是关于服务器配置和插件安装的部分。如果你不熟悉这些操作，可能需要寻求专业的技术支持。

WP-WebAuthn

WP-WebAuthn 是一个为你的 WordPress 站点启用 WebAuthn 的插件。只需下载并安装，你就进入了 Web 身份验证的未来。
WP-WebAuthn 也支持无用户名验证。
这个插件有 4 个内置短代码和 4 个对应的内置 Gutenberg 区块，因此你可以将注册表单等组件添加到前端页面。

WebAuthn（Web Authentication）是一个开放的无密码标准，由万维网联盟（W3C）和FIDO联盟共同制定，旨在为用户提供一种更安全、更便捷的网络认证方式。WebAuthn 允许用户使用生物识别技术、智能卡或移动设备等作为认证手段，而不是仅仅依赖传统的用户名和密码。

截至2023年，WebAuthn 规范的主要版本是 Level 1，即 WebAuthn Level 1，它在2019年3月成为W3C的官方推荐标准。WebAuthn Level 1 定义了客户端和服务器之间进行无密码认证的流程，包括注册（注册新的认证器）和认证（使用已有的认证器进行认证）两个主要过程。

关于 WebAuthn Level 2 的规范，截至2023年，并没有官方的 Level 2 版本发布。通常，技术规范的更新会通过补丁或小版本迭代来进行，而不是直接跳到 Level 2。WebAuthn 的发展和更新可能会通过一系列的改进提案（如 RFCs）来进行，这些提案会逐步集成到核心规范中。

为了获取最新的WebAuthn规范信息，建议访问W3C官方网站或FIDO联盟的相关资源，查阅最新的文档和公告。

https://flyhigher.top/develop/2160.html

走进 WebAuthn 的世界：无密码时代的身份认证

随着互联网的发展，传统密码认证方式的安全性越来越让人担忧。幸运的是，WebAuthn 技术的出现让我们看到了希望。WebAuthn 是一种新的身份认证方式，它让我们可以抛弃繁琐的密码，通过更加安全和便捷的方式来进行身份验证。在本文中，我们将一起走进 WebAuthn 的世界，了解它的角色、过程和关键概念。

WebAuthn 认证的四大角色

在 WebAuthn 的认证流程中，有四个重要的角色：

依赖方 (Relying Party, RP)：
- 这是提供服务的那一方，比如一个网站。
- 依赖方负责提供注册和登录的接口。
用户 (User)：
- 也就是你，准备登录网站的那个人。
- 用户是整个流程的主体，通过生物识别或其他方式进行身份验证。
认证器 (Authenticator)：
- 认证器可以是 USB Key、设备内置的指纹扫描器、虹膜扫描器、面部识别装置等。
- 认证器在使用过程中替代了传统的密码。
用户代理 (User Agent)：
- 通常是浏览器或操作系统。
- 用户代理负责与认证器交互，帮助完成认证流程。

认证过程：注册和验证

WebAuthn 的认证过程主要分为两个阶段：

注册仪式 (Registration Ceremony)：
- 这是用户将认证器添加到他们的账户中的过程。
- 用户在此过程中注册他们的认证器，使其可以在未来进行身份验证。
验证仪式 (Authentication Ceremony)：
- 用户通过已注册的认证器进行身份验证。
- 这是用户登录时的过程，通过之前注册的认证器来验证身份。

认证过程中的关键内容

在 WebAuthn 的认证过程中，有一些重要的内容需要理解：

挑战 (Challenge)：
- 通常是一串随机字符串。
- 由依赖方生成并发送给用户，以防止重放攻击。
公钥凭证 (Public Key Credential)：
- 由认证器生成的凭证，技术上代替了密码。
- 包含公钥和其他必要的信息，用于验证用户身份。
证明 (Attestation)：
- 注册时认证器产生的验证数据。
- 用于证明认证器的可靠性和安全性。
断言 (Assertion)：
- 验证时认证器产生的验证数据。
- 用于证明用户是注册时的同一个用户。

区分证明和断言

在 WebAuthn 中，“证明 (Attestation)”和“断言 (Assertion)”是两个容易混淆的概念，但它们有着不同的用途：

证明 (Attestation)：在注册过程中产生，用于证明认证器的安全性和真实性。
断言 (Assertion)：在登录过程中产生，用于证明用户的身份。

总结

WebAuthn 技术为我们带来了更加安全、便捷的身份认证方式。通过了解依赖方、用户、认证器和用户代理这四大角色，以及注册和验证两个过程中的关键内容，我们可以更好地理解和应用 WebAuthn。随着这种无密码身份认证方式的普及，我们的网络生活将变得更加安全和舒适。

让我们一起迎接无密码时代的到来，享受更加安全和便捷的网络体验吧！

非对称加密与 WebAuthn 的安全性

在数字时代，密码曾经是我们保护在线身份和隐私的主要工具。然而，随着技术的进步和黑客手段的多样化，传统的密码认证方式变得越来越不可靠。WebAuthn 的出现让我们看到了新的希望，它是一种基于非对称加密的身份认证技术，旨在提供更加安全和便捷的认证体验。

非对称加密的基础

要理解 WebAuthn 的安全性，我们首先需要了解非对称加密的基本概念。非对称加密使用一对密钥，即公钥和私钥。这对密钥有以下特点：

公钥 (Public Key)：可以公开给任何人，用于加密信息。
私钥 (Private Key)：必须严格保密，用于解密信息。

公钥和私钥是互相关联但几乎无法互相推导的。在这种加密体系中，使用私钥加密的信息只能由对应的公钥解密，反之亦然。

对称加密的局限性

为了更好地理解非对称加密的优势，我们先来看一个对称加密的例子：

假设小明和小红互相写信，但见不到对方。小红想确认给自己写信的人真的是小明，于是他们商量出一套方案：

小明和小红在身份验证的情况下商量一个统一的密码和密钥。
一段时间后，小红要求小明验证身份时，发送一段文本给小明。
小明用商量好的密码和密钥加密文本后发回给小红。
小红使用相同的密码和密钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

这种方法的最大问题在于密钥的交换。如果两人在开始时不能见面，那么他们必须通过某种方式以明文交换密码，一旦密码在传输过程中被窃取，这个认证方法就失效了。

非对称加密解决信任问题

非对称加密完美地解决了密钥泄露的问题。我们再来看小明和小红的例子，这次他们使用非对称加密：

在小明的身份已经验证的情况下，小明生成一对公私钥，将公钥发送给小红，私钥自己保管，同时商量好统一的密码。
一段时间后，小红要求小明验证身份时，发送一段文本给小明。
小明使用商量好的密码和自己的私钥加密文本，发送给小红。
小红使用相同的密码和小明的公钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

在这个过程中，私钥从未离开过小明的手中，也没有经过传输，几乎没有泄露的风险。小红可以通过解密文本确认对方的身份，而无需担心密钥被窃取。

WebAuthn 的安全性

WebAuthn 采用了非对称加密的基本原理来确保用户身份的安全性。具体而言，WebAuthn 的认证过程包括以下步骤：

注册 (Registration)：
- 用户在依赖方（如网站）注册时，认证器生成一对公私钥，并将公钥发送给依赖方。
- 私钥保存在认证器中，从不离开设备。
验证 (Authentication)：
- 用户登录时，依赖方生成一个随机的挑战 (Challenge) 并发送给用户。
- 认证器使用私钥对挑战进行签名，并将签名发送回依赖方。
- 依赖方使用事先保存的公钥验证签名，如果验证通过，则表明用户的身份是合法的。

通过这种方式，WebAuthn 确保了认证过程的安全性，因为私钥永远不会被传输或暴露，即使网络通信被截获，攻击者也无法伪造用户的身份。

结论

WebAuthn 的核心在于利用非对称加密技术，通过公钥和私钥的配合，确保认证器生成的凭证是用户的认证器，而非第三方伪造的。这种机制大大提高了身份验证的安全性，解决了传统密码认证方式的诸多问题，让我们的数字生活更加安全和便捷。通过 WebAuthn，我们正迈向一个无密码的安全新时代。

非对称加密与 WebAuthn 的安全性

非对称加密的基础

要理解 WebAuthn 的安全性，我们首先需要了解非对称加密的基本概念。非对称加密使用一对密钥，即公钥和私钥。这对密钥有以下特点：

公钥 (Public Key)：可以公开给任何人，用于加密信息。
私钥 (Private Key)：必须严格保密，用于解密信息。

公钥和私钥是互相关联但几乎无法互相推导的。在这种加密体系中，使用私钥加密的信息只能由对应的公钥解密，反之亦然。

对称加密的局限性

为了更好地理解非对称加密的优势，我们先来看一个对称加密的例子：

假设小明和小红互相写信，但见不到对方。小红想确认给自己写信的人真的是小明，于是他们商量出一套方案：

小明和小红在身份验证的情况下商量一个统一的密码和密钥。
一段时间后，小红要求小明验证身份时，发送一段文本给小明。
小明用商量好的密码和密钥加密文本后发回给小红。
小红使用相同的密码和密钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

非对称加密解决信任问题

非对称加密完美地解决了密钥泄露的问题。我们再来看小明和小红的例子，这次他们使用非对称加密：

在小明的身份已经验证的情况下，小明生成一对公私钥，将公钥发送给小红，私钥自己保管，同时商量好统一的密码。
一段时间后，小红要求小明验证身份时，发送一段文本给小明。
小明使用商量好的密码和自己的私钥加密文本，发送给小红。
小红使用相同的密码和小明的公钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

WebAuthn 的安全性

WebAuthn 采用了非对称加密的基本原理来确保用户身份的安全性。具体而言，WebAuthn 的认证过程包括以下步骤：

注册 (Registration)：
- 用户在依赖方（如网站）注册时，认证器生成一对公私钥，并将公钥发送给依赖方。
- 私钥保存在认证器中，从不离开设备。
验证 (Authentication)：
- 用户登录时，依赖方生成一个随机的挑战 (Challenge) 并发送给用户。
- 认证器使用私钥对挑战进行签名，并将签名发送回依赖方。
- 依赖方使用事先保存的公钥验证签名，如果验证通过，则表明用户的身份是合法的。

通过这种方式，WebAuthn 确保了认证过程的安全性，因为私钥永远不会被传输或暴露，即使网络通信被截获，攻击者也无法伪造用户的身份。

结论

WebAuthn 注册流程

WebAuthn 的注册流程旨在建立用户、认证器和依赖方（如网站）之间的信任关系。通过这个流程，认证器生成公私钥对，公钥被传递给依赖方以便后续认证使用。以下是详细的注册流程：

用户发起注册请求：
- 用户在依赖方的注册页面上发起注册请求。依赖方会生成一个注册挑战（challenge），并返回给用户的客户端（通常是浏览器）。
客户端与认证器交互：
- 客户端将注册挑战发送给用户的认证器（如安全密钥、手机的生物识别系统等）。
认证器生成密钥对：
- 认证器生成一对公私钥。私钥保存在认证器中，永不离开设备。
- 同时，认证器生成一个包含公钥和其他元数据（如认证器的标识、使用的加密算法等）的凭证。
用户验证：
- 认证器要求用户进行验证（如指纹扫描、面部识别或输入 PIN 码），以确保是合法用户在进行注册操作。
返回注册响应：
- 认证器将公钥和其他相关数据（如认证器 ID、签名等）封装在注册响应中，并返回给客户端。
客户端发送注册响应给依赖方：
- 客户端将注册响应发送回依赖方服务器。
依赖方验证并存储公钥：
- 依赖方验证注册响应（例如，检查认证器签名是否有效）。
- 验证通过后，依赖方会将公钥和其他相关信息与用户账户关联存储起来，以便后续的验证使用。

WebAuthn 注册流程示意图

用户                 依赖方              客户端                   认证器
  |-- 注册请求 -->|                    |                           |
  |               |-- 注册挑战 ------->|                           |
  |               |                    |-- 注册挑战发送给认证器 -->|
  |               |                    |                           |-- 生成密钥对
  |               |                    |                           |-- 用户验证
  |               |                    |<-- 返回注册响应 ---------|
  |               |<-- 注册响应 -------|                           |
  |               |-- 验证并存储公钥 -->|                           |

具体细节

注册挑战（challenge）：这是一个随机生成的字符串，用于防止重放攻击。每次注册请求都会生成一个新的挑战。
元数据（metadata）：包括认证器的标识、支持的加密算法等。这些信息帮助依赖方了解如何验证响应。
签名（signature）：认证器用私钥对注册响应中的数据进行签名，依赖方用公钥验证签名的有效性。

结论

WebAuthn 的注册流程通过非对称加密技术，确保了在注册过程中公私钥的安全生成和存储，防止密钥泄露或被篡改。同时，通过挑战-应答模型和用户验证步骤，WebAuthn 提供了强大的安全保障，为后续的身份验证打下了坚实的基础。接下来，我们可以详细探讨 WebAuthn 的验证流程。

WebAuthn 验证流程

WebAuthn 验证流程旨在确保用户的身份真实性，通过基于挑战-应答的模型，使用之前注册时存储的公钥验证用户。以下是详细的验证流程：

用户发起验证请求：
- 用户在依赖方（如网站）上发起登录请求。依赖方生成一个验证挑战（challenge），并返回给用户的客户端（通常是浏览器）。
依赖方发送挑战：
- 依赖方将挑战发送给用户的客户端。
客户端与认证器交互：
- 客户端将验证挑战、依赖方信息（如 Relying Party ID）和客户端信息（如 origin）发送给用户的认证器。
认证器请求用户动作：
- 认证器提示用户进行验证（如指纹扫描、面部识别或输入 PIN 码）。
- 用户验证通过后，认证器找到对应的私钥，并使用私钥对挑战进行签名，生成一个签名断言（assertion）。
认证器返回签名断言：
- 认证器将签名断言连同认证器的元数据（如认证器 ID、计数器值等）返回给客户端。
客户端发送签名断言给依赖方：
- 客户端将签名断言发送回依赖方服务器。
依赖方验证签名断言：
- 依赖方使用之前存储的公钥，验证签名断言的有效性。
- 依赖方检查计数器值是否合理，以防止重放攻击。
- 如果签名有效且计数器值合理，依赖方确认用户身份验证通过。

WebAuthn 验证流程示意图

用户                 依赖方              客户端                   认证器
  |-- 验证请求 -->|                    |                           |
  |               |-- 验证挑战 ------->|                           |
  |               |                    |-- 验证挑战发送给认证器 -->|
  |               |                    |                           |-- 用户验证
  |               |                    |                           |-- 签名挑战
  |               |                    |<-- 返回签名断言 ---------|
  |               |<-- 签名断言 -------|                           |
  |               |-- 验证签名断言 -->|                           |
  |<-- 验证成功 --|                    |                           |

具体细节

验证挑战（challenge）：这是一个随机生成的字符串，用于防止重放攻击。每次验证请求都会生成一个新的挑战。
依赖方信息（Relying Party ID）：这是依赖方的标识，用于确保签名是由正确的私钥生成的。
客户端信息（origin）：包括客户端的原点信息（URI），用于确保请求的合法性。
签名断言（assertion）：认证器用私钥对挑战进行签名生成的断言，包含签名数据和其他元数据。
计数器值：认证器维护的计数器，用于防止重放攻击。每次成功验证后计数器都会递增。

结论

WebAuthn 的验证流程通过挑战-应答模型确保了用户身份的真实性。通过非对称加密技术，认证器生成的私钥永不离开设备，极大地提升了安全性。同时，通过用户验证步骤和计数器机制，WebAuthn 提供了强大的防重放攻击能力。这个流程与注册流程相辅相成，确保了从注册到验证的整体安全性和可靠性。

https://github.com/topics/webauthn

博客

技术原理

实现方式

检测防御

技术原理

实现方式

检测防御

进一步阅读与参考

结语

现状与问题

提议的改进

实际应用

事故的全貌

事故过程

事故的后果

谁来承担责任？

船员的困境

船员的心声

未来的走向

结语

外包式儿童陪伴师：高薪背后的隐忧

家长角色的缺位

赵菊英式教育：短期见效的陷阱

真正的亲子关系：不可外包的责任

结语

内容简介

各方赞誉

WordPress插件入门

创建一个简单的插件

钩子：Action和Filter

使用基础钩子

添加自定义钩子

移除挂载到钩子上的函数

WordPress API的使用

插件的发布

插件头文件要求

结语