我知道基于cookie的身份验证。SSL和HttpOnly标志可以应用于保护基于cookie的身份验证不受MITM和XSS的影响。然而，为了保护它不受CSRF的影响，还需要采取更多的特殊措施。它们只是有点复杂。(参考)

最近，我发现JSON Web Token (JWT)作为一种身份验证解决方案非常热门。我了解编码、解码和验证JWT的知识。然而，我不明白为什么有些网站/教程告诉我们，如果使用JWT，就不需要CSRF保护。我已经阅读了很多，并试图总结以下问题。我只是希望有人能提供一个关于JWT的更大的图景，并澄清我对JWT的误解。

If the JWT is stored in a cookie, I think it is the same as cookie-based authentication except that the server does not need to have sessions to verify the cookie/token. There is still a risk of CSRF if no special measure is implemented. Isn't JWT stored in a cookie? If the JWT is stored in localStorage/sessionStorage, then there is no cookie involved so don't need to protect against CSRF. The question is how to send the JWT to the server. I found here that it is suggested to use jQuery to send the JWT by HTTP header of ajax requests. So, only the ajax requests can do the authentication? Also, I found one more blog that points to use "Authorization header" and "Bearer" to send the JWT. I don't understand the method the blog talks about. Could someone please explain more about "Authorization header" and "Bearer"? Does this make the JWT transmitted by HTTP header of ALL requests? If yes, what about CSRF?

我是Hibernate的新手，我不确定是否使用Hibernate SessionFactory或JPA EntityManagerFactory来创建Hibernate会话。

这两者有什么不同?使用这些工具的优缺点是什么?

我将在password + salt上运行SHA256，但我不知道在设置MySQL数据库时需要多长时间使我的VARCHAR。什么样的长度比较好?

我如何替换所有的换行符从一个字符串在Java在这样的方式，将工作在Windows和Linux(即没有具体的操作系统的回车/换行/新行等问题)?

我尝试过(注意readFileAsString是一个将文本文件读入String的函数):

String text = readFileAsString("textfile.txt");
text.replace("\n", "");

但这似乎并不奏效。

如何做到这一点呢?

给定函数foo:

fun foo(m: String, bar: (m: String) -> Unit) {
    bar(m)
}

我们可以:

foo("a message", { println("this is a message: $it") } )
//or 
foo("a message")  { println("this is a message: $it") }

现在，假设我们有以下函数:

fun buz(m: String) {
   println("another message: $m")
}

是否有一种方法，我可以通过“buz”作为参数“foo”? 喜欢的东西:

foo("a message", buz)

我在Visual Studio 2010中创建了一个新项目，并注意到现在在我的项目目录中有两个名为obj和bin的新文件夹。

在构建和调试时创建了一对类似的文件夹——这些文件夹用于什么?

当我尝试连接mysql时，我得到以下错误:

无法通过套接字/var/lib/ MySQL / MySQL连接到本地MySQL服务器。袜子”(2)

有解决这个错误的方法吗?背后的原因可能是什么?

我正在阅读关于Android的一个房间库。我看到他们把android包改成了androidx。我不明白。有人能解释一下吗?

implementation "androidx.room:room-runtime:$room_version"
annotationProcessor "androidx.room:room-compiler:$room_version"

甚至这也是可用的android包。

implementation "android.arch.persistence.room:runtime:$room_version"
annotationProcessor "android.arch.persistence.room:compiler:$room_version"

为什么需要在androidx而不是android中打包新的支持库? 现有项目中的用例和影响因素。

当我试图理解CAP中的“Availability”(A)和“Partition tolerance”(P)时，我发现很难理解各种文章的解释。

我有一种感觉，a和P可以同时出现(我知道事实并非如此，这就是我不能理解的原因!)

简单地解释一下，什么是A和P以及它们之间的区别?

我的web应用程序使用会话存储关于用户的信息，一旦他们登录，并维护这些信息，因为他们在应用程序内从页面到页面。在这个特定的应用程序中，我存储的人的user_id, first_name和last_name。

我想在登录时提供一个“让我登录”选项，在用户的机器上放置一个cookie，为期两周，当他们返回应用程序时，将以相同的细节重新启动他们的会话。

做这件事的最佳方法是什么?我不想在cookie中存储他们的user_id，因为这似乎会让一个用户很容易尝试和伪造另一个用户的身份。