谈一谈 Airpub.io 又拍云 bucket 被篡改的问题

让用户把 secret 放到前端感觉挺不负责任的

前端提供AES加密后的密文，提示输入密码，在解密存到本地cookie，在自己电脑上其实也就输一次！

在线提供一个工具对API密钥进行AES加密，当然这样改密码比较麻烦，但相对安全很多！

我觉得把key完全放到前端还是太危险了，要么就提供一个集中式的API中心，通过domain来分配内容，第一个设置密码的人获得管理权（ cvbox.sinaapp.com就这么做的 ）；要么就提供一个服务器端docker image，pull就启用。

顺便，我很看好Airpub这类前后端分离的书写工具。可以把云端接口定义一个简洁的规范，然后由社区来贡献各个语言的实现版本。

Ghost虽然好用，但后端是Node，服务器上维护起来还是不方便，难免变成只能在Node社群流行的东西。而如果Ghost后端有PHP实现，我想就不同了。

@easychen 道理也是一樣的，即使換成了PHP照樣只能說是PHP社區裡玩的，糾結語言從來不是好事情，更何況ghost也提供如wordpress.conm這樣的服務。

（好吧，我是Node.js粉，拍黃片黑

@willwen 不是换成PHP。是PHP，Node，Java，Go全有。谁想用谁写就是。写个API很简单。

@easychen 你應該是想說，一套前端，一套標準，多種後端實現吧。

這思路我在5年前已經做過了⋯

@willwen 5年前浏览器ajax还不支持cross domain呢。

@easychen 不是不支持，還只是新技術而已

@willwen 你自己的浏览器支持有什么用，得访客的浏览器支持。

而且吧，你做过没做成，和别人做不成没什么逻辑关系…

后端API独立，和古代那种一个程序有N个版本是不同的，最大的区别就是后端API独立可以共享模板市场，从而可以构建一个跨语言的生态出来。

聪明人多，我就不细说了 ：）

@easychen 其實思路是好的，我沒做成是因為當時精力有限罷了，要做成一套完善的標準，先得有一套完善的實現作為基礎。

突然想起来，其实我上面说的前端加AES也挡不住暴力破解的，必须有认证服务器来防爆破！
自己那太天真了！