我试图在我的Web API应用程序中支持JWT不记名令牌(JSON Web令牌)，我迷路了。

我看到对。net Core和OWIN应用程序的支持。 我目前在IIS中托管我的应用程序。

如何在应用程序中实现此身份验证模块?是否有任何方法我可以使用<authentication>配置类似于我使用窗体/Windows身份验证的方式?

这是这个问题的一个更通用的重新表述(消除了Rails特定的部分)

我不确定如何在RESTful web应用程序中实现资源分页。 假设我有一个叫做产品的资源，你认为以下哪一个是最好的方法，为什么:

1. 只使用查询字符串

如。http://application/products?page=2&sort_by=date&sort_how=asc 这里的问题是，我不能使用全页缓存，而且URL不是很干净，容易记住。

2. 使用页面作为资源和查询字符串进行排序

如。http://application/products/page/2?sort_by=date&sort_how=asc 在这种情况下，我们看到的问题是http://application/products/pages/1不是唯一的资源，因为使用sort_by=price可以产生完全不同的结果，我仍然不能使用页面缓存。

3.使用页面作为资源，并使用URL段进行排序

如。http://application/products/by-date/page/2 我个人认为使用这种方法没有问题，但有人警告我这不是一个好的方法(他没有给出理由，所以如果你知道为什么不推荐，请告诉我)

任何建议，意见，批评都是非常欢迎的。谢谢。

我如何在Excel公式中构造以下字符串:

“火箭”莫里斯·理查德

如果我使用的是单引号，那就太琐碎了:="Maurice 'The Rocket' Richard"但是双引号呢?

我实际上是在寻找一个“@Ignore”类型的注释，我可以用它来停止某个特定字段的持久化。如何实现这一目标?

Java有transient关键字。为什么JPA有@Transient而不是简单地使用已经存在的java关键字?

在使用Angular、Ember、React等框架构建SPA风格的应用程序时，人们认为哪些是认证和会话管理的最佳实践?我能想到处理这个问题的几种方法。

Treat it no differently than authentication with a regular web application assuming the API and and UI have the same origin domain. This would likely involve having a session cookie, server side session storage and probably some session API endpoint that the authenticated web UI can hit to get current user information to help with personalization or possibly even determining roles/abilities on the client side. The server would still enforce rules protecting access to data of course, the UI would just use this information to customize the experience. Treat it like any third-party client using a public API and authenticate with some sort of token system similar to OAuth. This token mechanism would used by the client UI to authenticate each and every request made to the server API.

我不是这方面的专家，但第一条似乎对绝大多数情况来说已经完全足够了，但我真的很想听到一些更有经验的意见。

在java.sql实例中使用SQL IN子句的最佳变通方法是什么?由于SQL注入攻击安全问题，不支持多值的PreparedStatement:一个?占位符表示一个值，而不是一个值列表。

考虑下面的SQL语句:

SELECT my_column FROM my_table where search_column IN (?)

使用preparedStatement。setString(1， "'A'， 'B'， 'C'");本质上是一种无用的尝试，试图解决使用原因?首先。

有什么可行的解决办法?

这里有一些关于JPA实体的讨论，以及应该为JPA实体类使用哪些hashCode()/equals()实现。它们中的大多数(如果不是全部)依赖于Hibernate，但是我想中立地讨论它们的jpa实现(顺便说一下，我使用的是EclipseLink)。

所有可能的实现都有其自身的优点和缺点:

hashCode()/equals()契约一致性(不可变性)用于列表/集操作 是否可以检测到相同的对象(例如来自不同会话的对象，来自惰性加载数据结构的动态代理) 实体在分离(或非持久化)状态下是否正确运行

在我看来，有三种选择:

Do not override them; rely on Object.equals() and Object.hashCode() hashCode()/equals() work cannot identify identical objects, problems with dynamic proxies no problems with detached entities Override them, based on the primary key hashCode()/equals() are broken correct identity (for all managed entities) problems with detached entities Override them, based on the Business-Id (non-primary key fields; what about foreign keys?) hashCode()/equals() are broken correct identity (for all managed entities) no problems with detached entities

我的问题是:

我是否错过了一个选择和/或赞成/反对的观点? 你选择了什么，为什么?

更新1:

通过“hashCode()/equals()是坏的”，我的意思是连续的hashCode()调用可能返回不同的值，这(当正确实现时)在对象API文档的意义上不是坏的，但是当试图从Map、Set或其他基于哈希的集合中检索更改的实体时，会导致问题。因此，JPA实现(至少是EclipseLink)在某些情况下不能正确工作。

更新2:

谢谢你的回答——大部分问题都很有质量。 不幸的是，我仍然不确定哪种方法最适合实际应用程序，或者如何确定最适合我的应用程序的方法。所以，我将保持这个问题的开放性，希望有更多的讨论和/或意见。

License keys are the defacto-standard as an anti-piracy measure. To be honest, this strikes me as (in)Security Through Obscurity, although I really have no idea how license keys are generated. What is a good (secure) example of license key generation? What cryptographic primitive (if any) are they using? Is it a message digest? If so, what data would they be hashing? What methods do developers employ to make it difficult for crackers to build their own key generators? How are key generators made?

今天早上，当我将Firefox浏览器升级到最新版本(从22升级到23)时，我的后台办公室(网站)的一些关键方面停止了工作。

查看Firebug日志，报告了以下错误:

Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css"
Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"`

在其他错误中，由上述两个中的后者未加载引起。

上述问题是什么意思?我该如何解决?