文章 - IM Geek开发者社区-移动开发者社区-开源社区-IM Geek官网

你的浏览器禁用了JavaScript, 请开启后刷新浏览器获得更好的体验!

: 环信即时通讯云
单聊、群聊、聊天室...

: 环信开发文档

: Demo体验
场景Demo，开箱即用

: RTE开发者社区
汇聚音视频领域技术干货，分享行业资讯

: 技术讨论区
技术交流、答疑

: 资源下载
收集了海量宝藏开发资源

: iOS Library
不需要辛辛苦苦的去找轮子, 这里都有

: Android Library
不需要辛辛苦苦的去找轮子, 这里都有

调试 WebView 旧资源缓存问题：一次从偶发到复现的实战经历

Java

移动端 WebView 与浏览器最大的差异之一就是缓存机制：浏览器支持 DevTools 清理缓存、更新资源非常便利；而 WebView 在 App 中受系统 WebView 组件和应用缓存策略影响，经常会出现资源更新后，部分用户仍加载老版本 JS/CSS，引...

继续阅读 »

移动端 WebView 与浏览器最大的差异之一就是缓存机制：浏览器支持 DevTools 清理缓存、更新资源非常便利；而 WebView 在 App 中受系统 WebView 组件和应用缓存策略影响，经常会出现资源更新后，部分用户仍加载老版本 JS/CSS，引发奇怪的线上问题。

这类问题难点在于：不是所有用户都能复现，只有特定设备/网络环境/升级路径才会触发。以下是我们在一个活动页迭代中解决用户加载到老版本脚本的问题记录。

背景：活动页面更新后部分用户功能异常

活动页面上线后，我们修复了一个按钮点击无效的 bug，并发布了新 JS 资源。大部分用户恢复正常，但个别用户仍反馈点击无响应。

通过埋点数据统计，这类异常只占总 PV 的 1~2%，但因影响实际参与，必须解决。

第一步：判断用户是否加载到新资源

通过后端接口返回的页面版本号，我们在埋点中发现异常用户请求的是最新页面 HTML，但 HTML 中引用的 JS 文件版本却是旧文件。

我们用 Charles 配合 WebDebugX，在问题设备上连接调试，确认请求路径：

https://cdn.example.com/activity/v1.2.0/main.js

服务器早已上线 v1.3.0 文件，但部分设备仍强制加载 v1.2.0。这说明浏览器或 WebView 从缓存中读取了过期资源。

第二步：复现问题与验证缓存机制

通过 Charles 的 Map Local 功能，我们在真机上强制模拟返回旧版 main.js，验证页面表现是否与用户反馈一致。结果按钮再次失效，证明旧资源是问题根源。

然后用 WebDebugX 查看资源请求的响应 header，确认服务器已正确返回 Cache-Control：

Cache-Control: no-cache, max-age=0

理论上应强制重新拉取最新资源，但部分 Android WebView 未执行 no-cache，而是优先使用 local cache。

第三步：排查 WebView 缓存策略差异

我们协助移动端团队通过 Logcat 查看 WebView 请求日志，发现部分机型仍启用了 LOAD_DEFAULT 缓存模式，该模式下只要缓存有效期内，就会使用本地缓存资源，即便服务器指示不缓存也无法生效。

而大部分新系统使用了 LOAD_NO_CACHE 或 LOAD_CACHE_ELSE_NETWORK，能更好地遵循服务器缓存头。

第四步：修复方案设计

针对缓存策略问题，我们制定了双向修复方案：

短期前端方案

在资源引用 URL 中增加强制更新参数：

<script src="https://cdn.example.com/activity/main.js?v=20240601"></script>

每次版本发布更新 v 参数，确保请求路径变化，从而绕开缓存。

中期后端方案

通过 CDN 配置给静态文件加上不可缓存策略，确保 CDN 节点不会继续提供过期资源。

长期客户端方案

移动端团队将 WebView 缓存策略统一改为 LOAD_NO_CACHE 模式，彻底解决旧资源被缓存的问题。

第五步：验证全流程有效性

修复完成后，我们用以下方法进行多角度验证：

使用 Charles 观察请求地址是否携带新版本参数；

在 WebDebugX 中查看页面是否加载了最新资源；

在 QA 部门用多台低端机和慢网环境回归测试，模拟网络断开重连、App 冷启动后资源拉取表现；

监控埋点数据中页面版本和资源版本是否完全一致，确认没有用户再加载到老资源。

最终确认异常用户比例下降到 0%。

工具与协作流程

此次缓存问题排查中，我们的调试和分工是：

工具	用途	使用人
WebDebugX	查看资源加载路径、响应 header	前端 / QA
Charles	模拟缓存场景、观察真实请求	前端
Logcat	验证 WebView 缓存模式	移动端
Vysor	复现低端设备表现、录制操作过程	QA

总结：缓存问题的解决要从端到端出发

缓存问题不是“前端清理一下”就能解决，它涉及：

浏览器/WebView 端缓存策略；
后端或 CDN 返回的缓存头；
前端 URL 版本控制；
不同系统/厂商 WebView 兼容性。

要彻底消除老资源顽固缓存，必须让服务器、前端、客户端配置形成闭环。

调试工具（WebDebugX、Charles、Logcat）可以帮助我们还原资源加载链条，但核心是对缓存机制的整体认知与各端的配合。

作者：bcbnb
来源：juejin.cn/post/7522187483762966579

收起阅读 »

用 Tauri + FFmpeg + Whisper.cpp 从零打造本地字幕生成器

综合技术讨论

背景：最近开始尝试做自媒体，录点视频。刚开始就遇到了字幕的问题，于是想先搞个字幕生成工具（为了这点醋才包的这顿饺子😄）：SubGen。这个工具用 Tauri + Rust 做外壳，把 FFmpeg 和 Whisper.cpp 集成进去，能一键把视频转成 S...

继续阅读 »

背景：

最近开始尝试做自媒体，录点视频。刚开始就遇到了字幕的问题，于是想先搞个字幕生成工具（为了这点醋才包的这顿饺子😄）：SubGen。

这个工具用 Tauri + Rust 做外壳，把 FFmpeg 和 Whisper.cpp 集成进去，能一键把视频转成 SRT 字幕。

这篇文章记录下笔者做这个工具的过程，也分享下用到的核心组件和代码结构。

架构设计

SubGen 采用分层架构，核心组件的交互关系如下：

┌─────────────┐        ┌──────────────┐

│   React UI  │        │   Rust Core  │

│ (TypeScript)│ <----> │  (Tauri API) │

└─────────────┘        └─────┬────────┘

                              │

                ┌─────────────┴───────────────┐

                │                             │

           ┌────▼────┐                   ┌────▼────┐

           │ FFmpeg  │                   │Whisper  │

           │ 提取音频 │                   │ 离线识别 │

           └─────────┘                   └─────────┘

为什么用 Tauri？

最开始笔者也考虑过 Electron，但它打包太大了（动辄 100MB 起步），而且资源占用高。后来发现 Tauri，它用 Rust 做后端，前端还是用 React 或者任意 Web 技术，这样：

打包后体积很小（十几 MB）。

跨平台方便（Windows / macOS / Linux）。

Rust 调用本地二进制（FFmpeg 和 Whisper）非常顺手。

笔者主要是用 React + TypeScript 写了一个简单的 UI，用户选视频、点按钮，剩下的活就交给 Rust。

FFmpeg：用它来“扒”音频

FFmpeg 是老牌的音视频处理工具了，笔者直接内置了一个编译好的 ffmpeg.exe/ffmpeg 到资源目录，调用它来：

从视频里抽出音频。

统一格式（16kHz，单声道 WAV），让 Whisper 可以直接处理。

Rust 这边的调用很简单：

use std::process::Command;



Command::new("resources/ffmpeg")

    .args(["-i", &video_path, "-ar", "16000", "-ac", "1", "audio.wav"])

    .status()

    .expect("FFmpeg 执行失败");

这样一行命令就能把视频转成标准 WAV。

Whisper.cpp：核心的离线识别

笔者选的是 Whisper.cpp，因为它比 Python 版 Whisper 更轻量，直接编译一个 whisper-cli 就能用，不需要装乱七八糟的依赖。

更重要的一点是支持CPU运行，默认4个线程，即使用 ggml-large-v3 也可以跑出来结果，只是稍微慢点。这对于没有好的显卡的童鞋很有用！

调用命令大概是这样：

whisper-cli -m ggml-small.bin -f audio.wav -osrt -otxt

最后会输出一个 output.srt，直接能用。

Rust 里调用也是 Command::new() 一把梭：

Command::new("resources/whisper-cli")

    .args(["-m", "resources/models/ggml-small.bin", "-f", "audio.wav", "-l", "zh", "--output-srt"])

    .status()

    .expect("Whisper 执行失败");

代码结构和流程

笔者的项目大概是这样分层的：

subgen/

├── src/                     # 前端 React + TypeScript

│   └── main.tsx             # UI入口

├── src-tauri/               # Tauri + Rust

│   ├── commands.rs          # Rust命令逻辑

│   ├── resources/           # ffmpeg、whisper二进制、模型文件

│   └── main.rs              # 程序入口

前端用 @tauri-apps/api 的 invoke 调 Rust：

import { invoke } from '@tauri-apps/api';



async function handleGenerate(videoPath: string) {

  const result = await invoke<string>('extract_subtitles', { videoPath });

  console.log('字幕生成完成：', result);

}

Rust 后端的核心命令：

#[tauri::command]

fn extract_subtitles(video_path: String) -> Result<String, String> {

    // 1. 调 FFmpeg

    // 2. 调 Whisper.cpp

    // 3. 返回 SRT 路径

    Ok("output.srt".to_string())

}

用下来的感受

整个工具现在已经能做到“拖进视频 → 等几十秒 → 出字幕”这种体验了。

几个感受：

Tauri 真香：比 Electron 清爽太多，Rust 后端很适合做这些底层调用。

FFmpeg 是万能的，直接抽音频，性能还不错。

Whisper.cpp 虽然 CPU 跑慢点，但好在准确率挺高，还不用联网。

后续想做的事

支持批量处理视频。

集成一个简单的字幕编辑功能。

尝试 GPU 加速 Whisper（Metal / Vulkan）。

截图

主界面：

生成的 SRT：

如果你也想做个自己的字幕工具，可以直接参考 SubGen 的架构，自己改改就能用。

代码已开源：github.com/byteroycai/…

作者：byteroycai
来源：juejin.cn/post/7528457291697012774

收起阅读 »

jwt，过滤器，拦截器用法和介绍

Java

jwt，过滤器，拦截器介绍JWT令牌JWT介绍JWT全称 JSON Web Token 。jwt可以将原始的json数据格式进行安全的封装，这样就可以直接基于jwt在通信双方安全的进行信息传输了。JWT的组成JWT令牌由三个部分组成，三个部分之间使用英文的点来...

继续阅读 »

jwt，过滤器，拦截器介绍

JWT令牌

JWT介绍

JWT全称 JSON Web Token 。
jwt可以将原始的json数据格式进行安全的封装，这样就可以直接基于jwt在通信双方安全的进行信息传输了。

JWT的组成

JWT令牌由三个部分组成，三个部分之间使用英文的点来分割
第一部分：Header(头），记录令牌类型、签名算法等。例如：{"alg":"HS256","type":"JWT"}
第二部分：Payload(有效载荷），携带一些自定义信息、默认信息等。例如：{"id":"1","username":"Tom"}
第三部分：Signature(签名），防止Token被篡改、确保安全性。将header、payload，并加入指定秘钥，通过指定签名算法计算而来。

JWT将原始的JSON格式数据转变为字符串的方式：

其实在生成JWT令牌时，会对JSON格式的数据进行一次编码：进行base64编码
Base64：是一种基于64个可打印的字符来表示二进制数据的编码方式。既然能编码，那也就意味着也能解码。所使用的64个字符分别是A到Z、a到z、 0- 9，一个加号，一个斜杠，加起来就是64个字符。任何数据经过base64编码之后，最终就会通过这64个字符来表示。当然还有一个符号，那就是等号。等号它是一个补位的符号
需要注意的是Base64是编码方式，而不是加密方式。

生成和校验

1.要想使用JWT令牌，需要先引入JWT的依赖：



<dependency>

    <groupId>io.jsonwebtokengroupId>

    <artifactId>jjwtartifactId>

    <version>0.9.1version>

dependency>

引入完JWT来赖后，就可以调用工具包中提供的API来完成JWT令牌的生成和校验。

2.生成JWT代码实现：

@Test

public void testGenJwt() {

    Map<String, Object> claims = new HashMap<>();

    claims.put("id", 10);

    claims.put("username", "itheima");



    String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "aXRjYXN0")

        .addClaims(claims)

        .setExpiration(new Date(System.currentTimeMillis() + 12 * 3600 * 1000))

        .compact();



    System.out.println(jwt);

}

实现了JWT令牌的生成，下面我们接着使用Java代码来校验JWT令牌(解析生成的令牌)：

@Test

public void testParseJwt() {

    Claims claims = Jwts.parser().setSigningKey("aXRjYXN0")

        .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MTAsInVzZXJuYW1lIjoiaXRoZWltYSIsImV4cCI6MTcwMTkwOTAxNX0.N-MD6DmoeIIY5lB5z73UFLN9u7veppx1K5_N_jS9Yko")

        .getBody();

    System.out.println(claims);

}

篡改令牌中的任何一个字符，在对令牌进行解析时都会报错，所以JWT令牌是非常安全可靠的。

JWT令牌过期后，令牌就失效了，解析的为非法令牌。

过滤器Filter

Filter介绍

Filter表示过滤器，是 JavaWeb三大组件(Servlet、Filter、Listener)之一。
过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能
使用了过滤器之后，要想访问web服务器上的资源，必须先经过滤器，过滤器处理完毕之后，才可以访问对应的资源。
过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等。

定义过滤器

public class DemoFilter implements Filter {

    //初始化方法, web服务器启动, 创建Filter实例时调用, 只调用一次

    public void init(FilterConfig filterConfig) throws ServletException {

        System.out.println("init ...");

    }



    //拦截到请求时,调用该方法,可以调用多次

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {

        System.out.println("拦截到了请求...");

    }



    //销毁方法, web服务器关闭时调用, 只调用一次

    public void destroy() {

        System.out.println("destroy ... ");

    }

}

配置过滤器

在定义完Filter之后，Filter其实并不会生效，还需要完成Filter的配置，Filter的配置非常简单，只需要在Filter类上添加一个注解：@WebFilter，并指定属性urlPatterns，通过这个属性指定过滤器要拦截哪些请求

@WebFilter(urlPatterns = "/*") //配置过滤器要拦截的请求路径（ /* 表示拦截浏览器的所有请求 ）

public class DemoFilter implements Filter {

    //初始化方法, web服务器启动, 创建Filter实例时调用, 只调用一次

    public void init(FilterConfig filterConfig) throws ServletException {

        System.out.println("init ...");

    }



    //拦截到请求时,调用该方法,可以调用多次

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {

        System.out.println("拦截到了请求...");

    }



    //销毁方法, web服务器关闭时调用, 只调用一次

    public void destroy() {

        System.out.println("destroy ... ");

    }

}

在Filter类上面加了@WebFilter注解之后，还需要在启动类上面加上一个注解@ServletComponentScan，通过这个@ServletComponentScan注解来开启SpringBoot项目对于Servlet组件的支持。

@ServletComponentScan //开启对Servlet组件的支持

@SpringBootApplication

public class TliasManagementApplication {

    public static void main(String[] args) {

        SpringApplication.run(TliasManagementApplication.class, args);

    }

}

在过滤器Filter中，如果不执行放行操作，将无法访问后面的资源。放行操作：chain.doFilter(request, response);

过滤器的执行流程

过滤器当中我们拦截到了请求之后，如果希望继续访问后面的web资源，就要执行放行操作，放行就是调用 FilterChain对象当中的doFilter()方法，在调用doFilter()这个方法之前所编写的代码属于放行之前的逻辑。

测试代码：

@WebFilter(urlPatterns = "/*") 

public class DemoFilter implements Filter {

    

    @Override //初始化方法, 只调用一次

    public void init(FilterConfig filterConfig) throws ServletException {

        System.out.println("init 初始化方法执行了");

    }

    

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        

        System.out.println("DemoFilter   放行前逻辑.....");



        //放行请求

        filterChain.doFilter(servletRequest,servletResponse);



        System.out.println("DemoFilter   放行后逻辑.....");

        

    }



    @Override //销毁方法, 只调用一次

    public void destroy() {

        System.out.println("destroy 销毁方法执行了");

    }

}

过滤器的拦截路径配置

拦截路径	urlPatterns值	含义
拦截具体路径	/login	只有访问 /login 路径时，才会被拦截
目录拦截	/emps/*	访问/emps下的所有资源，都会被拦截
拦截所有	/*	访问所有资源，都会被拦截

测试代码：

@WebFilter(urlPatterns = "/login")  //拦截/login具体路径

public class DemoFilter implements Filter {

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        System.out.println("DemoFilter   放行前逻辑.....");



        //放行请求

        filterChain.doFilter(servletRequest,servletResponse);



        System.out.println("DemoFilter   放行后逻辑.....");

    }





    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        Filter.super.init(filterConfig);

    }



    @Override

    public void destroy() {

        Filter.super.destroy();

    }

}

过滤器链

过滤器链指的是在一个web应用程序当中，可以配置多个过滤器，多个过滤器就形成了一个过滤器链。
过滤器链上过滤器的执行顺序：注解配置的Filter，优先级是按照过滤器类名（字符串）的自然排序。比如：
AbcFilter
DemoFilter
这两个过滤器来说，AbcFilter 会先执行，DemoFilter会后执行。

拦截器Interceptor

拦截器是一种动态拦截方法调用的机制，类似于过滤器。
拦截器是Spring框架中提供的，用来动态拦截控制器方法的执行。
拦截器的作用：拦截请求，在指定方法调用前后，根据业务需要执行预先设定的代码。

自定义拦截器

实现HandlerInterceptor接口，并重写其所有方法

//自定义拦截器

@Component

public class DemoInterceptor implements HandlerInterceptor {

    //目标资源方法执行前执行。 返回true：放行    返回false：不放行

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        System.out.println("preHandle .... ");

        

        return true; //true表示放行

    }



    //目标资源方法执行后执行

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

        System.out.println("postHandle ... ");

    }



    //视图渲染完毕后执行，最后执行

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

        System.out.println("afterCompletion .... ");

    }

}

preHandle方法：目标资源方法执行前执行。返回true：放行返回false：不放行
postHandle方法：目标资源方法执行后执行
afterCompletion方法：视图渲染完毕后执行，最后执行

注册配置拦截器

在 com.itheima下创建一个包，然后创建一个配置类 WebConfig，实现 WebMvcConfigurer 接口，并重写 addInterceptors 方法

@Configuration  

public class WebConfig implements WebMvcConfigurer {



    //自定义的拦截器对象

    @Autowired

    private DemoInterceptor demoInterceptor;



    

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

       //注册自定义拦截器对象

        registry.addInterceptor(demoInterceptor).addPathPatterns("/**");//设置拦截器拦截的请求路径（ /** 表示拦截所有请求）

    }

}

拦截器的拦截路径配置

首先我们先来看拦截器的拦截路径的配置，在注册配置拦截器的时候，我们要指定拦截器的拦截路径，通过addPathPatterns("要拦截路径")方法，就可以指定要拦截哪些资源。

在入门程序中我们配置的是/**，表示拦截所有资源，而在配置拦截器时，不仅可以指定要拦截哪些资源，还可以指定不拦截哪些资源，只需要调用excludePathPatterns("不拦截路径")方法，指定哪些资源不需要拦截。

@Configuration  

public class WebConfig implements WebMvcConfigurer {



    //拦截器对象

    @Autowired

    private DemoInterceptor demoInterceptor;



    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        //注册自定义拦截器对象

        registry.addInterceptor(demoInterceptor)

                .addPathPatterns("/**")//设置拦截器拦截的请求路径（ /** 表示拦截所有请求）

                .excludePathPatterns("/login");//设置不拦截的请求路径

    }

}

在拦截器中除了可以设置/**拦截所有资源外，还有一些常见拦截路径设置：

拦截路径	含义	举例
/*	一级路径	能匹配/depts，/emps，/login，不能匹配 /depts/1
/**	任意级路径	能匹配/depts，/depts/1，/depts/1/2
/depts/*	/depts下的一级路径	能匹配/depts/1，不能匹配/depts/1/2，/depts
/depts/**	/depts下的任意级路径	能匹配/depts，/depts/1，/depts/1/2，不能匹配/emps/1

拦截器的执行流程

当我们打开浏览器来访问部署在web服务器当中的web应用时，此时我们所定义的过滤器会拦截到这次请求。拦截到这次请求之后，它会先执行放行前的逻辑，然后再执行放行操作。而由于我们当前是基于springboot开发的，所以放行之后是进入到了spring的环境当中，也就是要来访问我们所定义的controller当中的接口方法。
Tomcat并不识别所编写的Controller程序，但是它识别Servlet程序，所以在Spring的Web环境中提供了一个非常核心的Servlet：DispatcherServlet（前端控制器），所有请求都会先进行到DispatcherServlet，再将请求转给Controller。
当我们定义了拦截器后，会在执行Controller的方法之前，请求被拦截器拦截住。执行`preHandle()`方法，这个方法执行完成后需要返回一个布尔类型的值，如果返回true，就表示放行本次操作，才会继续访问controller中的方法；如果返回false，则不会放行（controller中的方法也不会执行）。
在controller当中的方法执行完毕之后，再回过来执行`postHandle()`这个方法以及`afterCompletion()` 方法，然后再返回给DispatcherServlet，最终再来执行过滤器当中放行后的这一部分逻辑的逻辑。执行完毕之后，最终给浏览器响应数据。

过滤器和拦截器之间的区别：

接口规范不同：过滤器需要实现Filter接口，而拦截器需要实现HandlerInterceptor接口。
拦截范围不同：过滤器Filter会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。

作者：丧心病狂汤姆猫
来源：juejin.cn/post/7527869985345339392

收起阅读 »

从HTTP到HTTPS

综合技术讨论

当你在浏览器里输入 http://www.example.com 并按下回车，看似平平无奇的一次访问，其实暗藏着 SSL/TLS 的三次握手、对称与非对称加密的轮番上阵、CA 证书的“身份核验”以及防中间人攻击的多重机关。一、SSL、TLS、HTTPS 到底...

继续阅读 »

当你在浏览器里输入 http://www.example.com 并按下回车，看似平平无奇的一次访问，其实暗藏着 SSL/TLS 的三次握手、对称与非对称加密的轮番上阵、CA 证书的“身份核验”以及防中间人攻击的多重机关。

一、SSL、TLS、HTTPS 到底是什么关系？

SSL（Secure Sockets Layer）：早期网景公司设计的加密协议，1999 年后停止更新。

TLS（Transport Layer Security）：SSL 的直系升级版，目前主流版本为 TLS 1.2/1.3。

HTTPS：把 HTTP 报文塞进 TLS 的“安全信封”里，再交给 TCP 传输。简而言之，HTTPS = HTTP + TLS/SSL。

二、HTTPS 握手

ClientHello

浏览器把支持的加密套件、随机数 A、TLS 版本号一起发给服务器。

ServerHello + 证书

服务器挑一套加密算法，返回随机数 B，并附上自己的数字证书（含公钥）。

验证证书 + 生成会话密钥

浏览器先给证书“验明正身”——颁发机构是否可信、证书是否被吊销、域名是否匹配。

验证通过后，浏览器生成随机数 C（Pre-Master-Secret），用服务器证书里的公钥加密后发送。双方根据 A、B、C 算出同一把对称密钥。

Finished

双方都用这把对称密钥加密一条“Finished”消息互发，握手完成。之后的所有 HTTP 数据都用这把对称密钥加解密，速度快、强度高。

三、为什么必须有 CA？

没有 CA，任何人都可以伪造公钥，中间人攻击将防不胜防。CA 通过可信第三方背书，把“公钥属于谁”这件事写死在证书里，浏览器才能放心地相信“这就是真正的服务器”。

四、证书到底怎么防伪？

证书 = 域名 + 公钥 + 有效期 + CA 数字签名。

CA（Certificate Authority）用自己的私钥对整个证书做哈希签名。浏览器内置 CA 公钥，可解密签名并对比哈希值，一旦被篡改就立即报警。

没有 CA 签名的自签证书？浏览器会毫不留情地显示“红色警告”。

五、对称与非对称加密的分工

非对称加密（RSA/ECC）：只在握手阶段用一次，解决“如何安全地交换对称密钥”。

对称加密（AES/ChaCha20）：握手完成后，所有 HTTP 报文都用对称密钥加解密，性能高、延迟低。

一句话：非对称加密“送钥匙”，对称加密“锁大门”。

六、中间人攻击的两张面孔

SSL 劫持

攻击者伪造证书、偷梁换柱。浏览器会提示证书错误，但不少用户习惯性点击“继续访问”，于是流量被窃听。

SSL 剥离

攻击者把用户的 HTTPS 请求降级成 HTTP，服务器以为在加密，客户端却在明文裸奔。HSTS（HTTP Strict Transport Security）能强制浏览器只走 HTTPS，遏制这种降级。

总结

证书是身-份-证，CA 是公安局。

非对称握手送钥匙，对称加密跑数据。

没有 CA 的 HTTPS，就像没有钢印的合同——谁都能伪造。

下次当你在地址栏看到那把绿色小锁时，背后是一场涉及四次握手、两把密钥、一张证书和全球信任链的加密大戏。

作者：前端小巷子
来源：juejin.cn/post/7527578862054899754

收起阅读 »

掌握 requestFullscreen：网页全屏功能的实用指南与技巧

web

想让网页上的图片、视频或者整个界面铺满用户屏幕？浏览器的 requestFullscreen api 是开发者实现这个功能的关键。它比你想象的要强大，但也藏着一些需要注意的细节。本文将详细介绍如何正确使用它，并分享一些提升用户体验的实用技巧。一、开始使用...

继续阅读 »

想让网页上的图片、视频或者整个界面铺满用户屏幕？浏览器的 requestFullscreen api 是开发者实现这个功能的关键。

它比你想象的要强大，但也藏着一些需要注意的细节。本文将详细介绍如何正确使用它，并分享一些提升用户体验的实用技巧。

一、开始使用 requestFullscreen：基础与常见问题

直接调用 element.requestFullscreen() 是最简单的方法，但有几个关键点容易出错：

并非所有元素都能直接全屏：

、等普通容器元素需要**提前设置好尺寸**（比如 width: 100%; height: 100%; 或者具体的像素值）。否则全屏可能无效或显示异常。

、等媒体元素通常可以直接全屏。

浏览器兼容性问题：

老版本浏览器（特别是 Safari）需要使用带前缀的方法 webkitRequestFullscreen。安全起见，最好检测并调用正确的方法。

必须在用户操作中触发：

浏览器出于安全考虑，要求全屏请求必须在用户点击、触摸等交互事件（如 click、touchstart）的处理函数里直接调用。不能放在 setTimeout 或者异步回调里直接调用，否则会被浏览器阻止。

二、控制全屏时的样式

全屏状态下，你可以使用特殊的 css 选择器为全屏元素或其内部的元素定制样式：

/* 为处于全屏状态的 <video> 元素设置黑色背景 */

video:fullscreen {

background-color: #000;

}



/* 当某个具有 id="controls" 的元素在全屏模式下时，默认半透明，鼠标移上去变清晰 */

#controls:fullscreen {

opacity: 0.3;

transition: opacity 0.3s ease;

}

#controls:fullscreen:hover {

opacity: 1;

}

:-webkit-full-screen (WebKit 前缀) : 针对老版本 WebKit 内核浏览器（如旧 Safari）

:fullscreen (标准) : 现代浏览器支持的标准写法。优先使用这个。

三、实用的进阶技巧

在多个元素间切换全屏：

创建一个管理器能方便地在不同元素（如图库中的图片）之间切换全屏状态，并记住当前全屏的是哪个元素。

const fullscreenManager = {

currentElement: null, // 记录当前全屏的元素



async toggle(element) {

// 如果点击的元素已经是全屏元素，则退出全屏

if (document.fullscreenElement && this.currentElement === element) {

try {

awaitdocument.exitFullscreen();

this.currentElement = null;

      } catch (error) {

console.error('退出全屏失败:', error);

      }

    } else {

// 否则，尝试让新元素进入全屏

try {

await element.requestFullscreen();

this.currentElement = element; // 更新当前元素

      } catch (error) {

console.error('进入全屏失败:', error);

// 可以在这里提供一个后备方案，比如模拟全屏的CSS类

        element.classList.add('simulated-fullscreen');

      }

    }

  }

};



// 给图库中所有图片绑定点击事件

document.querySelectorAll('.gallery-img').forEach(img => {

  img.addEventListener('click', () => fullscreenManager.toggle(img));

});

在全屏模式下处理键盘事件：

全屏时，你可能想添加自定义快捷键（如切换滤镜、截图）。

functionhandleFullscreenHotkeys(event) {

// 保留 Escape 键退出全屏的功能

if (event.key === 'Escape') return;



// 自定义快捷键

if (event.key === 'f') toggleFilter(); // 按 F 切换滤镜

if (event.ctrlKey && event.key === 'p') enterPictureInPicture(); // Ctrl+P 画中画

if (event.shiftKey && event.key === 's') captureScreenshot(); // Shift+S 截图



// 阻止这些键的默认行为（比如防止F键触发浏览器查找）

event.preventDefault();

}



// 监听全屏状态变化

document.addEventListener('fullscreenchange', () => {

if (document.fullscreenElement) {

// 进入全屏，添加自定义键盘监听

document.addEventListener('keydown', handleFullscreenHotkeys);

  } else {

// 退出全屏，移除自定义键盘监听

document.removeEventListener('keydown', handleFullscreenHotkeys);

  }

});

记住用户的全屏状态：

如果用户刷新页面，可以尝试自动恢复他们之前全屏查看的元素。

// 页面加载完成后检查是否需要恢复全屏

window.addEventListener('domContentLoaded', () => {

  const elementId = localStorage.getItem('fullscreenElementId');

if (elementId) {

    const element = document.getElementById(elementId);

if (element) {

setTimeout(() => element.requestFullscreen().catch(console.error), 100); // 稍延迟确保元素就绪

    }

  }

});



// 监听全屏变化，保存当前全屏元素的ID

document.addEventListener('fullscreenchange', () => {

if (document.fullscreenElement) {

localStorage.setItem('fullscreenElementId', document.fullscreenElement.id);

  } else {

localStorage.removeItem('fullscreenElementId');

  }

});

处理嵌套全屏（沙盒内全屏）：

在已经全屏的容器内的中再次触发全屏是可能的（需要 allow="fullscreen" 属性）。

<divid="main-container">

<iframeid="nested-content"src="inner.html"allow="fullscreen"></iframe>

</div>

<script>

const mainContainer = document.getElementById('main-container');

const iframe = document.getElementById('nested-content');



// 主容器全屏后，可以尝试触发iframe内部元素的全屏（需内部配合）

  mainContainer.addEventListener('fullscreenchange', () => {

if (document.fullscreenElement === mainContainer) {

// 假设iframe内部有一个id为'innerVideo'的视频元素

// 注意：这需要在iframe加载完成后，且iframe内容同源或允许跨域操作

const innerDoc = iframe.contentDocument || iframe.contentWindow.document;

const innerVideo = innerDoc.getElementById('innerVideo');

if (innerVideo) {

setTimeout(() => innerVideo.requestFullscreen().catch(console.error), 500);

      }

    }

  });

</script>

四、实际应用场景

媒体展示： 图片画廊、视频播放器（隐藏浏览器UI获得更好沉浸感 { navigationUI: 'hide' }）。

数据密集型应用： 全屏表格、图表或数据看板，提供更大的工作空间。

游戏与交互： WebGL 游戏、交互式动画、全景图查看器（结合陀螺仪 API），全屏能提升性能和体验。

演示模式： 在线文档、幻灯片展示。

专注模式： 写作工具、代码编辑器。

安全措施： 在全屏内容上添加低透明度水印（使用 ::before / ::after 伪元素），增加录屏难度。

五、开发者需要注意的问题与解决建议

问题描述	解决方案
iOS Safari 全屏视频行为	为添加 playsinline 属性防止自动横屏。提供手动旋转按钮。
全屏导致滚动位置丢失	进入全屏前记录 scrollTop，退出后恢复。或使用 scroll-snap 等布局技术。
全屏触发页面重排/抖动	提前给目标元素设置 width: 100%; height: 100%; 或固定尺寸。
全屏时难以打开开发者工具	在开发环境，避免拦截 F12 或右键菜单快捷键。使用 console 调试。
全屏元素内 iframe 权限	为添加 allow="fullscreen" 属性。
检测用户手动全屏 (F11)	比较 window.outerHeight 和 screen.height 有一定参考价值，但非绝对可靠。通常建议引导用户使用应用内的全屏按钮。

六、兼容性处理封装（推荐使用）

下面是一个更健壮的工具函数，处理了不同浏览器的前缀问题：

/**

 * 全屏工具类 (简化版，展示核心功能)

 */

const FullscreenHelper = {

/**

   * 请求元素进入全屏模式

   * @param {HTMLElement} [element=document.documentElement] 要全屏的元素，默认是整个页面

   * @returns {Promise<boolean>} 是否成功进入全屏

   */

async enter(element = document.documentElement) {

const reqMethods = [

'requestFullscreen',       // 标准

'webkitRequestFullscreen', // Safari, Old Chrome/Edge

'mozRequestFullScreen',    // Firefox

'msRequestFullscreen'// Old IE/Edge

    ];



for (const method of reqMethods) {

if (element[method]) {

try {

// 可以传递选项，例如隐藏导航UI: { navigationUI: 'hide' }

await element[method]({ navigationUI: 'hide' });

returntrue; // 成功进入全屏

        } catch (error) {

console.warn(`${method} 失败:`, error);

// 继续尝试下一个方法

        }

      }

    }

returnfalse; // 所有方法都失败

  },



/**

   * 退出全屏模式

   * @returns {Promise<boolean>} 是否成功退出全屏

   */

async exit() {

const exitMethods = [

'exitFullscreen',          // 标准

'webkitExitFullscreen',     // Safari, Old Chrome/Edge

'mozCancelFullScreen',      // Firefox

'msExitFullscreen'// Old IE/Edge

    ];



for (const method of exitMethods) {

if (document[method]) {

try {

awaitdocument[method]();

returntrue; // 成功退出全屏

        } catch (error) {

console.warn(`${method} 失败:`, error);

        }

      }

    }

returnfalse; // 所有方法都失败或不在全屏状态

  },



/**

   * 检查当前是否有元素处于全屏状态

   * @returns {boolean} 是否在全屏状态

   */

  isFullscreen() {

return !!(

document.fullscreenElement ||    // 标准

document.webkitFullscreenElement || // Safari, Old Chrome/Edge

document.mozFullScreenElement || // Firefox

document.msFullscreenElement     // Old IE/Edge

    );

  },



/**

   * 添加全屏状态变化监听器

   * @param {Function} callback 状态变化时触发的回调函数

   */

  onChange(callback) {

const events = [

'fullscreenchange',       // 标准

'webkitfullscreenchange', // Safari, Old Chrome/Edge

'mozfullscreenchange',    // Firefox

'MSFullscreenChange'// Old IE/Edge

    ];

// 为每种可能的事件添加监听，确保兼容性

    events.forEach(eventName => {

document.addEventListener(eventName, callback);

    });

  }

};



// 使用示例

const myButton = document.getElementById('fullscreen-btn');

const myVideo = document.getElementById('my-video');



myButton.addEventListener('click', async () => {

if (FullscreenHelper.isFullscreen()) {

await FullscreenHelper.exit();

  } else {

await FullscreenHelper.enter(myVideo); // 让视频全屏

  }

});



// 监听全屏变化

FullscreenHelper.onChange(() => {

console.log('全屏状态变了:', FullscreenHelper.isFullscreen() ? '进入全屏' : '退出全屏');

});

总结

requestFullscreen API 是实现网页元素全屏展示的核心工具。理解其基础用法、兼容性处理、样式控制和状态管理是第一步。

通过掌握切换控制、键盘事件处理、状态持久化和嵌套全屏等进阶技巧，以及规避常见的陷阱，你可以为用户创建更流畅、功能更丰富的全屏体验。

上面的 FullscreenHelper 工具类封装了兼容性细节，推荐在实际项目中使用。现在就去尝试在你的网页中应用这些技巧吧！

作者：小高007
来源：juejin.cn/post/7527612394044850227

收起阅读 »

半数清华，8 位华人 AI 天团集体投奔 Meta！奥特曼：砸钱抢人不如培养死忠

职场话题

【新智元导读】硅谷挖角戏码升级！相比 Meta3 亿美元「血本挖角」，OpenAI 来了波反向操作——选择培养人才，奥特曼悄然推进一个名为「驻留计划」（Residency Program）的项目。这个项目有何神秘之处？奥特曼的底气到底从何而来？二十一世纪什么...

继续阅读 »

【新智元导读】硅谷挖角戏码升级！相比 Meta3 亿美元「血本挖角」，OpenAI 来了波反向操作——选择培养人才，奥特曼悄然推进一个名为「驻留计划」（Residency Program）的项目。这个项目有何神秘之处？奥特曼的底气到底从何而来？

二十一世纪什么最贵？

人才！

最近几个月，Meta 在硅谷发起的、动辄上亿美元签字费的挖角戏码，成了史上最疯狂的人才争夺战。

不得不说，扎克伯格的「氪金」策略相当成功。

一大批来自 OpenAI、谷歌、Anthropic 甚至是 SSI 的核心研究员纷纷投入 Meta 旗下。

OpenAI 的首席研究官 Mark Chen 难掩失落地说：「这感觉就像有人闯进了我们家，偷走了我们的东西。」

面对这种近乎釜底抽薪似的挖角行为，奥特曼的反应则略显轻蔑：「Meta 的行事方式，让人感觉有些不体面」。

那么，奥特曼的底气来自哪里？

当扎克伯格在牌桌上疯狂加码时，奥特曼在牌桌之下，进行着一场完全不同维度的布局。

不挖天才，我们培养天才

当所有人的目光都聚焦在 Meta 的天价支票上时，OpenAI 正在悄然推进一个名为「驻留计划」（Residency Program）的项目。

这个项目，可以说是 OpenAI 应对人才战争的核心战略，也是理解其企业文化的一把钥匙。

OpenAI Residency 是一个为期六个月的全职带薪项目，但它的招生对象，却出人意料。

Residency 项目经理 Jackie Hehir 明确表示，他们寻找的，不是那些正在攻读机器学习或 AI 博士学位的天之骄子，也不是来自其他 AI 实验室的资深员工。

恰恰相反，他们将橄榄枝伸向了那些「邻近领域」的顶尖大脑——比如物理学家、神经科学家、数学家。

虽然没有严格的学历或工作经验要求，但设有一个极高的技术门槛，尤其是在数学和编程方面，其标准与全职员工等同。

你不需要拥有高等数学学位，但必须对高等数学概念非常自如。

「他们对这个领域（AI）充满了真正的热情，」Hehir 说。

这背后是一套极其精明的逻辑。

这场从零培养的战略，至少带来了三个层面的深远优势。

首先就是成本上的「降维打击」。

驻留研究员的年薪是 21 万美元，意味着在这六个月里，OpenAI 的支出大约是 10.5 万美元。

这个数字，足以让参与者跻身美国收入前 5% 的行列。

但在动辄千万、上亿美元签字费的 AI 顶级人才市场，这简直就是白菜价。

用极小的代价，获得了一批拥有顶级科研素养和巨大潜力的「璞玉」。

其次，是对企业文化基因的深度植入。

面对小扎的疯狂抢人，奥特曼就曾评论道：「在我看来，Meta 的所作所为将导致非常深刻的文化问题」。

而在 OpenAI，一位前员工向 Business Insider 透露，他们公司的内部文化是「对创造 AGI 的使命感到痴迷」。

通过驻留计划，OpenAI 可以在一张白纸上，从一开始就将这种使命感深深烙印在这些未来核心员工的脑海里。

他们共同学习、共同攻关，建立的不仅是工作关系，更是对共同事业的「信仰共同体」。

这与简单地用金钱挖来的雇佣兵有着本质区别。

Meta 用金钱这种最直接的外部激励，虽然见效快，但可能存在边际效应递减的风险，并且容易塑造一种唯利是图的文化。

相比之下，OpenAI 的策略则更侧重于构建内在动机：

通过赋予一个宏大的、改变世界的使命（创造 AGI），它满足了员工对归属感的渴望；

通过从零培养，让跨界人才在新领域找到自己的位置，它满足了「胜任感」的成长需求；

通过相对宽松和专注的科研环境，满足了对自主性的追求。

「传教士将打败雇佣兵」，奥特曼在内部备忘录中，写下了这句提振士气的话。

最后，是极高的忠诚度与****转化率。

数据显示，几乎每一个在驻留计划中表现出色的成员，都会收到 OpenAI 全职 offer。

迄今为止，所有收到 offer 的人都选择了接受。

每年，这个项目会迎来大约 30 名新成员，他们就像新鲜的血液，持续不断地为 OpenAI 提供能量。

OpenAI Residency 的「播种」策略，更像是一场耐心的耕耘。

它可能没法像 Meta 那样立即招到顶尖专家，但却可以培养出一片忠于自己使命、文化高度统一、且具备持续造血能力的「人才森林」。

这场发生在硅谷的人才战争，早已超越了商业竞争的范畴。

它是一场关于组织灵魂、动机和未来信念的宏大实验。

而实验的结果，不仅将决定这两家公司的命运，更将深刻地影响我们正在迈入的 AGI 时代。

最后，让我们再来回顾一下 Meta 这两个月的骚操作。

史上最疯狂人才争夺战

据估计全球有能力推动大语言模型和前沿 AI 研究的顶尖人才，只有区区 2000 人左右。

这场人才争夺战的激烈程度，未来只会不断升级。

Meta 为了 AI 顶尖人才可谓是下了「血本」。

被业内人士调侃为，「竞赛之夏的错失恐惧症（summer of comp FOMO）」。

据统计，Meta 在四年间，为 AI 顶尖人才准备了高达 3 亿美元薪酬方案，创下了行业记录。

那 Meta 这「3 亿美元薪酬」到底招了哪些顶尖人才呢？

2025 年 6 月

核心人物：Alexandr Wang（28 岁）

**背景：**2016 年，19 岁的 Alexandr Wang MIT 辍学与 Lucy Guo 共同创立「数据标注」公司 Scale AI，并于同年获得著名创业孵化器 Y Combinator 启动资金支持。顶级 AI 科技巨头：微软、Meta、OpenAI 等提供模型训练数据。

**押注金：**143 亿美元

**原职位：**Scale AI 创始人

**Meta 新职位：**Meta 首席 AI 智能官（Chief AI Officer），负责新设立的「超级智能」部门

重要性：

1、拥有 AI 核心「数据战火库」：Alexandr Wang 手握 Meta 核心竞争对手微软、OpenAI、谷歌等模型训练数据；

2、天生的商业嗅觉者：在还没有 LLM 时，已洞察到「数据」在 AI 领域的重要性，便在 2016 年创办数据标注公司 Scale AI；

**核心人物：**Shengjia Zhao