IcyFenix

> @dengchaoh > 周大哥，WebAuthn的认证方式，如果注册设备损坏，无法拿到私钥，是不是就没法在别的设备登录了？ WebAuthn应该作为双因子（2FA）验证的其中一个因子，与另一种稳定的验证因子搭配去使用。 举个说人话的例子：如果你在GitHub、AppleStore等开启了2FA验证，对于普通操作（譬如登录），你仍然可以使用一个因子（譬如WebAuthn，或者传统的用户名+密码）来进行，但对于敏感操作（譬如忘记密码、修改个人资料），就必须配合另一个因子（譬如手机短信、或者邮件验证）来进行。 WebAuthn同样可以很方便地作为一个因子，完成登录功能，但是需要配合另一个因子去完成Key丢失后，或者更换了手机、电脑之后迁移信息的额外验证。 关于“Lost key”的处理，WebAuthn的原文我贴出来供你参考： > It is advisable to implement WebAuthn as or with a second factor. There is a possibility to protect a security...

> @gakki-zone > "要求用带有TouchBar的MacBook" "验证器可理解为用户设备上TouchBar" 中的 TouchBar 改为 Touch ID 可能会更加严谨。 感谢，已修正。

@UUNNFLY > “no-store不强制会话中相同URL资源的重复获取，但禁止浏览器、CDN等以任何形式保存该资源。”不能保存该资源，除了重复获取之外，还有别的方法吗？前半句话似乎有些多余困扰了初学者 “不强制重复获取”是针对有一些资料认为“同一页面多次使用同一资源，譬如一个页面中放置了URL完全相同的两张图片，no-store会导致两次重复获取请求”而加入的。不能缓存不代表要重复获取。 > “no-cache指明该资源不应该被缓存”，我在《图解HTTP》一书中看到说是no-cache代表不缓存过期的资源，照您这篇的逻辑是不是可以表述为：强制缓存失效但协商缓存仍生效？ 对，强制缓存失效但协商缓存中的ETag仍生效。

> “only-if-cached表示要求客户端要求不发送网络请求”这句好拗口 确实，已修改

> "public和private：指明是否涉及到用户身份的私有资源，如果是 public，着可以被代理、CDN 等缓存，如果是 private，着只能由用户的客户端进行私有缓存。"其中"着可以"和"着只能"是"则可以"和"则只能"吧? 感谢，已修正。

> @UUNNFLY > Envoy的Retry Policy，这个链接404了 https://www.envoyproxy.io/docs/envoy/latest/faq/load_balancing/transient_failures.html 下次commit处理一下。

> @dengchaoh > “而且现在的微服务框架都足够便捷，只许设置一两个开关参数就可以开启对某个服务甚至全部服务的重试机制”。后半句已经是“只需”吧？ 感谢指正，以上几处问题会在下次commit时更新掉。

谢谢。 当时在travis-ci中没有勾选这个变量要隐藏。 由于2个月前已从travis-ci迁移至github actions，这个令牌已废弃。

ClientSecret在OAuth2授权码模式中才有存在的意义。本站中使用的是隐式授权模式。 在文档的“[架构安全性-授权](http://icyfenix.cn/architect-perspective/general-architecture/system-security/authorization.html#oauth2)”中介绍了这两种模式，并且以本站的gitalk留言板功能为例子（config.js中这个就是给gitalk使用的），解释了为何这种情况只能使用隐式授权、为何隐式授权中ClientSecret不再有保护安全的意义。不妨阅读参考一下。

> @66951735 > AWS S3是对象存储吧 thx，已更新。