中文指南
核心工具背后的概念、误区和安全边界。
这些中文指南与 8 个核心开发者工具配套,帮助你理解什么时候可以使用工具,什么时候必须回到服务端、库或内部安全流程。
Base64 不是加密:开发者应该知道的边界
解释 Base64 编码的用途、可逆性、常见误区,以及为什么它不能用来保护密码、Token 或客户数据。
要点:Base64 只是改变数据表示方式,不提供保密性。可以用于传输和格式化,不应该用于隐藏敏感信息。
阅读指南 →02JWT 解码和验签有什么区别?
说明 JWT decode 与 verify 的根本区别,帮助开发者正确理解 Header、Payload、Signature、exp、iat 和 aud 等字段。
要点:解码只是看懂 JWT 内容;验签才是判断 token 是否可信、是否被篡改、是否来自预期签发方的安全动作。
阅读指南 →03哈希和加密有什么区别?
对比 hash、encryption、checksum 和 password hashing,说明 SHA-256、MD5、bcrypt、scrypt、Argon2 分别适合什么场景。
要点:哈希是单向摘要;加密可以用密钥还原;密码存储需要专门的慢哈希算法,而不是普通 SHA-256。
阅读指南 →04URL 查询参数为什么需要编码?
解释 URL 参数中的空格、中文、&、=、? 等字符为什么会破坏链接,以及什么时候应该使用 encodeURIComponent。
要点:通常应该编码参数值,而不是把整个 URL 当成一个字符串全部编码。这样才能保留链接结构并安全传递特殊字符。
阅读指南 →05Unix 时间戳:秒和毫秒为什么经常搞错?
解释 10 位秒级时间戳和 13 位毫秒级时间戳的区别,以及日志、API、数据库中常见的时区判断方式。
要点:先判断时间戳单位,再判断时区。10 位通常是秒,13 位通常是毫秒,但生产系统仍要以接口文档和数据源为准。
阅读指南 →06正则里的贪婪匹配和懒惰匹配怎么区分?
用实际示例解释 .*、.*?、量词范围、捕获组和替换预览,帮助避免匹配过多或匹配不足。
要点:贪婪匹配会尽量多吃字符,懒惰匹配会尽量少吃字符,但最终结果还受后续模式约束影响。
阅读指南 →07如何阅读 JSON 解析错误?
说明 trailing comma、单引号、未转义换行、控制字符和缺失括号等常见 JSON 解析错误。
要点:JSON 错误通常不是随机的。先看错误位置附近,再检查逗号、引号、括号和字符串转义。
阅读指南 →08密码长度、复杂度和可记忆性怎么取舍?
解释为什么长度通常比复杂字符更重要,以及随机密码、口令短语、密码管理器和复用风险的关系。
要点:更长、随机、唯一的密码通常比短而复杂的密码更可靠。不要复用密码,优先配合密码管理器。
阅读指南 →中文工作流
用任务流串联核心工具。
API 调试和 Token 检查工作流帮助你把工具、指南和安全边界连起来。