Undefined

Claude Code statusline

2026-05-04T12:53:17.000Z

Claude Code statusline 配置

效果如下

~/.claude/statusline.sh
~/.claude/settings.json

!/bin/bash

for cmd in jq bc npx; do
    command -v "$cmd" >/dev/null 2>&1 || { echo "statusline: missing dependency: $cmd" >&2; exit 1; }
done

INPUT=$(cat)
CACHE_DIR="/tmp/ccusage_cache"
mkdir -p "$CACHE_DIR" 2>/dev/null

# ── Colors ──

BLUE='\033[94m'
MAGENTA='\033[35m'
YELLOW='\033[33m'
GREEN='\033[32m'
RST='\033[0m'

# ── Helpers ──

jq_get() { echo "$INPUT" | jq -r "$1 // $2" 2>/dev/null; }

fmt_tokens() {
    local t=$1
    [[ "$t" =~ ^[0-9]+$ ]] || t=0
    if (( t >= 1000000000 )); then
        printf "%.1fB" "$(echo "scale=1; $t/1000000000" | bc)"
    elif (( t >= 1000000 )); then
        printf "%.1fM" "$(echo "scale=1; $t/1000000" | bc)"
    elif (( t >= 1000 )); then
        printf "%.0fk" "$(echo "scale=0; $t/1000" | bc)"
    else
        printf "%d" "$t"
    fi
}

fmt_cost() { printf '$%.2f' "$1"; }

fmt_reset() {
    local ts="$1"
    [[ -z "$ts" || "$ts" == "null" || "$ts" == "0" ]] && return
    if [[ "$ts" =~ ^[0-9]+$ ]]; then
        date -j -f "%s" "$ts" "+%m-%d %H:%M" 2>/dev/null && return
        date -d "@$ts" "+%m-%d %H:%M" 2>/dev/null && return
    fi
}

fmt_rate() {
    local label="$1" used="$2" reset_ts="$3"
    if [[ -z "$used" || "$used" == "null" ]]; then
        echo "${label}: --"
    else
        local s="${label}: $(printf "%.2f" "${used:-0}")%"
        local reset=$(fmt_reset "$reset_ts")
        [[ -n "$reset" ]] && s="$s @${reset}"
        echo "$s"
    fi
}

get_mtime() {
    if [[ "$(uname)" == "Darwin" ]]; then
        stat -f %m "$1" 2>/dev/null || echo 0
    else
        stat -c %Y "$1" 2>/dev/null || echo 0
    fi
}

row() { local c="$1"; echo -e "${c}$(printf "%-${W}s" "$2")${RST} | ${c}$(printf "%-${W}s" "$3")${RST} | ${c}$(printf "%-${W}s" "$4")${RST}"; }

# ── Parse CC JSON ──

MODEL_NAME=$(jq_get '.model.display_name' '"Claude"')
INPUT_TOKENS=$(jq_get '.context_window.total_input_tokens' '0')
OUTPUT_TOKENS=$(jq_get '.context_window.total_output_tokens' '0')
SESSION_COST=$(jq_get '.cost.total_cost_usd' '0')
CTX_USED=$(jq_get '.context_window.used_percentage' '0')
RATE_5H_USED=$(jq_get '.rate_limits.five_hour.used_percentage' '""')
RATE_5H_RESET=$(jq_get '.rate_limits.five_hour.resets_at' '""')
RATE_7D_USED=$(jq_get '.rate_limits.seven_day.used_percentage' '""')
RATE_7D_RESET=$(jq_get '.rate_limits.seven_day.resets_at' '""')

SESSION_TOKENS=$(( INPUT_TOKENS + OUTPUT_TOKENS ))

# ── ccusage cache (non-blocking) ──

CACHE_FILE="$CACHE_DIR/daily.json"
CACHE_LOCK="$CACHE_DIR/daily.lock"
CACHE_TTL=300
LOCK_TTL=60
now=$(date +%s)
cache_age=999999

if [[ -f "$CACHE_FILE" ]]; then
    cache_age=$(( now - $(get_mtime "$CACHE_FILE") ))
fi

if [[ -f "$CACHE_LOCK" ]]; then
    lock_age=$(( now - $(get_mtime "$CACHE_LOCK") ))
    (( lock_age > LOCK_TTL )) && rm -f "$CACHE_LOCK"
fi

if (( cache_age > CACHE_TTL )) && ! [[ -f "$CACHE_LOCK" ]]; then
    (
        touch "$CACHE_LOCK"
        npx ccusage@latest daily --json --since "$(date +%Y%m01)" \
            > "${CACHE_FILE}.tmp" 2>/dev/null \
            && mv "${CACHE_FILE}.tmp" "$CACHE_FILE"
        rm -f "$CACHE_LOCK"
    ) &
    disown
fi

# ── Read cached usage data ──

TODAY_COST="0"; TODAY_TOKENS="0"; MONTH_COST="0"; MONTH_TOKENS="0"

if [[ -f "$CACHE_FILE" ]]; then
    td=$(jq -r --arg d "$(date +%Y-%m-%d)" '.daily[]? | select(.date == $d)' "$CACHE_FILE" 2>/dev/null)
    if [[ -n "$td" ]]; then
        TODAY_COST=$(echo "$td" | jq -r '.totalCost // 0')
        TODAY_TOKENS=$(echo "$td" | jq -r '.totalTokens // 0')
    fi
    mt=$(jq -r '.totals // empty' "$CACHE_FILE" 2>/dev/null)
    if [[ -n "$mt" ]]; then
        MONTH_COST=$(echo "$mt" | jq -r '.totalCost // 0')
        MONTH_TOKENS=$(echo "$mt" | jq -r '.totalTokens // 0')
    fi
fi

# ── Git stats ──

IS_GIT_REPO=0
FILES_CHANGED=0
if git rev-parse --git-dir >/dev/null 2>&1; then
    IS_GIT_REPO=1
    unstaged=$(git diff --numstat 2>/dev/null | wc -l)
    staged=$(git diff --cached --numstat 2>/dev/null | wc -l)
    FILES_CHANGED=$(( unstaged + staged ))
    LINES_ADD=$(jq_get '.cost.total_lines_added' '0')
    LINES_DEL=$(jq_get '.cost.total_lines_removed' '0')
fi

# ── Output ──

W=32

row "$BLUE" "[${MODEL_NAME}]" \
    "$(printf "in: %-6s" "$(fmt_tokens "$INPUT_TOKENS")")" \
    "$(printf "out: %-6s" "$(fmt_tokens "$OUTPUT_TOKENS")")"

row "$MAGENTA" "$(fmt_rate "5h" "$RATE_5H_USED" "$RATE_5H_RESET")" \
    "$(fmt_rate "1w" "$RATE_7D_USED" "$RATE_7D_RESET")" \
    "ctx: $(printf "%.2f" "${CTX_USED:-0}")%"

row "$YELLOW" "$(printf "session: %s (%s)" "$(fmt_cost "$SESSION_COST")" "$(fmt_tokens "$SESSION_TOKENS")")" \
    "$(printf "today: %s (%s)" "$(fmt_cost "$TODAY_COST")" "$(fmt_tokens "$TODAY_TOKENS")")" \
    "$(printf "month: %s (%s)" "$(fmt_cost "$MONTH_COST")" "$(fmt_tokens "$MONTH_TOKENS")")"

if (( IS_GIT_REPO == 1 )); then
    row "$GREEN" "$(printf "%d files changed" "$FILES_CHANGED")" \
        "$(printf "+%d added" "$LINES_ADD")" \
        "$(printf -- "-%d removed" "$LINES_DEL")"
fi

"statusLine": {
    "type": "command",
    "command": "bash ~/.claude/statusline.sh"
},

把 DNS 服务变为一个聊天室

2025-10-27T09:47:54.000Z

在阮一峰周刊 369 期中这样一篇文章破解加拿大航空的飞机上网当时看了之后觉得很有意思，但没有额外作什么思考。过了两周的某一天早上在上班路上突然想到了这个文章，因为是上班路上有点无聊，所以就思考了一下这个问题: 如果在某一网络中，只有 DNS 协议的请求能成功，那么在这个网络中的人们能否自由彼此通信？

先说结论，肯定是可以的，只需要单建一个特殊的 DNS 服务器就可以了。

架构概览

┌──────────┐    DNS TXT Query     ┌──────────┐    DNS TXT Query     ┌──────────┐
│ Client A ├─────────────────────>│  Server  │<─────────────────────┤ Client B │
│          │<─────────────────────┤ (盲转发)  ├─────────────────────>│          │
└──────────┘    DNS TXT Reply     └──────────┘    DNS TXT Reply     └──────────┘
     │                                                                    │
     │              E2E Key = HMAC-SHA256("dnsay-key-v1", group)          │
     └───────────────────────────── 共享密钥 ──────────────────────────────┘

Client: 负责 E2E 加密/解密、DNS 编码、TUI 交互、昵称注册
Server: DNS 服务器，负责会话管理、消息中继、昵称去重，不接触加密密钥

密钥与路由分离

group 名同时用于路由和加密，但通过不同的 HMAC 路径派生，实现域分离

用途	派生方式	长度	可见性
路由 ID	`HMAC-SHA256("dnsay-route", group)[:8]`	8 字节	DNS 流量中可见 (base32 编码)
加密密钥	`HMAC-SHA256("dnsay-key-v1", group)`	32 字节	仅客户端持有，不传输

安全性: DNS 观察者只能看到路由 ID (8 字节哈希) ，无法反推 group 名，也无法推导加密密钥。

DNS 查询名格式 (QName)

所有通信通过 DNS TXT 查询实现。查询名 (qname) 的标签格式

<RouteID>.<SID>.<Dir>.<Seq-Total>.<QueryNonce>[.<Payload>...].

标签位置	内容	编码	说明
0	路由 ID	base32, 无 padding, 小写	8 字节 HMAC 哈希，用于会话匹配
1	会话 ID	base32, 无 padding, 小写	8 字节随机值，客户端启动时生成
2	方向	明文	`u`/`p`/`j`/`n`/`l`
3	序号-总数	明文	上传 `seq-total` (如 `0-3`) ，其他方向为 `0`
4	查询 Nonce	base32, 无 padding, 小写	12 字节随机值，防 DNS 缓存命中
5+	载荷	base32, 无 padding, 每 30 字符一个标签	仅 `u` 和 `j` 方向需要

重要: 载荷使用 base32 而非 base64。原因是 base64 的字母表包含 - 而 DNS 标签 不允许以 - 开头 RFC 1035

方向 (Dir) 说明

方向	含义	载荷	服务端响应
`u`	上传消息	E2E 密文分块	`ok` (已注册) / `unreg` (未注册)
`p`	轮询消息	无	base32 编码的多消息帧
`j`	注册昵称	base32(昵称字节)	`ok` (成功) / `dup` (重名) / `bad` (空昵称)
`l`	离开	无	`ok`

E2E 加密流程

加密 (发送方)

plaintext = nickname + '\x00' + message_text
    │
    ▼
msgNonce = random(12 bytes)
    │
    ▼
e2e_ct = AES-256-GCM.Encrypt(
    key   = HMAC-SHA256("dnsay-key-v1", group),         // 32 字节
    nonce = msgNonce,                                   // 12 字节
    data  = plaintext,
    aad   = group                                       // 原始 group 名作为附加认证数据
)
    │
    ▼
wire_data = msgNonce(12) || e2e_ct(len + 16)

解密 (接收方)

wire_data
    │
    ├─ msgNonce = wire_data[:12]
    ├─ e2e_ct   = wire_data[12:]
    │
    ▼
plaintext = AES-256-GCM.Decrypt(
    key   = HMAC-SHA256("dnsay-key-v1", group),
    nonce = msgNonce,
    data  = e2e_ct,
    aad   = group
)
    │
    ├─ nickname = plaintext[:null_byte_index]
    └─ message  = plaintext[null_byte_index+1:]

加密参数

参数	值
算法	AES-256-GCM
密钥长度	32 字节
Nonce 长度	12 字节 (随机)
Tag 长度	16 字节
AAD	group 名原始字节
每消息开销	28 字节 (12 nonce + 16 tag)

分块传输机制

发送方分块

E2E 密文按 80 字节 分块，每块作为独立 DNS 查询发送。每块重试最多 3 次:

wire_data (nonce || ciphertext || tag)
    │
    ▼ 按 80 字节切割
┌──────────┐ ┌──────────┐ ┌──────────┐
│ chunk 0  │ │ chunk 1  │ │ chunk 2  │  ...
│ (80B)    │ │ (80B)    │ │ (<=80B)  │
└────┬─────┘ └────┬─────┘ └────┬─────┘
     │            │            │
     ▼            ▼            ▼
  DNS Query    DNS Query    DNS Query
  seq=0-3      seq=1-3      seq=2-3
  (重试3次)     (重试3次)     (重试3次)

每个分块的 DNS 查询:

生成 12 字节随机 QueryNonce (仅防 DNS 缓存)
分块 base32 编码，每 30 字符一个 DNS 标签
组装 qname: RouteID.SID.u.seq-total.QueryNonce.payload_labels...
发送 DNS TXT 查询；失败则生成新 QueryNonce 重试 (最多 3 次)

服务端重组

按 (sid, total) 缓冲分块
seq == 0 时重置缓冲区 (处理前一条未完成的消息)
全部块到齐后按序拼接，广播完整 E2E 密文到组内其他会话

大小限制

参数	值
最大消息载荷	4096 字节
分块大小	80 字节
分块重试次数	3 次
DNS 标签段长	30 字符
DNS 标签上限	63 字符
DNS qname 上限	253 字符
TXT 单条字符串上限	200 字符 (base32)

Poll 响应帧格式

服务端返回多条消息时使用长度前缀帧格式:

┌─────────────────────────────────────────────────────────┐
│ 2B len │ E2E blob 1 │ 2B len │ E2E blob 2 │ ...         │
└─────────────────────────────────────────────────────────┘
                │                     │
                ▼                     ▼
          nonce (12 字节)       nonce (12 字节)
          ct + tag (N+16)      ct + tag (N+16)

长度前缀: 2 字节大端序 uint16 表示后续 E2E blob 长度
E2E blob: msgNonce(12) || AES-GCM-Ciphertext || Tag(16)
多条消息顺序拼接
空响应时返回空字符串 TXT 记录

响应大小限制

参数	值
每次 poll 最大消息数	10
每次 poll 最大字节数	4096
TXT 记录最大长度	200 字符 base32

DNS 传输

帧数据 → base32 编码 → 按 200 字符切分 → 每段作为一条 TXT 记录回复。

客户端: 拼接 TXT 记录 → base32 解码 → 解析帧 → 逐条 E2E 解密。

自适应轮询

         收到消息
           │
┌──────────▼──────────┐
│ interval = 250ms    │◀─── 立即回到快速轮询
│ (baseInterval)      │
└──────────┬──────────┘
           │ 无消息
           ▼
┌─────────────────────┐
│ interval *= 2       │
│ cap at 2s           │
│ (maxInterval)       │
└──────────┬──────────┘
           │ 无消息
           ▼
      继续倍增直到 2s

活跃聊天: 每 250ms 轮询一次
空闲时: 250ms → 500ms → 1s → 2s (封顶)
任意消息到达: 立即回到 250ms

昵称管理

注册流程

客户端启动时调用 RegisterName
客户端发送 j 方向请求带上昵称
服务端检查同组 (routeID) 下是否已存在该昵称:
- 不存在 → 在该 SID 上注册昵称，回复 ok
- 已存在 → 回复 dup
客户端收到 dup:
- 命令行未指定 --name (auto 模式): 自动重新生成，最多重试 10 次
- 命令行显式指定 --name: 直接退出，提示昵称冲突

离开流程

主动关闭 (ESC / Ctrl+C) : 客户端发送 l 方向请求，服务端立即删除会话和昵称
被动断开 (崩溃 / 断网)会话最后活跃时间停止更新，超过 --timeout (默认 300 秒) 后被 cleanup 删除，昵称随之释放

会话过期自动恢复

如果会话被服务端清理 (如长时间网络中断后恢复) ，客户端再次发送消息时:

服务端 touch 创建新 session (无昵称)
服务端回复 unreg 而不是 ok
客户端检测到 unreg，自动重新注册昵称

完整消息生命周期

 Client A (发送方)                   Server                    Client B (接收方)
──────────────────                 ────────                  ──────────────────
1. 用户输入 "你好"
2. 构建 payload:
   "飞翔的开拓者\x00你好"
3. E2E 加密:
   nonce(12) || AES-GCM(...)
4. 分块 (80B each)
5. 每块 → DNS TXT Query
   qname: RouteID.SID.u.0-1...
   (失败自动重试最多 3 次)
                                   6. 解析 qname (base32 解码)
                                   7. addChunk 重组
                                   8. broadcast → B.downq
                                   9. 回复 "ok"/"unreg"
                                                             10. Poll Query
                                                                 qname: RouteID.SID.p.0...
                                   11. popMessages
                                   12. 帧编码 + base32
                                   13. TXT 记录回复
                                                             14. base32 解码
                                                             15. 解析帧
                                                             16. E2E 解密
                                                             17. 解析 name\x00message
                                                             18. TUI 显示:
                                                                 "飞翔的开拓者: 你好"

服务端会话状态

每个 SID 对应一个 session

type session struct {
    grp    []byte       // 路由 ID (同组归属) 
    name   string       // 注册的昵称 (可能为空) 
    downq  [][]byte     // 待投递消息队列
    last   int64        // 最后活跃时间戳
    msgBuf *msgBuffer   // 多块上传重组缓冲
}

服务端职责

解析 DNS qname 提取路由 ID 和会话 ID
按路由 ID 匹配同组会话
重组分块消息
广播 E2E 密文到组内其他会话
注册和检查昵称唯一性
管理会话生命周期 (10 秒一次 cleanup，超时清理)
不持有任何加密密钥，不解密消息内容

全流程

服务端收到 DNS 查询
      │
      ├─ 有 Question? ──否──> 静默丢弃
      │             │
      │             |是
      │             │
      ├─ 查询类型 TXT? ──否──> TXT "ok"
      │             │
      │             |是
      │             │
      ├─ 解析域名标签 (parseQName)
      │   ├─ 标签数 ≥ 5? ──否──> TXT "ok"
      │   ├─ labels[0] = group routeID  (Base32)
      │   ├─ labels[1] = sid            (Base32)
      │   ├─ labels[2] = dir (u/p/j/l)
      │   ├─ labels[3] = "seq[-total]"
      │   ├─ labels[4] = query nonce    (DNS 去重，不使用)
      │   ├─ labels[5..] = payload      (Base32，可空)
      │   └─ 任一解码/解析失败? ──> TXT "ok"
      │
      ├─ 更新会话 touch(sid, grp)
      │   └─ 若不存在则创建会话；记录 grp 与 last 时间戳
      │       (注: 服务端不持有密钥，不解密任何 payload)
      │
      ├─ 按 dir 分发
      │   │
      │   ├─ dir = "u"  上行消息 (E2E 密文) 
      │   │   │
      │   │   ├─ total ≤ 1 (单包)
      │   │   │   └─ broadcast(grp, sid, payload)
      │   │   │       └─ 把密文塞进同组其他会话的 downq
      │   │   │
      │   │   ├─ total > 1 (分片)
      │   │   │   ├─ addChunk(sid, seq, total, payload)
      │   │   │   ├─ addChunk(sid, seq, total, payload)
      │   │   │   │   ├─ total 变化或 seq=0 ──> 重置缓冲
      │   │   │   │   └─ 收齐全部分片 ──> 拼接整包
      │   │   │   └─ 拼齐后 broadcast(grp, sid, full)
      │   │   │
      │   │   └─ 已注册昵称? ── 是 ──> TXT "ok"
      │   │                  └─ 否 ──> TXT "unreg"
      │   │
      │   ├─ dir = "p"  轮询拉取
      │   │   │
      │   │   ├─ popMessages(sid, maxPollCount=10, maxPollBytes=4096)
      │   │   │   └─ 取出 downq 内若干条，受条数与字节上限约束
      │   │   │
      │   │   ├─ 拼装帧:  [len_hi, len_lo, msg] × N      (无消息则空 buf)
      │   │   │
      │   │   └─ replyData
      │   │       ├─ buf 为空 ──> TXT ""
      │   │       └─ 否则 Base64URL → 按 maxTXTLength=200 切片
      │   │           └─ 多条 TXT "<片1>" "<片2>" ...
      │   │
      │   ├─ dir = "j"  加入群组 / 注册昵称
      │   │   │
      │   │   ├─ payload = 昵称
      │   │   ├─ 昵称为空? ──> TXT "bad"
      │   │   └─ register(sid, grp, name)
      │   │        ├─ 同组内已存在同名(他人)? ──> TXT "dup"
      │   │        └─ 否则写入 grp+name ──> TXT "ok"
      │   │
      │   ├─ dir = "l"  离开群组
      │   │   ├─ remove(sid)  删除会话
      │   │   └─ TXT "ok"
      │   │
      │   └─ dir = 其他 ──> TXT "noop"
      │
      └─ 发送 DNS 响应
         (replyText: 单条字符串；replyData: 长数据 Base64URL + 多 TXT 分片)

  并行: 周期性清理 (每 10s)
      └─ 移除 last 早于 timeout 的会话

最后就是实现

bob-zebedy/dnsay - GitHub

github.com

Hexo 使用通行密钥对文章加密

2025-10-08T07:19:49.000Z

Hexo 中主流使用 hexo-blog-encrypt 插件可以对文章进行加密。这种方法通过密码实现。相比更为简单的前端 JavaScript 密码比较验证，该方法的加密流程如下

Markdown 文章头部密码 → PBKDF2 派生密钥 → AES-256-CBC 加密原始内容 → 生成 HMAC 完整性校验 → 输出加密的 HTML

从而实现使用加密厚的内容替换原始内容，防止通过简单 JavaScript 手段直接跳过密码验证。同时解密过程则是

用户输入密码 → PBKDF2 派生密钥 → 验证 HMAC → AES-256-CBC 解密 → 获取原始 HTML 内容 → 渲染文章内容

这种方案的好处是简单易用，对于需要保密的文章内容，只需要在使用插件并在文章头部增加密码即可。但是作为一个会点技术的折腾党怎么满足于每次手动输入密码？看着现在各大网站推行的通行密钥，登录只需要触摸一下 TouchID 的快感确实是传统输入密码不能比拟的。所以就在国庆期间好好探索了一下其可行性，最终也是在静态博客中用上了一触即达的通行密钥。

整体思路

混合加密 (Hybrid Encryption)

Q: 为什么使用混合加密而不是直接用 FIDO2 密钥加密？
A: 支持多设备

Q: PRF Salt 必须保密吗？
A: 不需要 因为 PRF Salt 的作用是为了 跨域一致性

// 相同 FIDO2 设备 + 相同 Salt → 相同密钥
wrappingKey = FIDO2_PRF(hardware_key, prfSalt)
                             ↑           ↑
                           保密的       公开的

PRF Salt = 盐值（公开）
Hardware Key = 密码（保密）

即使知道 Salt，硬件密钥一般仅存在 FIDO2 设备中无法导出，因此没有硬件密钥仍然无法派生出 wrappingKey

Q: 下载了我的博客 HTML，能破解吗？
A: 不能，原因如下

从 HTML 可以获得:
 1. 加密的文章内容 (ciphertext)
 2. 初始化向量 (iv, authTag)
 3. 包装后的 CEK (wrappedKeys)
 4. PRF Salt

不能获得：
  包装密钥 (wrappingKey)
     └─ 使用 AES-256-GCM 加密，安全性目前尚可

测试页面

测试加密文章

密码: 123456

食用指南

注意: 以下代码只针对 NexT 主题修改，如果使用的不是 NexT 主题则需要自行根据需要针对性修改

站点配置

站点 _config.yml

encryption:
  enabled: true   # 启用加密
  # ---------------------------------------------------------------
  # 解密后缓存时长 (分钟)
  # 默认 0 表示不缓存，即每次刷新页面后都需要重新认证
  # ---------------------------------------------------------------
  cache: 10
  # ---------------------------------------------------------------
  # 64 位盐值
  # 可通过 openssl rand -hex 32 生成
  # 修改后需要重新注册 FIDO2 设备
  # ---------------------------------------------------------------
  salt: ""
  # ---------------------------------------------------------------   
  # FIDO2 设备注册后生成的 key (切勿泄露!!) 
  # 如果注册多个 key 则在下方依次添加即可
  # 每添加一个新 key 需要重新 generate 并部署才能生效
  # ---------------------------------------------------------------
  keys:
    - ""
    - ""

注册 FIDO2 流程

./source/register.html (新增)

注意: 注册页面中需要填写 站点 _config.yml 中使用的 salt

./source/register.html

html>
<html lang="zh-CN">
  <head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>注册通行密钥title>
    <link
      rel="stylesheet"
      href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/6.0.0/css/all.min.css"
    />
    <style>
      * {
        margin: 0;
        padding: 0;
        box-sizing: border-box;
      }

      body {
        font-family: -apple-system, "PingFang SC", "Microsoft YaHei", "sans-serif";
        background: white;
        min-height: 100vh;
        display: flex;
        align-items: flex-start;
        justify-content: center;
        padding: 60px 20px 20px;
      }

      .container {
        border-radius: 16px;
        max-width: 650px;
        width: 100%;
        padding: 40px;
      }

      h1 {
        color: #333;
        margin-bottom: 10px;
        font-size: 28px;
        text-align: center;
      }

      .subtitle {
        color: #666;
        text-align: center;
        margin-bottom: 30px;
        font-size: 14px;
      }

      .register-btn {
        width: 100%;
        padding: 15px;
        background: #059669;
        color: white;
        border: none;
        border-radius: 8px;
        font-size: 16px;
        font-weight: 600;
        cursor: pointer;
        transition: all 0.3s;
      }

      .register-btn:hover:not(:disabled) {
        background: #047857;
      }

      .register-btn:disabled {
        opacity: 0.5;
        cursor: not-allowed;
        background: #9ca3af;
      }

      .register-btn i {
        margin-right: 10px;
      }

      #status {
        margin-top: 20px;
        display: none;
      }

      .note {
        padding: 15px;
        border-radius: 8px;
        margin-top: 15px;
      }

      .note.success {
        background: #d4edda;
        border: 1px solid #c3e6cb;
        color: #155724;
      }

      .note.danger {
        background: #f8d7da;
        border: 1px solid #f5c6cb;
        color: #721c24;
      }

      .note.info {
        background: #d1ecf1;
        border: 1px solid #bee5eb;
        color: #0c5460;
      }

      .note code {
        display: block;
        background: #f5f5f5;
        padding: 15px;
        border-radius: 4px;
        font-size: 12px;
        font-family: "Monaco", "Courier New", monospace;
        user-select: all;
        word-break: break-all;
        margin: 10px auto;
        text-align: center;
      }

      .copy-btn {
        display: block;
        padding: 8px 16px;
        background: #0284c7;
        color: white;
        border: none;
        border-radius: 4px;
        cursor: pointer;
        font-size: 14px;
        margin: 10px auto 0;
      }

      .copy-btn:hover {
        background: #0369a1;
      }

      .copy-btn i {
        margin-right: 5px;
      }

      .salt-container {
        margin-bottom: 20px;
      }

      .salt-container label {
        display: block;
        margin-bottom: 8px;
        color: #666;
        font-size: 14px;
      }

      .salt-container input {
        width: 100%;
        padding: 10px;
        border: 1px solid #ddd;
        border-radius: 4px;
        font-size: 13px;
        font-family: monospace;
      }
    style>
  head>
  <body>
    <div class="container">
      <h1>注册通行密钥h1>
      <p class="subtitle">
        使用 YubiKey、Touch ID 或其他 FIDO2 设备保护加密内容
      p>

      <div class="salt-container">
        <label for="prf-salt-input"
          >PRF Salt <span style="color: #ef4444">*span>
        >
        <input type="text" id="prf-salt-input" placeholder="" required />
      div>

      <button class="register-btn" id="register-btn" disabled>
        <i class="fa fa-key">i> 开始注册
      button>

      <div id="status">div>
    div>

    <script>
      function getRPID() {
        const hostname = location.hostname;
        return hostname === "127.0.0.1" ? "localhost" : hostname;
      }

      class FIDO2Registrar {
        constructor() {
          this.btn = document.getElementById("register-btn");
          this.saltInput = document.getElementById("prf-salt-input");

          this.btn.onclick = () => this.register();
          this.saltInput.addEventListener("input", () => this.validateInput());
          this.validateInput();
        }

        validateInput() {
          const isValid = this.saltInput.value.trim().length > 0;
          this.btn.disabled = !isValid;
        }

        async register() {
          this.btn.disabled = true;

          if (!window.PublicKeyCredential) {
            this.show(
              '浏览器不支持 FIDO2/WebAuthn
'
            );
            this.btn.disabled = false;
            return;
          }

          this.show('正在注册通行密钥...
');

          try {
            const userId = crypto.getRandomValues(new Uint8Array(32));
            const challenge = crypto.getRandomValues(new Uint8Array(32));

            const cred = await navigator.credentials.create({
              publicKey: {
                challenge,
                rp: {
                  name: "Undefined Blog",
                  id: getRPID(),
                },
                user: {
                  id: userId,
                  name: "Zabrian",
                  displayName: "Zabrian",
                },
                pubKeyCredParams: [
                  { alg: -7, type: "public-key" },
                  { alg: -257, type: "public-key" },
                ],
                authenticatorSelection: {
                  residentKey: "required",
                  userVerification: "preferred",
                  requireResidentKey: true,
                },
                timeout: 60000,
                extensions: {
                  prf: {},
                },
              },
            });

            if (!cred) throw new Error("生成凭证失败");

            const prfEnabled = cred.getClientExtensionResults().prf?.enabled;
            if (!prfEnabled) {
              this.show('PRF 扩展不可用
');
              this.btn.disabled = false;
              return;
            }

            await this.generateEncryptionKey();

            this.btn.style.display = "none";
          } catch (e) {
            let msg = "注册失败: ";
            if (e.name === "NotAllowedError") msg += "操作取消";
            else if (e.name === "InvalidStateError") msg += "重复注册";
            else msg += e.message;

            this.show(`${msg}
`);
          } finally {
            this.btn.disabled = false;
          }
        }

        async generateEncryptionKey() {
          try {
            const prfSaltString = this.saltInput.value.trim();

            this.show(
              '正在生成加密密钥...
'
            );

            const challenge = crypto.getRandomValues(new Uint8Array(32));
            const prfSalt = await crypto.subtle.digest(
              "SHA-256",
              new TextEncoder().encode(prfSaltString)
            );

            const assertion = await navigator.credentials.get({
              publicKey: {
                challenge,
                rpId: getRPID(),
                userVerification: "preferred",
                timeout: 60000,
                extensions: {
                  prf: {
                    eval: { first: prfSalt },
                  },
                },
              },
            });

            const prfKey =
              assertion.getClientExtensionResults().prf?.results?.first;
            if (!prfKey) throw new Error("无法获取 PRF 密钥");

            const encryptionKey = new Uint8Array(prfKey);
            const encryptionKeyHex = Array.from(encryptionKey)
              .map((b) => b.toString(16).padStart(2, "0"))
              .join("");

            this.show(`
              
                
                  ${encryptionKeyHex}
                  
                
              
`);
          } catch (e) {
            this.show(
              `生成密钥失败: ${e.message}
`
            );
          }
        }

        show(html) {
          document.getElementById("status").innerHTML = html;
          document.getElementById("status").style.display = "block";
        }
      }

      function copyEncryptionKey(event) {
        const key = document.getElementById("encryption-key").textContent;
        navigator.clipboard.writeText(key).then(() => {
          const btn = event.target.closest("button");
          const originalText = btn.innerHTML;
          btn.innerHTML = ' 已复制';
          setTimeout(() => {
            btn.innerHTML = originalText;
          }, 2000);
        });
      }

      document.addEventListener("DOMContentLoaded", () => new FIDO2Registrar());
    script>
  body>
html>

加密流程

./scripts/post-encrypt.js (新增)

./scripts/post-encrypt.js

const crypto = require("crypto");

const PBKDF2_ITERATIONS = 10000;

function encrypt(text, masterKey) {
  const iv = crypto.randomBytes(12);
  const keyBuffer = Buffer.from(masterKey, "hex");
  const cipher = crypto.createCipheriv("aes-256-gcm", keyBuffer, iv);

  let encrypted = cipher.update(text, "utf8", "base64");
  encrypted += cipher.final("base64");

  return {
    ciphertext: encrypted,
    iv: iv.toString("base64"),
    authTag: cipher.getAuthTag().toString("base64"),
  };
}

function encryptCEK(cek, wrapKey) {
  const iv = crypto.randomBytes(12);
  const keyBuffer = Buffer.from(wrapKey, "hex");
  const cipher = crypto.createCipheriv("aes-256-gcm", keyBuffer, iv);

  let encrypted = cipher.update(cek);
  encrypted = Buffer.concat([encrypted, cipher.final()]);

  return {
    type: "fido2",
    encryptedCEK: encrypted.toString("base64"),
    iv: iv.toString("base64"),
    authTag: cipher.getAuthTag().toString("base64"),
  };
}

function derivePBKDF2Key(password, salt, iterations) {
  return crypto.pbkdf2Sync(
    Buffer.from(password, "utf8"),
    Buffer.from(salt, "utf8"),
    iterations,
    32,
    "sha256"
  );
}

function encryptCEKWithPassword(cek, password, salt, iterations) {
  const wrapKey = derivePBKDF2Key(password, salt, iterations);
  const iv = crypto.randomBytes(12);
  const cipher = crypto.createCipheriv("aes-256-gcm", wrapKey, iv);

  let encrypted = cipher.update(cek);
  encrypted = Buffer.concat([encrypted, cipher.final()]);

  return {
    type: "password",
    encryptedCEK: encrypted.toString("base64"),
    iv: iv.toString("base64"),
    authTag: cipher.getAuthTag().toString("base64"),
    salt: salt,
  };
}

function genTemplate(abbrlink, encData, wrappedKeys, prfSalt, cache, passwordHint) {
  const wrappedKeysJson = JSON.stringify(wrappedKeys).replace(/"/g, """);
  const hasFido2 = wrappedKeys.some((k) => k.type === "fido2");
  const hasPassword = wrappedKeys.some((k) => k.type === "password");

  const fido2Html = hasFido2
    ? ``
    : "";

  const passwordHtml = hasPassword
    ? `
        
        
          
          
        
      
`
    : "";

  return `
    data-ciphertext="${encData.ciphertext}"
    data-iv="${encData.iv}"
    data-auth-tag="${encData.authTag}"
    data-abbrlink="${abbrlink || ""}"
    data-wrapped-keys='${wrappedKeysJson}'
    data-prf-salt="${prfSalt}"
    data-cache="${cache || 0}"
    data-password-hint="${passwordHint || ""}">
  
    ${fido2Html}${passwordHtml}
    
  
  
`.trim();
}

function getKeys(cfg) {
  return Array.isArray(cfg.keys) ? cfg.keys : cfg.key ? [cfg.key] : [];
}

function validateConfig(cfg) {
  if (!cfg?.enabled) {
    hexo.log.warn("加密功能未启用");
    return false;
  }

  if (!cfg.salt || !/^[a-fA-F0-9]{64}$/.test(cfg.salt)) {
    hexo.log.error("PRF Salt 配置无效");
    return false;
  }

  const keys = getKeys(cfg);
  if (keys.length === 0) {
    hexo.log.error("请先注册 FIDO2 通行密钥");
    return false;
  }

  for (const key of keys) {
    if (!/^[a-fA-F0-9]{64}$/.test(key)) {
      hexo.log.error(`密钥格式无效: ${key}`);
      return false;
    }
  }
  return true;
}

hexo.extend.filter.register(
  "after_post_render",
  function (data) {
    if (!data.encrypted) return data;

    const cfg = hexo.config.encryption;
    if (!validateConfig(cfg)) return data;

    try {
      const cek = crypto.randomBytes(32);
      const encData = encrypt(data.content, cek.toString("hex"));
      const wrappedKeys = getKeys(cfg).map((key) => encryptCEK(cek, key));

      if (data.password) {
        wrappedKeys.push(
          encryptCEKWithPassword(
            cek,
            String(data.password),
            String(cfg.salt),
            PBKDF2_ITERATIONS
          )
        );
      }

      data.content = genTemplate(
        data.abbrlink,
        encData,
        wrappedKeys,
        cfg.salt,
        cfg.cache,
        data.hint
      );
      hexo.log.info(`Encrypted: ${data.title}`);
    } catch (err) {
      hexo.log.error(`Encrypted: ${data.title} ${err}`);
    }
    return data;
  },
  15
);

解密流程

./source/js/decrypt.js (新增)
./source/_data/styles.styl (新增)

./source/js/decrypt.js
./source/_data/styles.styl

const PBKDF2_ITERATIONS = 500000;

function getRPID() {
  const hostname = location.hostname;
  return hostname === "127.0.0.1" ? "localhost" : hostname;
}

class Decryptor {
  constructor() {
    this.container = null;
    this.data = null;
    this.rpId = getRPID();
  }

  init() {
    this.container = document.querySelector(".encrypted-post-container");
    if (!this.container) return;

    this.data = {
      ciphertext: this.container.dataset.ciphertext,
      iv: this.container.dataset.iv,
      authTag: this.container.dataset.authTag,
      abbrlink: this.container.dataset.abbrlink,
      wrappedKeys: JSON.parse(this.container.dataset.wrappedKeys || "[]"),
      prfSalt: this.container.dataset.prfSalt,
      cache: parseInt(this.container.dataset.cache) || 0,
      passwordHint: this.container.dataset.passwordHint || "",
    };

    if (this.checkCache()) return;

    const fido2Btn = document.getElementById("fido2-verify-btn");
    if (fido2Btn) {
      if (!window.PublicKeyCredential) {
        this.showStatus("浏览器不支持 FIDO2/WebAuthn", "error");
      } else {
        fido2Btn.onclick = () => this.authenticate();
      }
    }

    const showPasswordBtn = document.getElementById("show-password-btn");
    if (showPasswordBtn) {
      showPasswordBtn.onclick = () => this.showPasswordInput();
    }

    const passwordBtn = document.getElementById("password-decrypt-btn");
    if (passwordBtn) {
      passwordBtn.onclick = () => this.decryptWithPassword();
    }

    const passwordInput = document.getElementById("password-input");
    if (passwordInput) {
      passwordInput.addEventListener("keydown", (e) => {
        if (e.key === "Enter") this.decryptWithPassword();
      });
    }
  }

  getCacheKey() {
    return this.data.abbrlink;
  }

  showPasswordInput() {
    const showBtn = document.getElementById("show-password-btn");
    const inputGroup = document.getElementById("password-input-group");
    const passwordInput = document.getElementById("password-input");

    if (showBtn) showBtn.style.display = "none";
    if (inputGroup) inputGroup.style.display = "flex";
    if (this.data.passwordHint) this.showPasswordHint();

    if (passwordInput) {
      passwordInput.focus();
      passwordInput.addEventListener("input", () =>
        this.updatePasswordButtonState()
      );
    }
    this.updatePasswordButtonState();
  }

  showPasswordHint() {
    const inputGroup = document.getElementById("password-input-group");
    if (!inputGroup) return;

    let hintElement = inputGroup.querySelector(".password-hint");
    if (!hintElement) {
      hintElement = document.createElement("div");
      hintElement.className = "password-hint";
      inputGroup.appendChild(hintElement);
    }
    hintElement.textContent = this.data.passwordHint;
  }

  updatePasswordButtonState() {
    const passwordInput = document.getElementById("password-input");
    const passwordBtn = document.getElementById("password-decrypt-btn");

    if (!passwordInput || !passwordBtn) return;

    const hasPassword = passwordInput.value.trim().length > 0;
    passwordBtn.disabled = !hasPassword;
    passwordBtn.style.opacity = hasPassword ? "1" : "0.5";
    passwordBtn.style.cursor = hasPassword ? "pointer" : "not-allowed";
  }

  checkCache() {
    if (!this.data.cache) return false;

    try {
      const cached = localStorage.getItem(this.getCacheKey());
      if (!cached) return false;

      const { html, expired } = JSON.parse(cached);
      if (Date.now() < expired) {
        this.render(html);
        setTimeout(() => this.hideStatus(), 2000);
        return true;
      }
      localStorage.removeItem(this.getCacheKey());
      return false;
    } catch (_) {
      return false;
    }
  }

  saveCache(html) {
    if (!this.data.cache) return;

    try {
      const expired = Date.now() + this.data.cache * 60 * 1000;
      localStorage.setItem(
        this.getCacheKey(),
        JSON.stringify({ html, expired })
      );
    } catch (_) {}
  }

  async authenticate() {
    this.showStatus("正在验证身份...", "info");

    try {
      const challenge = crypto.getRandomValues(new Uint8Array(32));

      const prfSalt = await crypto.subtle.digest(
        "SHA-256",
        new TextEncoder().encode(this.data.prfSalt)
      );

      const assertion = await navigator.credentials.get({
        publicKey: {
          challenge,
          rpId: this.rpId,
          userVerification: "preferred",
          timeout: 60000,
          extensions: { prf: { eval: { first: prfSalt } } },
        },
      });

      const prfResults = assertion.getClientExtensionResults().prf;
      if (!prfResults?.results?.first) throw new Error("PRF 扩展不可用");

      const wrappingKey = prfResults.results.first;

      this.showStatus("验证成功，正在解密...", "success");
      setTimeout(() => this.unwrapAndDecrypt(wrappingKey), 300);
    } catch (e) {
      if (e.name === "NotAllowedError") {
        this.showStatus("验证被拒绝", "error");
      } else if (e.name === "InvalidStateError" || e.name === "NotFoundError") {
        this.showStatus("未注册的通行密钥", "error");
      } else {
        this.showStatus(`验证失败: ${e.message}`, "error");
      }
    }
  }

  async derivePBKDF2Key(password, salt, iterations = PBKDF2_ITERATIONS) {
    const passwordBuffer = new TextEncoder().encode(password);
    const saltBuffer = new TextEncoder().encode(salt);

    const baseKey = await crypto.subtle.importKey(
      "raw",
      passwordBuffer,
      "PBKDF2",
      false,
      ["deriveBits"]
    );

    const derivedBits = await crypto.subtle.deriveBits(
      {
        name: "PBKDF2",
        salt: saltBuffer,
        iterations: iterations,
        hash: "SHA-256",
      },
      baseKey,
      256
    );

    return derivedBits;
  }

  async decryptWithPassword() {
    const passwordInput = document.getElementById("password-input");
    const password = passwordInput?.value.trim();

    if (!password) {
      this.showStatus("未输入密码", "error");
      return;
    }

    this.showStatus("正在解密...", "info");

    try {
      const passwordWrapped = this.data.wrappedKeys.find(
        (k) => k.type === "password"
      );
      if (!passwordWrapped) throw new Error("不支持密码认证");

      const wrappingKey = await this.derivePBKDF2Key(
        password,
        passwordWrapped.salt
      );
      await this.unwrapAndDecrypt(wrappingKey, "password");
    } catch (e) {
      this.showStatus(`解密失败: ${e.message}`, "error");
    }
  }

  combineWithAuthTag(data, authTag) {
    const combined = new Uint8Array(data.byteLength + authTag.byteLength);
    combined.set(new Uint8Array(data), 0);
    combined.set(new Uint8Array(authTag), data.byteLength);
    return combined;
  }

  async unwrapAndDecrypt(wrappingKey, type = "fido2") {
    try {
      const wrapKeyBuffer = await crypto.subtle.importKey(
        "raw",
        wrappingKey,
        { name: "AES-GCM" },
        false,
        ["decrypt"]
      );
      const targetKeys = this.data.wrappedKeys.filter((k) => k.type === type);

      let cek = null;
      for (const wrapped of targetKeys) {
        try {
          const encCEK = this.b64ToAB(wrapped.encryptedCEK);
          const wrapIV = this.b64ToAB(wrapped.iv);
          const wrapAuthTag = this.b64ToAB(wrapped.authTag);
          const wrappedCEK = this.combineWithAuthTag(encCEK, wrapAuthTag);

          cek = await crypto.subtle.decrypt(
            { name: "AES-GCM", iv: wrapIV, tagLength: 128 },
            wrapKeyBuffer,
            wrappedCEK
          );
          break;
        } catch (_) {}
      }

      if (!cek)
        throw new Error(type === "password" ? "密码错误" : "通行密钥无权限");
      await this.decryptContent(cek);
    } catch (e) {
      this.showStatus(`解密失败: ${e.message}`, "error");
    }
  }

  async decryptContent(decryptionKey) {
    try {
      this.showStatus("正在解密...", "info");

      const ciphertext = this.b64ToAB(this.data.ciphertext);
      const iv = this.b64ToAB(this.data.iv);
      const authTag = this.b64ToAB(this.data.authTag);
      const encData = this.combineWithAuthTag(ciphertext, authTag);

      const key = await crypto.subtle.importKey(
        "raw",
        decryptionKey,
        { name: "AES-GCM" },
        false,
        ["decrypt"]
      );
      const decrypted = await crypto.subtle.decrypt(
        { name: "AES-GCM", iv, tagLength: 128 },
        key,
        encData
      );

      const html = new TextDecoder().decode(decrypted);
      this.saveCache(html);
      this.render(html);
      setTimeout(() => this.hideStatus(), 2000);
    } catch (e) {
      this.showStatus(`解密失败: ${e.message}`, "error");
    }
  }

  executeScripts(container) {
    const scripts = container.querySelectorAll("script");
    scripts.forEach((oldScript) => {
      const newScript = document.createElement("script");
      Array.from(oldScript.attributes).forEach((attr) => {
        newScript.setAttribute(attr.name, attr.value);
      });
      newScript.textContent = oldScript.textContent;
      oldScript.parentNode.replaceChild(newScript, oldScript);
    });
  }

  render(html) {
    const content = document.getElementById("decrypted-content");
    const notice = document.querySelector(".encrypted-post-notice");
    if (!content || !notice) return;

    notice.style.display = "none";
    content.innerHTML = html;
    this.executeScripts(content);
    content.style.display = "block";

    this.updateLockIconState(true);
    this.renderRefresh();
  }

  updateLockIconState(isDecrypted) {
    const abbr = this.getCacheKey?.() || this.data?.abbrlink;
    if (!abbr) return;

    const lockIcon = document.getElementById(`lock-icon-${abbr}`);
    if (!lockIcon) return;

    if (isDecrypted) {
      lockIcon.classList.add("decrypted");
      lockIcon.classList.remove("fa-lock");
      lockIcon.classList.add("fa-unlock");
      lockIcon.style.cursor = "pointer";
      lockIcon.addEventListener(
        "click",
        () => {
          try {
            localStorage.removeItem(abbr);
          } catch (_) {}
          location.reload();
        },
        { once: true }
      );
    } else {
      lockIcon.classList.remove("decrypted");
      lockIcon.classList.remove("fa-unlock");
      lockIcon.classList.add("fa-lock");
      lockIcon.style.cursor = "";
    }
  }

  showStatus(msg, type = "info") {
    const el = document.getElementById("verification-status");
    if (!el) return;
    const icons = {
      info: "fa-info-circle",
      success: "fa-check-circle",
      error: "fa-times-circle",
    };
    el.style.display = "block";
    el.className = `verification-status ${type}`;
    el.innerHTML = `${icons[type]}"> ${msg}`;
  }

  hideStatus() {
    const el = document.getElementById("verification-status");
    if (el) el.style.display = "none";
  }

  rebuildTOC() {
    try {
      const content = document.getElementById("decrypted-content");
      const tocWrap = document.querySelector(".post-toc-wrap");
      const sidebar = document.querySelector(".sidebar-inner");
      const utils = window.NexT?.utils;
      if (!content || !tocWrap) return;

      const headings = content.querySelectorAll("h1,h2,h3,h4,h5,h6");
      const ensureToc = () =>
        tocWrap.querySelector(".post-toc") ||
        (() => {
          const el = document.createElement("div");
          el.className = "post-toc animated";
          tocWrap.appendChild(el);
          return el;
        })();

      if (!headings.length) {
        const exist = tocWrap.querySelector(".post-toc");
        if (exist) exist.innerHTML = "";
        sidebar?.classList.remove("sidebar-nav-active", "sidebar-toc-active");
        sidebar?.classList.add("sidebar-overview-active");
        utils?.registerSidebarTOC?.();
        return;
      }

      const { roots } = Array.from(headings).reduce(
        (acc, h, i) => {
          if (!h.id) h.id = `heading-${i}`;
          const level = parseInt(h.tagName[1], 10);
          const node = {
            level,
            id: h.id,
            text: h.textContent.trim(),
            children: [],
          };
          while (acc.stack.length && acc.stack.at(-1).level >= level)
            acc.stack.pop();
          (acc.stack.length ? acc.stack.at(-1).children : acc.roots).push(node);
          acc.stack.push(node);
          return acc;
        },
        { roots: [], stack: [] }
      );

      const render = (nodes, depth = 1) =>
        nodes
          .map((n) => {
            const link = `${n.id}">${n.text}`;
            const kids = n.children.length
              ? `${render(n.children, depth + 1)}
`
              : "";
            return `${depth}">${link}${kids}
`;
          })
          .join("");

      const toc = ensureToc();
      toc.innerHTML = `${render(roots)}
`;

      sidebar?.classList.add("sidebar-nav-active", "sidebar-toc-active");
      sidebar?.classList.remove("sidebar-overview-active");
      utils?.registerSidebarTOC?.();
    } catch (e) {
      console.error(`TOC 重建失败: ${e.message}`);
    }
  }

  triggerPageLoadedEvent() {
    document.dispatchEvent(
      new Event('page:loaded', {
        bubbles: true
      })
    );
  }

  renderRefresh() {
    this.rebuildTOC();
    NexT?.boot?.refresh?.();
    this.triggerPageLoadedEvent();
  }

  b64ToAB(b64) {
    const str = atob(b64);
    const bytes = new Uint8Array(str.length);
    for (let i = 0; i < str.length; i++) bytes[i] = str.charCodeAt(i);
    return bytes.buffer;
  }
}

const decryptor = new Decryptor();
document.addEventListener("DOMContentLoaded", () => {
  if (document.querySelector(".encrypted-post-container")) decryptor.init();
});

.encrypted-post-container
  min-height: 100px

.encrypted-post-notice
  text-align: center
  padding: 40px 20px
  background: transparent
  border-radius: 12px
  margin: 20px 0

.decrypt-methods
  display: flex
  flex-direction: column
  align-items: center
  gap: 15px
  max-width: 280px
  margin: 0 auto

.decrypt-btn
  width: 100%
  background: #3b8fc7
  color: white
  border: none
  padding: 15px 40px
  font-size: 16px
  border-radius: 30px
  cursor: pointer
  transition: all .3s ease
  box-shadow: 0 4px 15px rgba(59,143,199,.4)
  text-align: center

.decrypt-btn:hover
  transform: translateY(-2px)
  box-shadow: 0 6px 20px rgba(59,143,199,.6)

.decrypt-btn:active
  transform: translateY(0)

.decrypt-btn:disabled
  opacity: 0.5
  cursor: not-allowed
  transform: none

.decrypt-btn:disabled:hover
  transform: none
  box-shadow: 0 4px 15px rgba(59,143,199,.4)

.decrypt-btn i
  margin-right: 8px

.password-decrypt-group
  width: 100%
  display: flex
  flex-direction: column
  gap: 10px

.password-input-group
  width: 100%
  display: flex
  flex-direction: column
  gap: 10px
  animation: fadeIn .3s ease-in

.password-input
  width: 100%
  padding: 12px 20px
  font-size: 15px
  border: 2px solid #e0e0e0
  border-radius: 25px
  outline: none
  transition: border-color .3s ease
  box-sizing: border-box

.password-input:focus
  border-color: #3b8fc7

.password-hint
  font-size: 13px
  color: #666
  text-align: center
  margin-top: 8px
  padding: 8px 12px
  background: #f8f9fa
  border-radius: 6px
  border: 1px solid #e9ecef

.verification-status
  margin-top: 20px
  padding: 12px 20px
  border-radius: 8px
  font-size: 14px
  display: none
  max-width: 300px
  margin-left: auto
  margin-right: auto

.verification-status.info
  background: #e7f3ff
  color: #0066cc
  border: 1px solid #b3d9ff

.verification-status.success
  background: #e6f9e6
  color: #00aa00
  border: 1px solid #b3e6b3

.verification-status.error
  background: #ffe6e6
  color: #cc0000
  border: 1px solid #ffb3b3

.verification-status i
  margin-right: 8px

.decrypted-content
  animation: fadeIn .5s ease-in

@keyframes fadeIn
  from
    opacity: 0
    transform: translateY(10px)
  to
    opacity: 1
    transform: translateY(0)

.encrypted-post-preview
  padding: 20px
  background: #f8f9fa
  border-radius: 4px
  color: #666

.encrypted-status
  display: flex
  align-items: center
  justify-content: center
  gap: 8px
  font-size: 15px
  color: #888

.encrypted-status i
  color: #667eea
  font-size: 16px

.encrypted-decrypted-preview
  animation: fadeIn .5s ease-in
  line-height: 1.8
  color: #333

.encrypted-lock-icon-index
  color: #e74c3c
  margin-right: 8px
  font-size: 18px
  vertical-align: baseline
  position: relative
  top: -1px
  transition: color 0.3s ease

.encrypted-lock-icon-index.decrypted
  color: #27ae60

.encrypted-lock-icon-small
  color: #e74c3c
  margin-right: 6px
  font-size: 10px
  vertical-align: baseline
  position: relative
  top: -1px

.encrypted-lock-icon-small.decrypted
    color: #27ae60

@media (prefers-color-scheme: dark)
  .encrypted-post-notice
    background: transparent

  .password-input
    background: #374151
    color: #f3f4f6
    border-color: #4b5563

  .password-input:focus
    border-color: #3b8fc7

  .encrypted-post-preview
    background: #2d3748
    color: #a0aec0
  
  .encrypted-status
    color: #9ca3af
  
  .encrypted-status i
    color: #9fa8da
  
  .encrypted-decrypted-preview
    color: #e5e7eb
  
  .encrypted-lock-icon-index
    color: #ff6b6b
  
  .encrypted-lock-icon-index.decrypted
    color: #2ecc71

  .encrypted-lock-icon-small
    color: #ff6b6b

  .encrypted-lock-icon-small.decrypted
    color: #2ecc71

  .password-hint
    background: #374151
    color: #d1d5db
    border-color: #4b5563

使用方法

encrypted: 可选
- true 加密该文章
- false 不加密该文章
password: 可选
hint: 可选

encrypted 控制文章是否加密，使用已注册的安全密钥可以解密所有加密文章。
password 增加密码解密的选项，可以每个文章不同。安全密钥或者密码使用其一均可以解密。
hint 仅当设置了密码有效，在密码输入框下展示密码提示。

一个典型的文章 Markdown 头内容如下

---
title: 文章标题
abbrlink:  12345678
encrypted: true
password: 123456
hint: 密码提示内容
---

七零八碎

修补 head-unique.njk

因为使用 generate 生成文章 HTML 的时候会生成一些 meta 标签数据，其中会包括 description 信息，如果文章头部没有 description 字段则会使用正文的部分内容作为 meta.description 这样会导致文章部分内容泄露到 HTML 中，所以这里修补一下这里的逻辑，如果是加密文章则不生成 meta 标签

./themes/next/layout/_partials/head/head-unique.njk (修改)

./themes/next/layout/_partials/head/head-unique.njk

{# 判断文章是否是是加密的，如果不是则生成对应的 meta 标签 #}
{%- if not page.encrypted %}
  {{ open_graph() }}
{%- endif %}

{# https://github.com/theme-next/hexo-theme-next/issues/866 #}
{%- set canonical = url | replace(r/index\.html$/, '') %}
{%- if not config.permalink.endsWith('.html') %}
  {%- set canonical = canonical | replace(r/\.html$/, '') %}
{%- endif %}
<link rel="canonical" href="{{ canonical }}">

{# Exports some front-matter variables to Front-End #}
{# https://hexo.io/docs/variables.html #}
{{ next_data('page', next_config_unique()) }}

{{ next_data('calendar',
  theme.calendar if page.type === 'schedule' else '')
}}

修补 post.njk

加密后的文章在首页预览的时候会显示 文章已加密 的提示字样。同时如果文章已经解密，则正常展示预览部分 (即之前的内容)

同时在首页文章标题前面增加一把锁图标，未解密时是红色锁定图标，已解密变为绿色开锁图标

并且，在文章内标题前方也增加所得图标。同时点击解密后的绿色开锁图标文章会立刻变为加密状态。

./themes/next/layout/_macro/post.njk (修改)

./themes/next/layout/_macro/post.njk

{# POST BLOCK 部分的修改 #}
{##################}
{### POST BLOCK ###}
{##################}

{%- if post.header !== false %}
<header class="post-header">
  <{% if is_index %}h2{% else %}h1{% endif %} class="post-title{% if post.direction and post.direction.toLowerCase() === 'rtl' %} rtl{% endif %}" itemprop="name headline">
    {# Link posts #}
    {%- if post.link %}
      {%- if post.sticky > 0 %}
        <span class="post-sticky-flag" title="{{ __('post.sticky') }}">
          <i class="fa fa-thumbtack">i>
        span>
      {%- endif %}
      {%- set postTitleIcon = '' %}
      {%- set postText = post.title or post.link %}
      {{- next_url(post.link, postText + postTitleIcon, {class: 'post-title-link post-title-link-external', itemprop: 'url'}) }}
    {% elif is_index %}
      {%- if post.sticky > 0 %}
        <span class="post-sticky-flag" title="{{ __('post.sticky') }}">
          <i class="fa fa-thumbtack">i>
        span>
      {%- endif %}
      {########################################}
      {############# 首页增加锁图标 #############}
      {########################################}
      {%- if post.encrypted %}
        <i class="fa fa-lock encrypted-lock-icon-index" id="lock-icon-{{ post.abbrlink }}">i>
      {%- endif %}
      {{- next_url(post.path, post.title or __('post.untitled'), {class: 'post-title-link', itemprop: 'url'}) }}
    {%- else %}
      {########################################}
      {########## 文章内标题前增加锁图标 ##########}
      {########################################}
      {%- if post.encrypted %}
        <i class="fa fa-lock encrypted-lock-icon-index" id="lock-icon-{{ post.abbrlink }}">i>
      {%- endif %}
      {{- post.title }}
      {{- post_edit(post.source) }}
    {%- endif %}
  {% if is_index %}h2{% else %}h1{% endif %}>

  <div class="post-meta-container">
    {{ partial('_partials/post/post-meta.njk') }}

    {%- if post.description and (not theme.excerpt_description or not is_index) %}
      <div class="post-description">{{ post.description }}div>
    {%- endif %}
  div>
header>
{%- endif %}

{# POST BODY 部分的修改 #}
{#################}
{### POST BODY ###}
{#################}
<div class="post-body{% if post.direction and post.direction.toLowerCase() === 'rtl' %} rtl{% endif %}" itemprop="articleBody">
  {%- if is_index %}
    {%- if post.encrypted %}
      <div class="encrypted-post-preview" id="encrypted-preview-{{ post.abbrlink }}" data-abbrlink="{{ post.abbrlink }}">
        <div class="encrypted-status">
          <i class="fa fa-shield-alt">i> 文章已加密
        div>
      div>
      <div class="encrypted-decrypted-preview" id="decrypted-preview-{{ post.abbrlink }}" style="display:none;">div>
      
      {%- if theme.read_more_btn %}
        <div class="post-button">
          <a class="btn" href="{{ url_for(post.path) }}">
            {{ __('post.read_more') }} »
          a>
        div>
      {%- endif %}
      
      <script>
        (function () {
          const cacheKey = "{{ post.abbrlink }}";
          try {
            const cached = localStorage.getItem(cacheKey);
            if (!cached) return;

            const { html, expired } = JSON.parse(cached);
            if (Date.now() >= expired) {
              localStorage.removeItem(cacheKey);
              return;
            }

            const tempDiv = document.createElement("div");
            tempDiv.innerHTML = html;
            const moreElement = tempDiv.querySelector("#more");
            
            let preview = "";
            if (moreElement) {
              const range = document.createRange();
              range.setStartBefore(tempDiv.firstChild);
              range.setEndBefore(moreElement);
              preview = range.cloneContents().textContent.trim();
            }
            
            if (!preview) {
              const text = tempDiv.textContent.trim();
              preview = text ? text.substring(0, 200) + (text.length > 200 ? "..." : "") : "暂无预览";
            }

            const previewEl = document.getElementById("decrypted-preview-{{ post.abbrlink }}");
            const encryptedEl = document.getElementById("encrypted-preview-{{ post.abbrlink }}");
            
            if (previewEl) {
              previewEl.textContent = preview;
              previewEl.style.display = "block";
            }
            if (encryptedEl) encryptedEl.style.display = "none";
          } catch (_) {}
        })();
      script>
    {% elif post.description and theme.excerpt_description %}
      <p>{{ post.description }}p>
      
      {%- if theme.read_more_btn %}
        <div class="post-button">
          <a class="btn" href="{{ url_for(post.path) }}">
            {{ __('post.read_more') }} »
          a>
        div>
      {%- endif %}
      
    {% elif post.excerpt %}
      {{ post.excerpt }}
      
      {%- if theme.read_more_btn %}
        <div class="post-button">
          <a class="btn" href="{{ url_for(post.path) }}#more" rel="contents">
            {{ __('post.read_more') }} »
          a>
        div>
      {%- endif %}
      
    {% else %}
      {{ post.content }}
    {%- endif %}
  {% else %}
    {{ post.content | safe }}
  {%- endif %}
div>

修补 post-collapse.njk

除了首页增加锁图标，在归档页面增加同样的逻辑

./themes/next/layout/_macro/post-collapse.njk (修改)

./themes/next/layout/_macro/post-collapse.njk

{% macro render(posts) %}
{%- set current_year = '1970' %}
{%- for post in posts.toArray() %}

  {%- set year = date(post.date, 'YYYY') %}

  {%- if year !== current_year %}
    {%- set current_year = year %}
    <div class="collection-year">
      <span class="collection-header">{{ current_year }}span>
    div>
  {%- endif %}

  <article itemscope itemtype="http://schema.org/Article">
    <header class="post-header">
      <div class="post-meta-container">
        <time itemprop="dateCreated"
              datetime="{{ moment(post.date).format() }}"
              content="{{ date(post.date, config.date_format) }}">
          {{ date(post.date, 'MM-DD') }}
        time>
      div>

      <div class="post-title">
        {%- if post.link %}{# Link posts #}
          {%- set postTitleIcon = '' %}
          {%- set postText = post.title or post.link %}
          {{ next_url(post.link, postText + postTitleIcon, {class: 'post-title-link post-title-link-external', itemprop: 'url'}) }}
        {% else %}
          <a class="post-title-link" href="{{ url_for(post.path) }}" itemprop="url">
            {########################################}
            {########### 增加对加密文章的判断 ##########}
            {########################################}
            {%- if post.encrypted %}
              <i class="fa fa-lock encrypted-lock-icon-small" id="lock-icon-small-{{ post.abbrlink }}">i>
            {%- endif %}
            <script>
              (function () {
                const cacheKey = "{{ post.abbrlink }}";
                try {
                  const cached = localStorage.getItem(cacheKey);
                  if (!cached) return;

                  const { expired } = JSON.parse(cached);
                  if (Date.now() >= expired) {
                    localStorage.removeItem(cacheKey);
                    return;
                  }
                    
                  const lockIcon = document.getElementById("lock-icon-small-{{ post.abbrlink }}");
                  if (lockIcon) {
                    lockIcon.classList.add('decrypted');
                    lockIcon.className = lockIcon.className.replace('fa-lock', 'fa-unlock');
                  }
                } catch (_) {}
              })();
            script>
            <span itemprop="name">{{ post.title or __('post.untitled') }}span>
          a>
        {%- endif %}
      div>

      {{ post_gallery(post.photos) }}
    header>
  article>

{%- endfor %}
{% endmacro %}

测试加密文章

2025-10-06T14:46:04.000Z

NexT 主题高级标签插件

2025-09-11T09:11:24.000Z

Hexo NexT 主题提供了一系列的高级的标签插件，可以简单的实现一些复杂的功能。

按钮 Button

用法

{% button url, text, icon [class], [title] %}
{% btn url, text, icon [class], [title] %}

url: 绝对或相对路径的 URL
text: 按钮文本。如果未指定图标，则为必填项
icon: FontAwesome 图标。如果未指定文本，则为必填项
[class]: 可选参数; 默认 fa-fw; 可选: fa-fw | fa-lg | fa-2x | fa-3x | fa-4x | fa-5x
[title]: 可选参数; 鼠标悬停时提示

例子

{% button #, 按钮文本 %}

按钮文本

{% btn #, 按钮文本 %} {% btn #, 按钮文本 & 按钮标题,, 按钮标题 %}

按钮文本按钮文本 & 按钮标题

{% btn #,, home %}
{% btn #,, home fa-lg %}
{% btn #,, home fa-2x %}
{% btn #,, home fa-3x %}
{% btn #,, home fa-4x %}
{% btn #,, home fa-5x %}

{% btn #, 按钮文本, home %}

按钮文本

笔记 Note

设置

NexT _config.yml

# Note tag (bootstrap callout)
note:
  # Note tag style values:
  #  - simple    bootstrap callout old alert style. Default.
  #  - modern    bootstrap callout new (v2-v3) alert style.
  #  - flat      flat callout style with background, like on Mozilla or StackOverflow.
  #  - disabled  disable all CSS styles import of note tag.
  style: modern
  icons: false
  # Offset lighter of background in % for modern and flat styles (modern: -12 | 12; flat: -18 | 6).
  # Offset also applied to label tag variables. This option can work with disabled note tag.
  light_bg_offset: 0

用法

{% note [class] [no-icon] [summary] %}
笔记内容
{% endnote %}

[class]: 可选参数; 默认 default; 可选: default | primary | success | info | warning | danger
[no-icon]: 可选参数; 禁用 icon
[summary]: 可选参数; 笔记摘要

例子

default 样例

primary 样例

success 样例

info 样例

warning 样例

danger 样例

标签页 Tabs

设置

NexT _config.yml

# Tabs tag
tabs:
  # Make the nav bar of tabs with long content stick to the top.
  sticky: false
  transition:
    tabs: false
    labels: true

用法

{% tabs Unique name, [index] %}
  
  标签页内容
  
{% endtabs %}

Unique name: 当前页面下唯一名称
[index]: 活动标签页索引
[Tab caption]: 标签页标题
[@icon]: FontAwesome 图标

例子

左对齐列	右对齐列	居中列
11	12	13
21	22	23
31	32	33

#!/usr/bin/python
# -*- coding: UTF-8 -*-
 
def fib(n):
    a,b = 1,1
    for i in range(n-1):
        a,b = b,a+b
    return a

文本标签 Label

用法

{% label [class]@text %}

[class]: 可选参数; 默认 default; 可选: default | primary | success | info | warning | danger
text: 标签文本

例子

曲曲折折的荷塘上面，弥望旳是田田的叶子。叶子出水很高，像亭亭旳舞女旳裙。
层层的叶子中间，零星地点缀着些白花，有袅娜地开着旳，有羞涩地打着朵儿旳；正如一粒粒的明珠，又如碧天里的星星，又如刚出浴的美人。
微风过处，送来缕缕清香，仿佛远处高楼上渺茫的歌声似的。这时候叶子与花也有一丝的颤动，像闪电般，霎时传过荷塘的那边去了。
叶子本是肩并肩密密地挨着，这便宛然有了一道凝碧的波痕。叶子底下是脉脉的流水，遮住了，不能见一些颜色；而叶子却更见风致了。

iPhone 17 壁纸

2025-09-11T02:51:40.000Z

2025-09-10 苹果发布了全新的 iPhone 17 系列，除了带来了全新的 iPhone Air 系列，同时还新增了每款机型对应的系统壁纸。

点击下载原图

Cloudflare Workers 通用 Turnstile 验证模块

2025-08-27T03:56:21.000Z

最近使用 Cloudflare Workers 实现了一个在线笔记本和短链接服务分别使用了 Cloudflare KV 和 Cloudflare D1 进行数据存储，根据 Cloudflare KV 定价文档免费计划每天是有次数限制的。为了避免互联网上各种扫描器的请求导致消耗限额，就需要过滤一波非人类请求了。

而在不久前，我刚刚使用 Cloudflare Turnstile 给博客增加了一下人工验证，可以如法炮制给这个也加上。但是以后每一个 worker 想还用验证都需要重复添加 Turnstile 的代码，所以就把这个逻辑给抽出来组成一个单独的模块了。

/**
 * Cloudflare Workers 通用 Turnstile 验证模块
 * 提供完整的 Turnstile 验证、JWT Token 管理和 Cookie 处理功能
 */

// 默认配置
const DEFAULT_CONFIG = {
  TURNSTILE_URL: "https://challenges.cloudflare.com/turnstile/v0/siteverify",
  TURNSTILE_EXPIRE: 3600,
  JWT_ALGORITHM: "HS256",
};

/**
 * 生成 JWT Token
 * @param {Object} payload - JWT payload
 * @param {string} secret - JWT secret key
 * @returns {Promise} JWT token
 */
async function generateToken(payload, secret) {
  const header = btoa(
    JSON.stringify({ alg: DEFAULT_CONFIG.JWT_ALGORITHM, typ: "JWT" })
  ).replace(/=/g, "");
  const encodedPayload = btoa(JSON.stringify(payload)).replace(/=/g, "");
  const data = `${header}.${encodedPayload}`;

  const key = await crypto.subtle.importKey(
    "raw",
    new TextEncoder().encode(secret),
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["sign"]
  );

  const signature = await crypto.subtle.sign(
    "HMAC",
    key,
    new TextEncoder().encode(data)
  );
  return `${data}.${btoa(
    String.fromCharCode(...new Uint8Array(signature))
  ).replace(/=/g, "")}`;
}

/**
 * 验证 JWT Token
 * @param {string} token - JWT token
 * @param {string} secret - JWT secret key
 * @returns {Promise} 验证结果（true 表示有效，false 表示无效）
 */
async function verifyToken(token, secret) {
  console.log(`JWT Token 获取: ${token}`);
  try {
    const [header, payload, signature] = token.split(".");
    if (!header || !payload || !signature) return false;

    const data = `${header}.${payload}`;
    const key = await crypto.subtle.importKey(
      "raw",
      new TextEncoder().encode(secret),
      { name: "HMAC", hash: "SHA-256" },
      false,
      ["verify"]
    );

    const expectedSignature = Uint8Array.from(
      atob(signature + "===".substring(0, (4 - (signature.length % 4)) % 4)),
      (c) => c.charCodeAt(0)
    );

    const isValid = await crypto.subtle.verify(
      "HMAC",
      key,
      expectedSignature,
      new TextEncoder().encode(data)
    );

    console.log(`JWT Token 有效: ${isValid}`);
    if (!isValid) return false;

    const decodedPayload = JSON.parse(
      atob(payload + "===".substring(0, (4 - (payload.length % 4)) % 4))
    );
    console.log(`JWT Token 解码: ${JSON.stringify(decodedPayload)}`);

    const isExpired = decodedPayload.exp > Math.floor(Date.now() / 1000);
    console.log(`JWT Token 过期: ${!isExpired}`);
    return isExpired;
  } catch (e) {
    console.log(`JWT Token 失败: ${e}`);
    return false;
  }
}

/**
 * 验证 Turnstile Response
 * @param {string} response - Turnstile response token
 * @param {string} remoteip - 客户端 IP
 * @param {string} secretKey - Turnstile secret key
 * @returns {Promise} 验证结果（true 表示有效，false 表示无效）
 */
async function verifyTurnstile(response, remoteip, secretKey) {
  console.log(`Turnstile 质询: ${remoteip}`);
  const formData = new FormData();
  formData.append("secret", secretKey);
  formData.append("response", response);
  formData.append("remoteip", remoteip);

  const result = await (
    await fetch(DEFAULT_CONFIG.TURNSTILE_URL, {
      method: "POST",
      body: formData,
    })
  ).json();

  console.log(`Turnstile 结果: ${JSON.stringify(result)}`);
  return result.success;
}

/**
 * 检查请求是否已通过验证
 * @param {Request} request - 请求对象
 * @param {string} cookieName - Cookie名 称
 * @param {string} jwtSecret - JWT secret key
 * @returns {Promise} 验证结果（true 表示有效，false 表示无效）
 */
async function isVerified(request, cookieName, jwtSecret) {
  const cookie = request.headers.get("Cookie") || "";
  const match = cookie.match(new RegExp(`${cookieName}=([^;]+)`));
  return match ? await verifyToken(match[1], jwtSecret) : false;
}

/**
 * 生成 Turnstile 验证页面 HTML
 * @param {Object} options - 配置选项
 * @param {string} options.siteKey - Turnstile site key
 * @param {string} [options.title] - 页面标题
 * @param {string} [options.logo] - Logo文本
 * @param {string} [options.description] - 描述文本
 * @returns {string} HTML字符串
 */
function getTurnstileHTML({
  siteKey,
  title = "安全验证",
  logo = "🔒",
  description = "请完成以下验证后继续使用",
}) {
  return `
<span class="subst">${title}</span>


${logo}
${title}
${description}

${siteKey}" data-callback="onSuccess">
`;
}

/**
 * 设置验证成功的响应
 * @param {string} targetPath - 重定向目标路径
 * @param {string} cookieName - Cookie名称
 * @param {string} jwtSecret - JWT secret key
 * @param {number} [expireTime] - 过期时间（秒）
 * @returns {Promise} 重定向响应
 */
async function setSuccessResponse(
  targetPath,
  cookieName,
  jwtSecret,
  expireTime
) {
  const payload = {
    verified: true,
    iat: Math.floor(Date.now() / 1000),
    exp: Math.floor(Date.now() / 1000) + expireTime,
  };

  const token = await generateToken(payload, jwtSecret);
  console.log(`Cookie 设置: ${token}`);

  return new Response("", {
    status: 302,
    headers: {
      Location: targetPath,
      "Set-Cookie": `${cookieName}=${token}; Path=/; Max-Age=${expireTime}; HttpOnly; SameSite=Lax; Secure`,
    },
  });
}

/**
 * Turnstile 验证中间件
 * 使用示例：
 * ```javascript
 * import { turnstileMiddleware } from './shared/turnstile-auth.js';
 *
 * const turnstileAuth = turnstileMiddleware({
 *   cookieName: 'my_app_verified',
 *   logo: '📝 MyApp',
 *   skipPaths: ['/api/public']
 * });
 *
 * export default {
 *   async fetch(request, env) {
 *     const authResult = await turnstileAuth(request, env);
 *     if (authResult) return authResult;
 *
 *     // 验证通过，处理业务逻辑
 *     return new Response('Hello World');
 *   }
 * }
 * ```
 *
 * 环境变量配置：
 * - TURNSTILE_SITE_KEY: Turnstile 站点 Key
 * - TURNSTILE_SECRET_KEY: Turnstile 站点密钥
 * - TURNSTILE_EXPIRE: Turnstile 过期时间（秒），默认 3600（1小时）
 * - JWT_SECRET: JWT 签名密钥
 */
export function turnstileMiddleware(options = {}) {
  const {
    cookieName = "app_verified",
    logo = "🔒",
    title = "安全验证",
    description = "请完成以下验证后继续使用",
    skipPaths = [],
    skipMethods = ["OPTIONS"],
  } = options;

  return async function turnstileAuth(request, env) {
    const url = new URL(request.url);
    const { pathname, search } = url;
    const { method } = request;

    if (
      skipMethods.includes(method) ||
      skipPaths.some((path) => pathname.startsWith(path))
    ) {
      return null;
    }

    if (!(await isVerified(request, cookieName, env.JWT_SECRET))) {
      if (method === "POST") {
        const formData = await request.formData();
        const remoteip = request.headers.get("CF-Connecting-IP");
        const response = formData.get("cf-turnstile-response");

        if (
          await verifyTurnstile(response, remoteip, env.TURNSTILE_SECRET_KEY)
        ) {
          const expireTime =
            parseInt(env.TURNSTILE_EXPIRE) || DEFAULT_CONFIG.TURNSTILE_EXPIRE;
          return await setSuccessResponse(
            pathname + search,
            cookieName,
            env.JWT_SECRET,
            expireTime
          );
        } else {
          return new Response("验证失败", { status: 403 });
        }
      }

      console.log("跳转 Turnstile 页面");
      return new Response(
        getTurnstileHTML({
          siteKey: env.TURNSTILE_SITE_KEY,
          title,
          logo,
          description,
        }),
        {
          headers: { "content-type": "text/html; charset=utf-8" },
        }
      );
    }

    return null;
  };
}

使用起来也很方便，只需要将以上代码保存找一个合适的位置，在 worker 代码中引用，并且通过在 wrangler.jsonc 中设置 TURNSTILE_SITE_KEY(必须) TURNSTILE_SECRET_KEY(必须) JWT_SECRET(必须) TURNSTILE_EXPIRE(可选) 这几个环境变量，剩下的按照代码中的示例使用即可。

Windy 自定义色层

2025-08-07T08:13:11.000Z

Windy 自定义色层

修改方法：打开 App ⭢ 设置 ⭢ 底部 自定义色层 ⭢ Select overlay 选择对应的数据 ⭢ 底部 Import/Export color ⭢ 复制对应的代码到下方文本框 ⭢ 点击 Import gradient ⭢ 点击 Save created color

气象雷达 [radar]

[
  [0, [0, 0, 35, 255]],
  [0.1, [0, 0, 239, 255]],
  [4.99, [0, 0, 239, 255]],
  [5, [65, 157, 241, 255]],
  [9.99, [65, 157, 241, 255]],
  [10, [100, 231, 235, 255]],
  [14.99, [100, 231, 235, 255]],
  [15, [109, 250, 61, 255]],
  [19.99, [109, 250, 61, 255]],
  [20, [0, 216, 0, 255]],
  [24.99, [0, 216, 0, 255]],
  [25, [1, 144, 0, 255]],
  [29.99, [1, 144, 0, 255]],
  [30, [255, 255, 0, 255]],
  [34.99, [255, 255, 0, 255]],
  [35, [231, 192, 0, 255]],
  [39.99, [231, 192, 0, 255]],
  [40, [255, 145, 0, 255]],
  [44.99, [255, 145, 0, 255]],
  [45, [255, 0, 0, 255]],
  [49.99, [255, 0, 0, 255]],
  [50, [215, 0, 0, 255]],
  [54.99, [215, 0, 0, 255]],
  [55, [190, 0, 0, 255]],
  [59.99, [190, 0, 0, 255]],
  [60, [255, 0, 240, 255]],
  [64.99, [255, 0, 240, 255]],
  [65, [150, 0, 180, 255]],
  [69.99, [150, 0, 180, 255]],
  [70, [175, 145, 240, 255]],
  [79.99, [175, 145, 240, 255]],
  [80, [255, 255, 250, 255]],
  [81, [255, 255, 250, 255]],
  [255, [255, 255, 255, 255]]
]

Hexo 静态博客使用 Cloudflare Turnstile

2025-08-07T02:47:52.000Z

在 Cloudflare 使用 Workers 建立 Images 代理一文中。使用 Workers 搭建了一个 Images 代理，通过设置 Referer 和 URL 签名有效期实现简易的防盗链以及防刷流量。但是这些措施只能做到防君子不防小人，其实很轻易的就可以通过代码自动实现刷图片流量。为了避免这种情况，想着能不能使用 Cloudflare Turnstile 阻挡非人类请求的流量。但是研究了一下发现 Cloudflare Turnstile 需要 服务端代码验证 但是很显然，Hexo 这种纯静态博客没有后端服务，所以思索了一下决定还是使用 Workers 实现一个支持静态网页的 Cloudflare Turnstile 方案。

思路就是将原始博客通过 Cloudflare Pages 托管并绑定一个自定义域名比如 source.example.com 作为静态页面的源站，然后再创建一个 blog 的 Workers (绑定自定义域名 blog.example.com) 作为代理站，在这个 blog 的 Workers 中实现 Cloudflare Turnstile 的服务端验证逻辑，验证通过则注入一个 JWT Token 实现在有效期内就无需再次验证。

打开 Cloudflare Dashboard 点击左侧的 Turnstile 在右侧点击 添加小组件
按照实际情况填写信息，域名则添加静态页面的代理域名 (上文中的 blog.example.com 而不是 source.example.com)，下方选择托管和否
添加完成后确认已经添加正确的域名，并且生成两个需要用到的数据: 站点密钥 和密钥无需马上记下来，后续还可以再次查看。
配置 Cloudflare Pages 源站点绑定 source.example.com 域名，并确认源站点可以正常访问。
添加自定义 Workers 使用下方代码，替换为实际的内容。绑定自定义域名 blog.example.com

// 配置常量
const CONFIG = {
  BLOG_SOURCE: "https://source.example.com", // 静态页面源站 URL，自行修改
  TURNSTILE_URL: "https://challenges.cloudflare.com/turnstile/v0/siteverify", // Turnstile 验证地址
  TURNSTILE_SITEKEY: "", // Turnstile 站点密钥，根据实际修改
  TURNSTILE_SECRET: "", // Turnstile 密钥，根据实际修改
  JWT_SECRET: "", // JWT 密钥，可通过命令生成 openssl rand -base64 48
  COOKIE_NAME: "", // 注入的 JWT Token cookie 名字，可自定义
  COOKIE_EXPIRE: 3600, // Turnstile 有效期 1 小时，可自定义
};

// 生成 JWT token
async function generateToken(payload) {
  const header = { alg: "HS256", typ: "JWT" };
  const encodedHeader = btoa(JSON.stringify(header)).replace(/=/g, "");
  const encodedPayload = btoa(JSON.stringify(payload)).replace(/=/g, "");

  const data = `${encodedHeader}.${encodedPayload}`;
  const encoder = new TextEncoder();
  const key = await crypto.subtle.importKey(
    "raw",
    encoder.encode(CONFIG.JWT_SECRET),
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["sign"]
  );

  const signature = await crypto.subtle.sign("HMAC", key, encoder.encode(data));
  const encodedSignature = btoa(
    String.fromCharCode(...new Uint8Array(signature))
  ).replace(/=/g, "");

  return `${data}.${encodedSignature}`;
}

// 验证 JWT token
async function verifyToken(token) {
  console.log(`JWT Token 获取: ${token}`);
  try {
    const parts = token.split(".");
    if (parts.length !== 3) return false;

    const [header, payload, signature] = parts;
    const data = `${header}.${payload}`;

    const encoder = new TextEncoder();
    const key = await crypto.subtle.importKey(
      "raw",
      encoder.encode(CONFIG.JWT_SECRET),
      { name: "HMAC", hash: "SHA-256" },
      false,
      ["verify"]
    );

    const expectedSignature = Uint8Array.from(
      atob(signature + "===".substring(0, (4 - (signature.length % 4)) % 4)),
      (c) => c.charCodeAt(0)
    );
    const isValid = await crypto.subtle.verify(
      "HMAC",
      key,
      expectedSignature,
      encoder.encode(data)
    );
    console.log(`JWT Token 有效: ${isValid}`);
    if (!isValid) return false;

    const decodedPayload = JSON.parse(
      atob(payload + "===".substring(0, (4 - (payload.length % 4)) % 4))
    );
    console.log(`JWT Token 解码: ${JSON.stringify(decodedPayload)}`);
    const isExpired = decodedPayload.exp > Math.floor(Date.now() / 1000);
    console.log(`JWT Token 过期: ${!isExpired}`);
    return isExpired;
  } catch (e) {
    console.log(`JWT Token 失败: ${e}`);
    return false;
  }
}

// Turnstile HTML 页面
function getTurnstileHTML() {
  return `


  
  
  安全验证 - Zabrian's Blog
  
  


  
    Zabrian's Blog
    安全验证
    请完成以下验证后继续访问
    
      
        ${CONFIG.TURNSTILE_SITEKEY}" data-callback="onSuccess">
      
    

  
  

`;
}

// 验证 Turnstile Response
async function verifyTurnstile(response, remoteip) {
  console.log(`Turnstile 质询: ${remoteip}`);
  let formData = new FormData();
  formData.append("secret", CONFIG.TURNSTILE_SECRET);
  formData.append("response", response);
  formData.append("remoteip", remoteip);

  const verifyResponse = await fetch(CONFIG.TURNSTILE_URL, {
    method: "POST",
    body: formData,
  });
  const result = await verifyResponse.json();
  console.log(`Turnstile 结果: ${JSON.stringify(result)}`);
  return result.success;
}

// 检查是否已通过 JWT 验证
async function isVerifiedToken(request) {
  const cookie = request.headers.get("Cookie") || "";
  const match = cookie.match(new RegExp(CONFIG.COOKIE_NAME + "=([^;]+)"));
  if (!match) return false;

  const token = match[1];
  return await verifyToken(token);
}

// 设置验证成功的 Cookie
async function setSuccessResponse(targetPath) {
  const payload = {
    verified: true,
    iat: Math.floor(Date.now() / 1000),
    exp: Math.floor(Date.now() / 1000) + CONFIG.COOKIE_EXPIRE,
  };

  const token = await generateToken(payload);
  console.log(`Cookie 设置: ${token}`);
  return new Response("", {
    status: 302,
    headers: {
      Location: targetPath,
      "Set-Cookie": `${CONFIG.COOKIE_NAME}=${token}; Path=/; Max-Age=${CONFIG.COOKIE_EXPIRE}; HttpOnly; SameSite=Lax; Secure`,
    },
  });
}

export default {
  async fetch(request, env, ctx) {
    const url = new URL(request.url);

    // 检查是否已验证
    if (!(await isVerifiedToken(request))) {
      // 处理质询请求
      if (request.method === "POST") {
        const formData = await request.formData();
        const remoteip = request.headers.get("CF-Connecting-IP");
        const response = formData.get("cf-turnstile-response");

        if (await verifyTurnstile(response, remoteip)) {
          return await setSuccessResponse(url.pathname);
        } else {
          return new Response("验证失败", { status: 403 });
        }
      }
      // 显示验证页面
      console.log("跳转 Turnstile 页面");
      return new Response(getTurnstileHTML(), {
        headers: { "content-type": "text/html; charset=utf-8" },
      });
    }
    // 代理到源站
    const target = CONFIG.BLOG_SOURCE + url.pathname + url.search;
    console.log(`代理源站: ${target}`);
    return fetch(target, request);
  },
};

至此，就实现了通过访问 blog.example.com 显示一个验证页面的效果。

验证通过后即可访问静态页面，同时可以通过修改代码中的 COOKIE_EXPIRE 自行调整验证间隔时间。通过这种方式，源站点的 URL 不暴露，只通过代理站点的 URL 访问，即可实现定期通过 Cloudflare Turnstile 避免大量机器流量。

Cloudflare 使用 Workers 建立 Images 代理

2025-07-30T09:04:15.000Z

最早这个博客是托管在 GitHub pages 上的，绑定的域名是在阿里云注册的，几个月前偶然一次机会，在 Cloudflare 上注册了一个自己喜欢的域名。于是就也通过 Cloudflare pages 托管了相同的 GitHub pages 仓库，因此目前使用 Cloudflare pages 或者 GitHub pages 均可访问，内容都来自同一个 GitHub repo

使用 Images

就在我无聊把玩赛博菩萨的各种功能的时候，发现 Images 的定价还算很实惠，于是乎开通了 Images Stream Bundle Basic 套餐，包含预付费 $5.00/月 100,000 张图片和 1,000 分钟视频存储以及后付费 $1.00/100,000 张图片的交付。
既然都订阅了，然后就想着把博客现在的图片都迁移到 Images 上来。但是吧，问题就在于 Images 的图片是可以公共读的。直接放到博客上万一哪天被刷流量了，得不偿失。研究了一下发现 Images 是可以生成带有过期时间的签名 URL 的，可是问题是我的博客是静态博客，图片链接都需要写死在标签里面。左思右想之下想到了一个折中的办法。
总体思路就是上传的图片打开 需要已签名的 URL 然后该图片就必须通过签名 URL 访问，然后实现一个 Worker 判断 URL 是否包含签名信息，如果不包含，则通过 URL 接收 图像 ID(imageID) 和 变体(variant) 然后对 URL 实现签名，生成一个带签名的 URL 并 302 重定向回 Worker。如果 URL 包含签名信息，则请求图片资源并返回。

思路有了那就开始，首先新建一个 Worker 代码如下

const ACCOUNT_HASH = "此处填写 Images 帐户哈希";
const KEY = "此处填写 Image 账户 API 令牌";
const IMAGE_CUSTOM_DOMAIN = "此处填写 Worker 绑定的自定义域名";
const EXPIRATION = 60; // 签名图片过期时间 1 min
const ALLOWED_REFERERS = []; // 此处填写请求 Referer 白名单作为防盗链

const IMAGE_DELIVERY_DOMAIN = "imagedelivery.net";

const bufferToHex = (buffer) =>
  [...new Uint8Array(buffer)]
    .map((x) => x.toString(16).padStart(2, "0"))
    .join("");

async function generateSignedUrl(url) {
  const encoder = new TextEncoder();
  const secretKey = encoder.encode(KEY);
  const key = await crypto.subtle.importKey(
    "raw",
    secretKey,
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["sign"]
  );

  const exp = Math.floor(Date.now() / 1000) + EXPIRATION;
  url.searchParams.set("exp", exp);

  const stringToSign = url.pathname + "?" + url.searchParams.toString();
  const mac = await crypto.subtle.sign(
    "HMAC",
    key,
    encoder.encode(stringToSign)
  );

  const signature = bufferToHex(new Uint8Array(mac).buffer);
  url.searchParams.set("sig", signature);

  return url;
}

export default {
  async fetch(request) {
    // 检查 Referer (只有 ALLOWED_REFERERS 不为空时才检查)
    const referer = request.headers.get("Referer") || "";
    if (ALLOWED_REFERERS.length && !ALLOWED_REFERERS.some((allow) => referer.startsWith(allow))) {
      return new Response("Forbidden", { status: 403 });
    }

    // 解析路径
    const url = new URL(request.url);
    const match = url.pathname.match(/^\/([^/]+)\/([^/]+)$/);
    if (!match) {
      return new Response("Bad Request", { status: 400 });
    }

    const [, imageID, variant] = match;

    if (!url.searchParams.has("exp") || !url.searchParams.has("sig")) {
      // 无签名 - 生成签名并重定向
      const deliveryUrl = new URL(
        `https://${IMAGE_DELIVERY_DOMAIN}/${ACCOUNT_HASH}/${imageID}/${variant}`
      );
      const signedUrl = await generateSignedUrl(deliveryUrl);

      const redirectUrl = new URL(
        `https://${IMAGE_CUSTOM_DOMAIN}/${imageID}/${variant}`
      );
      redirectUrl.search = signedUrl.search;

      return Response.redirect(redirectUrl.toString(), 302);
    } else {
      // 有签名 - 直接请求图片
      const imageUrl = new URL(
        `https://${IMAGE_DELIVERY_DOMAIN}/${ACCOUNT_HASH}/${imageID}/${variant}`
      );
      imageUrl.search = url.search;

      const resp = await fetch(imageUrl.toString(), request);
      return new Response(resp.body, {
        status: resp.status,
        headers: resp.headers,
      });
    }
  },
};

然后将 Worker.js 中 IMAGE_CUSTOM_DOMAIN 的域名绑定到这个 Worker 上。
在 Images 上传一张图片，打开 需要已签名的 URL 然后获取到他的图像 ID，可以在 Images 里面自定义一个变体，然后就可以通过 https://IMAGE_CUSTOM_DOMAIN/{imageID}/{variant} 访问该图片，此时会自动跳转到 https://IMAGE_CUSTOM_DOMAIN/{imageID}/{variant}?exp={exp}&sig={sig} 其中 sig 就是签名信息，exp 是该链接的过期时间。如果填写了 ALLOWED_REFERERS 则请求必须携带对应的 Referer 否则会 403

现在 Cloudflare 的流程就没有问题了，接下来解决静态博客的问题。我是用的 Hexo 的静态博客，文章中插入图片需要使用标签。每次都需要将本地图片传到 Cloudflare Images 并且编辑图像手动打开 需要已签名的 URL 然后再获取到对应的图像 ID 再替换为 URL 略显麻烦。因此手动创建了一个脚本自动化实现以上功能，我只需要在标签中添加图片的本地文件路径，然后写好博客之后调用脚本就会自动将文章中引用的 img 图片上传到 Cloudflare Images 并且打开 需要已签名的 URL 然后根据返回的图像 ID 自动拼接 http 链接并替换原文标签的本地文件地址。

在本地 Hexo 项目下创建一个 tools/upload-images.js 文件

#!/usr/bin/env node

const fs = require("fs");
const path = require("path");
const axios = require("axios");
const FormData = require("form-data");
const sharp = require("sharp");

// Cloudflare Images API 配置
const CF_ACCOUNT_ID = "此处填写 Image 帐户 ID";
const CF_API_TOKEN = "此处填写 Cloudflare API Token";
const CF_IMAGES_API_URL = `https://api.cloudflare.com/client/v4/accounts/${CF_ACCOUNT_ID}/images/v1`;
const IMAGE_BASE_URL = "此处填写 Worker 带 https 的 URL 地址";

const MAX_WIDTH = 800; // 图像的最大宽度
const MAX_HEIGHT = 600; // 图像的最大高度

const abbrlink = process.argv[2];
if (!abbrlink) {
  console.error("请提供 abbrlink\n  例如: npm run upload e6a2e300");
  process.exit(1);
}

/**
 * 根据 abbrlink 查找对应的文章文件
 */
function findPostByAbbrlink(abbrlink) {
  const postsDir = path.join(__dirname, "../source/_posts");
  const files = fs.readdirSync(postsDir);

  for (const file of files) {
    if (!file.endsWith(".md")) continue;

    const filePath = path.join(postsDir, file);
    const content = fs.readFileSync(filePath, "utf-8");

    // 解析 front matter
    const frontMatterMatch = content.match(/^---\n([\s\S]*?)\n---/);
    if (frontMatterMatch) {
      const frontMatter = frontMatterMatch[1];
      const abbrlinkMatch = frontMatter.match(/abbrlink:\s*([a-fA-F0-9]+)/);
      if (abbrlinkMatch && abbrlinkMatch[1] === abbrlink) {
        return filePath;
      }
    }
  }

  return null;
}

/**
 * 计算合适的图片尺寸和缩放比例
 */
async function calculateOptimalSize(imagePath) {
  const metadata = await sharp(imagePath).metadata();
  const { width, height } = metadata;

  if (width <= MAX_WIDTH && height <= MAX_HEIGHT) {
    return {
      width,
      height,
      zoom: 100
    };
  }

  const widthScale = MAX_WIDTH / width;
  const heightScale = MAX_HEIGHT / height;
  const scale = Math.min(widthScale, heightScale);

  const newWidth = Math.round(width * scale);
  const newHeight = Math.round(height * scale);
  const zoom = Math.round(scale * 100);

  return {
    width: newWidth,
    height: newHeight,
    zoom: zoom
  };
}

/**
 * 从文件内容中提取所有图片标签
 */
function extractImageTags(content) {
  // 匹配 HTML img 标签: 
  const regex = /]*>/g;
  const matches = [];
  let match;

  while ((match = regex.exec(content)) !== null) {
    matches.push({
      fullTag: match[0],
      localPath: match[1],
      title: match[2] || "",
    });
  }

  return matches;
}

/**
 * 上传图片到 Cloudflare Images
 */
async function uploadToCloudflare(filePath) {
  const fileName = path.basename(filePath);
  const newFileName = `${abbrlink}-${fileName}`;

  const form = new FormData();
  form.append("file", fs.createReadStream(filePath), { filename: newFileName });
  form.append("requireSignedURLs", "true");

  const response = await axios.post(CF_IMAGES_API_URL, form, {
    headers: {
      Authorization: `Bearer ${CF_API_TOKEN}`,
      ...form.getHeaders(),
    },
  });

  if (!response.data.success) {
    throw new Error("上传失败: " + JSON.stringify(response.data));
  }

  return response.data.result.id;
}

/**
 * 主处理函数
 */
async function main() {
  console.log(`处理文章: ${abbrlink}`);

  const postPath = findPostByAbbrlink(abbrlink);
  if (!postPath) {
    console.error(`${abbrlink}: 未找到该文章`);
    process.exit(1);
  }

  let content = fs.readFileSync(postPath, "utf-8");
  const imageTags = extractImageTags(content);

  if (imageTags.length === 0) {
    console.log(`${abbrlink}: 没有找到图片`);
    return;
  }

  console.log(`${abbrlink}: 图片数量 ${imageTags.length}`);

  for (const tag of imageTags) {
    try {
      // 跳过 URL 图片
      if (tag.localPath.startsWith("http")) {
        console.log(`${abbrlink}: 跳过 URL 图片 ${tag.localPath}`);
        continue;
      }

      // 解析本地路径
      const imagePath = path.isAbsolute(tag.localPath)
        ? tag.localPath
        : path.resolve(__dirname, "..", tag.localPath);

      if (!fs.existsSync(imagePath)) {
        console.error(`${abbrlink}: 图片不存在 ${imagePath}`);
        continue;
      }

      console.log(`${abbrlink}: 正在处理 ${tag.localPath}`);

      // 自动缩放图片
      const { width, height, zoom } = await calculateOptimalSize(imagePath);
      console.log(`${abbrlink}: 自动缩放 ${width}x${height} (${zoom}%)`);

      // 上传图片
      const imageId = await uploadToCloudflare(imagePath);
      console.log(`${abbrlink}: 上传成功 ${imageId}`);

      // 生成新标签 - HTML img 格式
      const newUrl = `${IMAGE_BASE_URL}/${imageId}/origin`;
      const titleText = tag.title || "图片";
      const newTag = `${newUrl}" title="${titleText}" style="zoom:${zoom}%;" />`;

      content = content.replace(tag.fullTag, newTag);
      console.log(`${abbrlink}: 处理完成 ${tag.localPath} -> ${newUrl} (${zoom}%)`);
    } catch (error) {
      console.error(`${abbrlink}: 处理失败: ${tag.localPath}`, error.message);
    }
  }

  fs.writeFileSync(postPath, content, "utf-8");
  console.log("处理完成");
}

main();

并将该脚本添加到 package.json

{
  // ...省略
  "scripts": {
    // ...省略
    "upload": "node tools/upload-images.js"
    // ...省略
  }
  // ...省略
}

然后就可以通过 npm run upload xxxxxxxx 自动上传该文章中出现的图片并替换链接啦。

使用 R2

如果不想使用 Images 的付费功能，也可以使用 R2 的免费套餐搭建。其中 R2 的免费套餐包含 10G 存储空间、 A 类操作 100w/月和 B 类操作 1000w/月。

详情参考 Cloudflare Docs R2

如果直接把域名绑定到 R2 Bucket 上开启公网访问，很容易一夜之间倾家荡产。所以关闭 R2 Bucket 公网访问，使用 Workers 免费计划的 10w/天的请求量天然的限制避免被刷流量。

详情参考 Cloudflare Docs Workers

首先创建一个 R2 Bucket，名称自定义。然后新建一个 Workers 代码如下

export default {
  async fetch(request, env) {
    if (request.method !== "GET") {
      return new Response("Method Not Allowed", { status: 405 });
    }

    const url = new URL(request.url);
    const path = decodeURIComponent(url.pathname.slice(1));
    if (!path) return new Response("Not Found", { status: 404 });

    const cacheKey = new Request(`${url.origin}${url.pathname}`);

    try {
      const cached = await caches.default.match(cacheKey);
      if (cached) return cached;

      const file = await env.IMAGES.get(path); // IMAGES 为后续步骤中绑定的名称，可自行修改
      if (!file) return new Response("Not Found", { status: 404 });

      const response = new Response(file.body, {
        headers: {
          "Content-Type": file.httpMetadata?.contentType || "application/octet-stream",
          "Cache-Control": "public, max-age=21600", // 缓存时间 6 小时，可自行修改
        },
      });

      await caches.default.put(cacheKey, response.clone());
      return response;
    } catch {
      return new Response("Server Error", { status: 500 });
    }
  },
};

然后在 Workers 绑定处添加绑定上面创建的 R2 Bucket，名称只需要与 Workers 代码中的名称一致即可。

调整 macOS 顶部菜单栏图标间距

2025-07-30T07:46:11.000Z

无需任何第三方软件，通过 macOS 命令行就可以调整顶部菜单栏图标间距

# 查询当前间距
defaults -currentHost read -globalDomain NSStatusItemSpacing
# 查询当前内间距
defaults -currentHost read -globalDomain NSStatusItemSelectionPadding
# 指定间距
defaults -currentHost write -globalDomain NSStatusItemSpacing -int 10
# 指定内间距
defaults -currentHost write -globalDomain NSStatusItemSelectionPadding -int 6
# 恢复默认间距
defaults -currentHost delete -globalDomain NSStatusItemSpacing
# 恢复默认内间距
defaults -currentHost delete -globalDomain NSStatusItemSelectionPadding

Cloudflare 设置引用站点策略

2025-07-28T07:48:51.000Z

前几日，把我的博客部署在 Cloudflare Pages 上面了。同时绑定了一个托管在 Cloudflare 上面的域名，到这里一切顺利。
但是当我兴致勃勃的打开博客的时候发现了一个问题，为什么图片全 403 了？

一开始想到了可能是我的 OSS 防盗链。跑去看了一下，我已经添加了对应的 Referer 域名。一开始还以为是添加 Referer 生效需要时间，于是乎过了几个小时再打开问题依旧。
最诡异的是，打开 Cloudflare Pages 默认的 pages.dev 域名的时候，图片就是正常的。排查了一下，然后就发现了端倪。
问题来自通过绑定的自定义域名访问的时候，图片请求的 Header 中没有 Referer 字段。众所周知，所谓的防盗链其实就是检查 Referer 字段是不是在白名单中。那么问题来这了，为什么 pages.dev 域名中请求图片有 Referer 但是自定义域名没有？
再次稍加观察发现了一个现象

原因就在这里

自定义域名的引用站点策略为 same-origin
pages.dev 域名的引用站点策略为 strict-origin-when-cross-origin

就是因为浏览器的 同源策略(Same-Origin Policy) 因此自定义域名的请求图片的时候未带上 Referer
既然问题知道了，就可以解决了：只需要修改一下自定义域名的请求头就行了。

打开 Cloudflare 控制台，选择对应的域名
侧边栏选择规则 → 创建规则 → 响应头转换规则
选择 向响应添加静态标头 模板
选择 自定义筛选表达式
编辑表达式 (http.request.full_uri wildcard "https://这里填写你自己的域名/*")
规则 添加静态响应头
- cross-origin-resource-policy = cross-origin
- referrer-policy = strict-origin-when-cross-origin

这样就可以了，此时再访问自定义域名，发现图片就正常携带了 Referer

macOS Chrome '这些扩展程序不再受支持，因此已停用' 解决办法

2025-07-14T01:54:18.000Z

今天早上发现 macOS Chrome 版本更新到了 138.0.7204.101 打开浏览器的时候提示 “这些扩展程序不再受支持，因此已停用”，简单搜了一下发现有解决办法，但是都是针对于 Windows 下的解决方案。
而对于 macOS 有以下两种方法，任选其一即可。

2025-09-11 更新: Chrome 已经更新到 140 版本，以下方法已经不适用。

通过 chrome://flags (推荐)

升级到最新版本的 Chrome
地址栏输入 chrome://flags
以下设置改为 Enabled
temporary-unexpire-flags-m137
重启浏览器并再次打开 chrome://flags
以下设置改为 Disabled
extension-manifest-v2-deprecation-warning
extension-manifest-v2-deprecation-disabled
extension-manifest-v2-deprecation-unsupported
以下设置改为 Enabled
allow-legacy-mv2-extensions
重启浏览器

通过企业政策管理

根据 ExtensionManifestV2Availability 的描述，可以通过通过企业控制管理进行设置。
此方法有一隔弊端是 Chrome 会显示一条 您的浏览器由贵单位管理 的提示，只是因为使用了企业管理的配置，所以会提示。实际并无任何企业对你的浏览器进行管理。
打开终端，输入以下内容

sudo mkdir -p "/Library/Managed Preferences" && sudo tee "/Library/Managed Preferences/com.google.Chrome.plist" >/dev/null <<EOF


  "http://www.apple.com/DTDs/PropertyList-1.0.dtd"\>

  
    ExtensionManifestV2Availability
    2
  

EOF

完全关闭 Chrome 后再打开，在地址栏输入 chrome://policy/ 点击左上角的重新加载政策，然后旧版的扩展就可以继续使用啦。

有点意思的 Python 系列二内置类型增加额外方法(二)

2024-08-28T02:34:15.000Z

有点意思的 Python 系列二内置类型增加额外方法中介绍了一种通过 Python 代码实现对内置的类型增加自定义的方法。
今天再介绍一种方法，实现更为底层。那就是直接修改 cPython 的源码。
这里演示给 list 和 dict 增加 deepcopy 和 tojson 方法，实现对 list 和 dict 的深拷贝和把一个 list 和 dict 转换为 json 的方法。
给 int 和 float 增加 add, sub, mul, div 方法，实现加减乘除。

Step 1 下载代码

cPython 代码可以在 GitHub 上找到: cPython

配置环境

我使用的是 macOS 系统，所以这里就只介绍 macOS 需要的环境

安装 C 编译器和工具包
xcode-select --install
安装其他工具
brew install openssl@3 xz zlib gdbm sqlite

Step 2 修改代码

首先将分支切换到 3.12，不使用 main 的原因是 main 分支随时都在更新，所以选择旧版本的分支，确保代码的一致性。
确保 3.12 分支的代码 commit sha 为 0181aa2e3efedc6504b27f6fe74f096e5e454286

修改 list

list 的实现在 ./Objects/listobject.c 中。我们的修改就在这里。
首先找到 static PyMethodDef list_methods[] 这里包括了 list 相关的方法。在这一行的上面，增加以下代码

static PyObject *
list_method_deepcopy(PyObject *self, PyObject *args)
{
    PyObject *copy_module = PyImport_ImportModule("copy");
    if (copy_module == NULL) {
        return NULL;
    }

    PyObject *deepcopy_func = PyObject_GetAttrString(copy_module, "deepcopy");
    Py_DECREF(copy_module);
    if (deepcopy_func == NULL) {
        return NULL;
    }

    PyObject *result = PyObject_CallFunctionObjArgs(deepcopy_func, self, NULL);

    Py_DECREF(deepcopy_func);

    return result;
}

static PyObject *
list_method_tojson(PyObject *self, PyObject *args, PyObject *kwargs)
{
    PyObject *json_module = NULL;
    PyObject *dumps_func = NULL;
    PyObject *result = NULL;
    PyObject *args_tuple = NULL;
    PyObject *args_with_self = NULL;

    json_module = PyImport_ImportModule("json");
    if (json_module == NULL) {
        return NULL;
    }

    dumps_func = PyObject_GetAttrString(json_module, "dumps");
    Py_DECREF(json_module);
    if (dumps_func == NULL) {
        return NULL;
    }

    args_tuple = PyTuple_Pack(1, self);
    Py_DECREF(dumps_func);
    if (args_tuple == NULL) {
        return NULL;
    }

    args_with_self = PySequence_Concat(args_tuple, args);
    Py_DECREF(args_tuple);
    if (args_with_self == NULL) {
        return NULL;
    }

    result = PyObject_Call(dumps_func, args_with_self, kwargs);

    Py_DECREF(args_with_self);

    return result;
}

其中 list_method_deepcopy 就是 deepcopy 的具体实现，list_method_tojson 是 tojson 的具体实现。
然后将上面两个方法增加到 list_methods 中
注意，要增加到最后一行 {NULL, NULL} /* sentinel */ 上方

{"deepcopy", (PyCFunction)list_method_deepcopy, METH_NOARGS, PyDoc_STR("Return a deep copy of the list")},
{"tojson", (PyCFunction)list_method_tojson, METH_VARARGS | METH_KEYWORDS, PyDoc_STR("Convert list to JSON string")},

最后完整的 list_methods[]

static PyMethodDef list_methods[] = {
    {"__getitem__", (PyCFunction)list_subscript, METH_O|METH_COEXIST,
     PyDoc_STR("__getitem__($self, index, /)\n--\n\nReturn self[index].")},
    LIST___REVERSED___METHODDEF
    LIST___SIZEOF___METHODDEF
    LIST_CLEAR_METHODDEF
    LIST_COPY_METHODDEF
    LIST_APPEND_METHODDEF
    LIST_INSERT_METHODDEF
    LIST_EXTEND_METHODDEF
    LIST_POP_METHODDEF
    LIST_REMOVE_METHODDEF
    LIST_INDEX_METHODDEF
    LIST_COUNT_METHODDEF
    LIST_REVERSE_METHODDEF
    LIST_SORT_METHODDEF
    {"__class_getitem__", Py_GenericAlias, METH_O|METH_CLASS, PyDoc_STR("See PEP 585")},
    {"deepcopy", (PyCFunction)list_method_deepcopy, METH_NOARGS, PyDoc_STR("Return a deep copy of the list")},  # 给 list 增加 deepcopy 方法，调用 list_method_deepcopy 实现
    {"tojson", (PyCFunction)list_method_tojson, METH_VARARGS | METH_KEYWORDS, PyDoc_STR("Convert list to JSON string")},    # 给 list 增加 tojson 方法，调用 list_method_tojson 实现
    {NULL,              NULL}           /* sentinel */
};

修改 dict

和修改 list 类似，dict 的实现在 ./Objects/dictobject.c 中。
同理还是首先找到 static PyMethodDef mapp_methods[] 这里包括了 dict 相关的方法。在这一行的上面，增加以下代码。

static PyObject *
dict_method_deepcopy(PyObject *self, PyObject *args)
{
    PyObject *copy_module = PyImport_ImportModule("copy");
    if (copy_module == NULL) {
        return NULL;
    }
    PyObject *deepcopy_func = PyObject_GetAttrString(copy_module, "deepcopy");
    Py_DECREF(copy_module);
    if (deepcopy_func == NULL) {
        return NULL;
    }
    PyObject *result = PyObject_CallFunctionObjArgs(deepcopy_func, self, NULL);
    Py_DECREF(deepcopy_func);
    return result;
}

static PyObject *
dict_method_tojson(PyObject *self, PyObject *args, PyObject *kwargs)
{
    PyObject *json_module = NULL;
    PyObject *dumps_func = NULL;
    PyObject *result = NULL;
    PyObject *args_tuple = NULL;
    PyObject *args_with_self = NULL;

    json_module = PyImport_ImportModule("json");
    if (json_module == NULL) {
        return NULL;
    }

    dumps_func = PyObject_GetAttrString(json_module, "dumps");
    Py_DECREF(json_module);
    if (dumps_func == NULL) {
        return NULL;
    }

    args_tuple = PyTuple_Pack(1, self);
    Py_DECREF(dumps_func);
    if (args_tuple == NULL) {
        return NULL;
    }

    args_with_self = PySequence_Concat(args_tuple, args);
    Py_DECREF(args_tuple);
    if (args_with_self == NULL) {
        return NULL;
    }

    result = PyObject_Call(dumps_func, args_with_self, kwargs);

    Py_DECREF(args_with_self);

    return result;
}

可以看到，这里的代码除了方法名字，实现方法和 list 的一致，当然。最后也还是要加到 mapp_methods[] 中

{"deepcopy", (PyCFunction)dict_method_deepcopy, METH_NOARGS, PyDoc_STR("Return a deep copy of the dict")},
{"tojson", (PyCFunction)dict_method_tojson, METH_VARARGS | METH_KEYWORDS, PyDoc_STR("Convert dict to JSON string")},

完整的 mapp_methods

static PyMethodDef mapp_methods[] = {
    DICT___CONTAINS___METHODDEF
    {"__getitem__", _PyCFunction_CAST(dict_subscript),        METH_O | METH_COEXIST,
     getitem__doc__},
    {"__sizeof__",      _PyCFunction_CAST(dict_sizeof),       METH_NOARGS,
     sizeof__doc__},
    DICT_GET_METHODDEF
    DICT_SETDEFAULT_METHODDEF
    DICT_POP_METHODDEF
    DICT_POPITEM_METHODDEF
    {"keys",            dictkeys_new,                   METH_NOARGS,
    keys__doc__},
    {"items",           dictitems_new,                  METH_NOARGS,
    items__doc__},
    {"values",          dictvalues_new,                 METH_NOARGS,
    values__doc__},
    {"update",          _PyCFunction_CAST(dict_update), METH_VARARGS | METH_KEYWORDS,
     update__doc__},
    DICT_FROMKEYS_METHODDEF
    {"clear",           (PyCFunction)dict_clear,        METH_NOARGS,
     clear__doc__},
    {"copy",            (PyCFunction)dict_copy,         METH_NOARGS,
     copy__doc__},
    DICT___REVERSED___METHODDEF
    {"__class_getitem__", Py_GenericAlias, METH_O|METH_CLASS, PyDoc_STR("See PEP 585")},
    {"deepcopy", (PyCFunction)dict_method_deepcopy, METH_NOARGS, PyDoc_STR("Return a deep copy of the dict")},  # 给 dict 增加 deepcopy 方法，调用 dict_method_deepcopy 实现
    {"tojson", (PyCFunction)dict_method_tojson, METH_VARARGS | METH_KEYWORDS, PyDoc_STR("Convert dict to JSON string")},    # 给 dict 增加 tojson 方法，调用 dict_method_tojson 实现
    {NULL,              NULL}   /* sentinel */
};

修改 float

float 的实现在 ./Objects/floatobject.c 中。同理找到 float_methods[] 在上方增加以下方法

static PyObject *
float_method_add(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyFloat_Check(other) || PyLong_Check(other)) {
        return PyNumber_Add(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type float or int");
    return NULL;
}

static PyObject *
float_method_sub(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyFloat_Check(other) || PyLong_Check(other)) {
        return PyNumber_Subtract(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type float or int");
    return NULL;
}

static PyObject *
float_method_mul(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyFloat_Check(other) || PyLong_Check(other)) {
        return PyNumber_Multiply(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type float or int");
    return NULL;
}

static PyObject *
float_method_div(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyFloat_Check(other) || PyLong_Check(other)) {
        return PyNumber_TrueDivide(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type float or int");
    return NULL;
}

类似的在 float_methods[] 中增加

{"add", (PyCFunction)float_method_add, METH_VARARGS, PyDoc_STR("Add float or int objects")},
{"sub", (PyCFunction)float_method_sub, METH_VARARGS, PyDoc_STR("Subtract float or int objects")},
{"mul", (PyCFunction)float_method_mul, METH_VARARGS, PyDoc_STR("Multiply float or int objects")},
{"div", (PyCFunction)float_method_div, METH_VARARGS, PyDoc_STR("Divide float or int objects")},

修改 int

int 的实现是在 .Objects/longobject.c 中。找到 long_methods[] 在上方增加方法

static PyObject *
long_method_add(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyLong_Check(other) || PyFloat_Check(other)) {
        return PyNumber_Add(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type int or float");
    return NULL;
}

static PyObject *
long_method_sub(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyLong_Check(other) || PyFloat_Check(other)) {
        return PyNumber_Subtract(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type int or float");
    return NULL;
}

static PyObject *
long_method_mul(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyLong_Check(other) || PyFloat_Check(other)) {
        return PyNumber_Multiply(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type int or float");
    return NULL;
}

static PyObject *
long_method_div(PyObject *self, PyObject *args)
{
    PyObject *other;

    if (!PyArg_ParseTuple(args, "O", &other))
        return NULL;

    if (PyLong_Check(other) || PyFloat_Check(other)) {
        return PyNumber_TrueDivide(self, other);
    }

    PyErr_SetString(PyExc_TypeError, "Argument must be of type int or float");
    return NULL;
}

这里的方法实现和 int 中的实现有细微差别。最后还是一样增加 long_methods[]

{"add", (PyCFunction)long_method_add, METH_VARARGS, PyDoc_STR("Add int or float objects")},
{"sub", (PyCFunction)long_method_sub, METH_VARARGS, PyDoc_STR("Subtract int or float objects")},
{"mul", (PyCFunction)long_method_mul, METH_VARARGS, PyDoc_STR("Multiply int or float objects")},
{"div", (PyCFunction)long_method_div, METH_VARARGS, PyDoc_STR("Divide int or float objects")},

Step 3 编译

使用以下命令编译代码

LDFLAGS="-L$(brew --prefix zlib)/lib -L$(brew --prefix bzip2)/lib -L$(brew --prefix openssl@3)/lib" \
CPPFLAGS="-I$(brew --prefix zlib)/include -I$(brew --prefix bzip2)/include -I$(brew --prefix openssl@3)/include" \
./configure --with-openssl=$(brew --prefix openssl@3) && make -j$(nproc) -s

编译成功后在目录下会有一个 python.exe (为什么在 macOS 是 .exe 可参考 build-instructions)

Step 4 测试

新建一个 .py 文件

origin_dict = {"goods": ["apple", "orange"]}
print('=' * 50)
print(f"原始字典: {origin_dict}")
copy_dict = origin_dict.copy()  # 自带的 copy() 浅拷贝
deepcopy_dict = origin_dict.deepcopy()  # 添加的 deepcopy() 深拷贝
print('=' * 50)
print(f".copy() 字典: {copy_dict}")
print(f".deepcopy() 字典: {deepcopy_dict}")
print('=' * 50)
origin_dict["goods"].append("banana")
print(f"原始字典修改: {origin_dict}")
print('=' * 50)
print(f".copy() 结果: {copy_dict}")
print(f".deepcopy() 结果: {deepcopy_dict}")
print('=' * 50)

int_number = 1
float_number = 2.15

print(int_number.add(2).add(3).div(2).mul(4))   # (1 + 2 + 3) / 2 * 4
print('=' * 50)
print(float_number.add(2).add(3).div(3).mul(7)) # (2.15 + 2 + 3) / 3 * 7

输出结果如下

==================================================
原始字典: {'goods': ['apple', 'orange']}
==================================================
.copy() 字典: {'goods': ['apple', 'orange']}
.deepcopy() 字典: {'goods': ['apple', 'orange']}
==================================================
原始字典修改: {'goods': ['apple', 'orange', 'banana']}
==================================================
.copy() 结果: {'goods': ['apple', 'orange', 'banana']}
.deepcopy() 结果: {'goods': ['apple', 'orange']}
==================================================
12.0
==================================================
16.683333333333334

由此完成了从 cPython 的改造实现了以上几种方法。

补充

直接修改 cPython 的源码实现好处是实现了原生实现。但是缺点也很明显。就是这样写的代码，只能运行在这个修改后的 Python 环境，否则就会报错。
但是换个思路想，这样也会带来一个好处就是间接的保护了代码。这个具体的内容后面可以在展开聊聊。
这里编译的 Python 其实只是一个调试环境，因为没有启用 PGO 所以编译很快，但是不能用于生产环境。
如果想把这个版本的 Python 用在生产环境，可以在 ./configure 的时候增加 --enable-optimizations 参数。具体内容可参考 profile-guided-optimization

有点意思的 Python 系列二内置类型增加额外方法

2024-06-04T09:45:51.000Z

我们知道，如果想给一个自定义类型增加对应的方法，可以直接修改这个类就可以了，但是如果我们这个时候想给内置的类型增加一些自定义方法呢？

比如对于可变类型对象，我们想增加一个 deepcopy 的方法实现深拷贝，类似dd = {'a': [1, 2, 3]}.deepcopy() 达到 dd = copy.deepcopy({'a': [1, 2, 3]}) 的效果，显而易见的是直接在一个 dict 对象上 .deepcopy() 是更优雅的。但是事与愿违，我们没有办法通过常规手段给 dict 增加 deepcopy() 方法。

难道就真的没有办法吗？下面这段代码可以优雅的实现。

import ctypes


class PyType(ctypes.Structure):
    pass


class PyObject(ctypes.Structure):
    Py_ssize_t = (
        ctypes.c_int64 if ctypes.sizeof(ctypes.c_void_p) == 8 else ctypes.c_int32
    )
    _fields_ = [
        ("ob_refcnt", Py_ssize_t),
        ("ob_type", ctypes.POINTER(PyType)),
    ]


class PyTypeObject(PyObject):
    _fields_ = [
        ("dict", ctypes.POINTER(PyObject))
    ]


def inject(class_, method, force=False):
    def _(function):
        name_, dict_ = class_.__name__, class_.__dict__
        proxy_dict = PyTypeObject.from_address(id(dict_))
        namespace = {}
        ctypes.pythonapi.PyDict_SetItem(
            ctypes.py_object(namespace),
            ctypes.py_object(name_),
            proxy_dict.dict
        )
        if not force and namespace.get(name_, {}).get(method, None):
            raise RuntimeError(f"已存在方法 {class_.__name__}.{method}()")
        namespace[name_][method] = function

    return _

而使用使用方法也很简单，比如上面的给 dict 添加一个 deepcopy() 实现字典的深拷贝

import copy

@inject(dict, 'deepcopy')
def deepcopy(d):
    return copy.deepcopy(d)

# 验证一下
origin_dict = {"goods": ["apple", "orange"]}

print(f"初始字典: {origin_dict}") # {'goods': ['apple', 'orange']}

copy_dict = origin_dict.copy() # 自带的 copy() 浅拷贝
deepcopy_dict = origin_dict.deepcopy() # 添加的 deepcopy() 深拷贝

origin_dict["goods"].append("banana")

print(f"初始字典变更: {origin_dict}") # {'goods': ['apple', 'orange', 'banana']}
print(f".copy() 结果: {copy_dict}") # {'goods': ['apple', 'orange', 'banana']}
print(f".deepcopy() 结果: {deepcopy_dict}") # {'goods': ['apple', 'orange']}

再或者给 list 添加一个 average() 方法计算平均数

@inject(list, 'average')
def average(l):
    return sum(l) / len(l)

score = [95.0, 89.5, 77.0, 91.0]

print(score.average())  # 88.125

再或者给字符串添加一个 json() 方法，可以直接通过 str.json() 将该字符串格式化为 json 对象（当然前提是这个字符串是可以被反序列化为 json 对象）

from json import loads

@inject(str, 'json')
def json(s):
    return loads(s)

info = '{"first_name": "Michael", "last_name": "Rodgers", "department": "Marketing"}'

print(info.json()) # {'first_name': 'Michael', 'last_name': 'Rodgers', 'department': 'Marketing'}

同样的，比如给 int 类型添加 add(number) 方法

@inject(int, 'add')
def add(i, number):
    return i + number

munber = 5

print(number.add(3)) # 8

# 还可以进行链式调用
print(munber.add(3).add(7).add(-1)) # 14

当然除了内置类型，也可以修补自定义类型

class Number(object):
    def __init__(self, n):
        self.number = n

@inject(Number, 'sub')
def sub(n, num):
    return Number(n.number - num)

number = Number(10)
print(number.sub(3).sub(5).number)  # 2

有点意思的 Python 系列一数学函数和导数计算

2024-06-04T09:36:46.000Z

该系列旨在收集整理一些很有意思的 Python 代码，这些代码有些是通过简洁的代码实现了很牛逼的功能，有些则是通过花里胡哨的技巧代码眼花缭乱。

虽然很多代码并不适合日常的使用，但是研究一下相关的机制还是对提升能力有很大的帮助。

本期作为第一期，先来个开胃小菜

以下代码很有意思，它实现了常规数学上的函数表示。并且还能计算当前的函数值和计算对应变量的导数值。

#!/usr/bin/python
# -*- coding: utf-8 -*-

def product(items):
    res = 1
    for i in items:
        res = res * i
    return res


class Node:

    def __init__(self, name, value=0):
        self.name = name
        self.value = value

    def __add__(self, other):
        return wrapper_opt("add", self, other)

    def __mul__(self, other):
        return wrapper_opt("mul", self, other)

    def __truediv__(self, other):
        return wrapper_opt("div", self, other)

    def __pow__(self, other):
        return wrapper_opt("pow", self, other)

    def __sub__(self, other):
        return wrapper_opt("add", self, wrapper_opt("mul", Constant(-1), other))

    def __radd__(self, other):
        return wrapper_opt("add", self, other, r=True)

    def __rmul__(self, other):
        return wrapper_opt("mul", self, other, r=True)

    def __rtruediv__(self, other):
        return wrapper_opt("div", self, other, r=True)

    def __eq__(self, other):
        return self.name == other.name

    def __str__(self):
        return str(self.name)

    __repr__ = __str__


class Constant(Node):

    def __init__(self, value):
        super().__init__(value, value)

    def calculate(self):
        return self.value

    @staticmethod
    def derivative(variable):
        return 0


class Variable(Node):

    def calculate(self):
        return self.value

    def derivative(self, variable):
        return 1 if variable.name == self.name else 0


class Operator(Node):

    def __init__(self, inputs, name):
        super().__init__(name)
        self.inputs = inputs
        self.name = f"Opt {name} of {inputs}"

    def __str__(self):
        opt2str = {"Add": "+", "Power": "^", "Multiply": "*", "Divide": "/"}
        return opt2str[self.name.split(" ")[1]].join(map(str, self.inputs))


class Add(Operator):

    def __init__(self, inputs):
        super().__init__(inputs, name="Add")

    def calculate(self):
        return sum(inp.calculate() for inp in self.inputs)

    def derivative(self, variable):
        return sum(inp.derivative(variable) for inp in self.inputs)


class Multiply(Operator):

    def __init__(self, inputs):
        super().__init__(inputs, name="Multiply")

    def calculate(self):
        return product(inp.calculate() for inp in self.inputs)

    def derivative(self, variable):
        return sum(
            inp.derivative(variable)
            * product(
                other_inp.calculate()
                for other_inp in self.inputs
                if other_inp != inp
            )
            for inp in self.inputs
        )


class Divide(Operator):

    def __init__(self, inputs):
        super().__init__(inputs, name="Divide")

    def calculate(self):
        a, b = [inp.calculate() for inp in self.inputs]
        return a / b

    def derivative(self, variable):
        a, b = [inp.calculate() for inp in self.inputs]
        da, db = [inp.derivative(variable) for inp in self.inputs]
        return (da * b - db * a) / (b ** 2)


class Power(Operator):

    def __init__(self, inputs):
        super().__init__(inputs, name="Power")

    def calculate(self):
        _x, n = self.inputs
        n = n.value
        return _x.calculate() ** n

    def derivative(self, variable):
        _x, n = self.inputs
        n = n.value
        return n * (_x.calculate() ** (n - 1)) * _x.derivative(variable)


def wrapper_opt(opt, self, other, r=False):
    opt2class = {"add": Add, "mul": Multiply, "pow": Power, "div": Divide}
    if not isinstance(other, Node):
        other = Constant(other)
    inputs = [other, self] if r else [self, other]
    node = opt2class[opt](inputs=inputs)
    return node

x = Variable("x", 2)        # 定义变量 x 默认值 2
y = Variable("y", 3)        # 定义变量 y 默认值 3
f = 3 * x ** 2 + 4 * y - 5  # 定义函数 f(x)=3x²+4y−5
print(f)                    # 3*x^2+4*y+-1*5
print(f.calculate())        # 19    根据默认值 x=2 y=3 计算 f(x)
print(f.derivative(x))      # 12    根据默认值 x=2 计算 f'(x)=6x
x.value = 3                 # x=3
y.value = -5                # y=-5
print(f.calculate())        # 2     根据默认值 x=3 y=-5 计算 f(x)
print(f.derivative(y))      # 4     根据默认值 y=4 计算 f 对 y 求导 = 4

北京联通异地宽带办理指南

2024-05-29T03:31:27.000Z

众所周知，北京联通的宽带是真的贵。之前联系了联通的宽带专员，咨询了一下融合套餐。

1000 Mbps 三年合约 149 元/月（这个还是有优惠的价格）提前解约违约金 = 未履约月数 ✖️ 30 元
500 Mbps 无合约 166 元/月

因为我家所有的手机号都是联通的，套餐也都很够用，所以融合套的手机号套餐没啥用。了解到异地宽带价格很美丽后就想着办一个。

北京地区的异地宽带分两种

300 Mbps 60 元/月
500 Mbps 80 元/月

办卡

既然是异地宽带，首先是需要一个异地手机卡。在某宝找了一个办卡，选了一个 19 块钱的套餐，反正就是能办多便宜就多便宜。19 差不多就是能在开卡的最便宜了。异地选的天津，主要就是离北京近，方便。

然后记得询问一下卡是不是能正常改套餐办宽带啥的，别办物联网卡就行，要办的一定是正常的手机卡。然后配送地址写一个天津的地址，千万不能写异地，因为天津联通不能异地配送。必须要天津本地的地址。为了方便，我就直接写到了天津站。

然后就是提交身份证啥的审核，当天审核通过下午显示就分配了小哥上门送卡。然后就是打电话给小哥改一下时间。毕竟当天下午已经 3 点了，还在上班咋，可能到天津取卡。

然后我就约到了周六下午 3 点了。然后就是买了周六 14:09 ~ 14:42 从北京到天津的去程，15:22 ~ 15:52 从天津到北京南的返程。一共花了 100 过点。

当天上车之后给小哥打了个电话，说了下是专程来办卡的，返程时间比较紧，希望能尽快到。小哥表示没问题。然后我快到站的时候小哥来电话了说他已经到了（d=(´▽ ｀)=b）

然后就和小哥在车站里面碰上面了。拍照办卡一气呵成，全程花了不到 5 分钟。交了 500 块钱话费结束。然后返程回家。

改套餐

开卡的时候选的是 19 块钱的套餐，第二天第一件事就是改到 8 元保号套餐。所以上面办卡的时候需要确认卡片套餐能否修改（有的有合约，不能修改或者得过几个月才能修改）可以直接打电话给联通，转到人工改。但是我嫌打电话麻烦，下载了联通 app，用新办的手机卡登录，右上角在线客服修改套餐到 8 元保号套餐就行。客服会告诉你会有专属经理 48h 内联系，但是我的当天下午就来电联系了，确认修改后次月就生效了。

办宽带

这里办宽带一定要从联通 app 上办理，去营业厅是办不了这个价格的异地宽带。

app 里面的位置在这里

然后选择全国一家亲异地宽带

然后进去之后选择宽带办理的城市，我这里就是北京，然后就会有能办理的类型，包括 300 Mbps 和 500 Mbps 选好之后填写下面的具体的内容，提交预约即可。

然后过了几个小时就有联通的电话了，确定办理的宽带后，表示北京有一个 300 块钱的安装费。次月从话费里面扣除。确定无误后客服给我发了一个短信，里面有个链接。需要上传身份证正反面和拍摄一张免冠自拍照。然后就等着分配小哥吧。

上门安装

到了预约的那天，小哥上门。确认了信息之后就开始装光猫啥的。在这个途中，因为现在北京天气已经很热了，小哥又是中午上门的。递上瓶水，拿个板凳坐会儿。要是抽烟可以再递个烟啥的。之后就开始表达自己想要公网 IP 的诉求（毕竟求人办事儿，所以前面就客气点）小哥问了个原因，我说家里有监控需要。然后小哥还拍了个监控的照片，并且还说：“现在公网 IP 不好拿，需要有明确的需求才能申请，你这个要用监控。但其实现在监控这个理由不怎么能过了。你要是有明确诉求可以给你申请。”（反正就是一边表达不好搞，但是一边还都给申请了）然后就顺便连桥接一起给办了，顺便加了一下小哥私人的微信（虽然现在一般都是要加企微，但是小哥还是给了他私人的微信）最后装好后他那走了个测速，安装 500 M 实际测速能到 650。还不错。最后记了一下宽带的密码，搞定。从上门到最后小哥走一共花了不到 10 min，外加一瓶水的钱。

办理上行提速

500 Mbps 的宽带下行对应上行才给 30 Mbps 是真的拉跨，但是可以办理加速包: 沃宽

用办理宽带的异地手机号登录

然后在左侧【我的宽带】中添加当前宽带

添加成功后再左侧【我要购买】中应该可以看到一个【宽带上行提速包 100 M】这里一次最多可以购买 6 个（连续半年，到期后可以继续购买）

购买成功后，在左侧【首页】点击【点我提速】就可以了，无需重启光猫即可享受 100 Mbps 的上行速率了。

结束

最后算一下成本

一次性成本：来回 100 元路费 + 装机费 300 元（唯一的坑点） = 400 元
周期性成本：每月异地号码套餐 8 元 + 宽带费用 80 元 + 上行加速包 30 元 = 118 元

总体还是比 500 Mbps 的融合套便宜很多的。

最后附上 speedtest 和 ustc 的测速结果吧

macOS GPG 使用指南

2023-05-09T06:34:43.000Z

这篇指南面向的是对 GPG 有了一定了解的的朋友，如果你还不知道 GPG 是什么，那么可能需要先补充一下这部分的基础知识，再来食用比较合适。

如果你已经大概了解 GPG 的一些内容，知道它能用来干什么而且你真的需要用到。那么这篇指南或许对你有一点的帮助。

这篇指南主要针对于 macOS 系统下的 GPG 使用方法，如果你使用的是 Windows 或者 Linux，其中有些内容可能并不适用。

文中使用的 GPG 版本是 2.4.5 版本信息如下。

备注: 下文中所有的展示内容的部分 $ 开头的行表示的当前 shell 环境的命令输入行。命令均不包含 $ 本身。

gpg --version
gpg (GnuPG) 2.4.5
libgcrypt 1.10.3
Copyright (C) 2024 g10 Code GmbH
License GNU GPL-3.0-or-later 
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /Users/zebedy/.gnupg
支持的算法：
公钥： RSA, ELG, DSA, ECDH, ECDSA, EDDSA
密文： IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
    CAMELLIA128, CAMELLIA192, CAMELLIA256
散列： SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
压缩：  不压缩, ZIP, ZLIB, BZIP2

初次使用

如果你还没有任何密钥，想新生成一个使用。建议从这里开始。

生成主密钥

一般的情况下，我们使用 --gen-key 就可以快速的生成一个密钥对，但是这个是一个简便方法。

这里我们需要更多的细节设置，所以用 --full-gen-key 来代替

gpg --full-gen-key
gpg (GnuPG) 2.4.5; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

请选择您要使用的密钥类型：
   (1) RSA 和 RSA
   (2) DSA 和 Elgamal
   (3) DSA（仅用于签名）
   (4) RSA（仅用于签名）
   (9) ECC（签名和加密） *默认*
  (10) ECC（仅用于签名）
 （14）卡中现有密钥
您的选择是？ 9

在该版本（2.4.5）下可以通过 *默认* 可以看默认的密钥类型为 ECC（签名和加密） 这里我们不需要任何修改。使用默认即可。

在当前界面输入选项前面括号中的数字 9 之后回车确认，或者不输入任何内容直接回车确认即可。

请选择您想要使用的椭圆曲线：
   (1) Curve 25519 *默认*
   (4) NIST P-384
   (6) Brainpool P-256
您的选择是？ 1

类似上一步，选择使用的椭圆曲线，这里选择默认 Curve 25519 即可。

在当前界面输入 1 之后回车确认，或者不输入任何内容直接回车确认即可。

请设定这个密钥的有效期限。
         0 = 密钥永不过期
        = 密钥在 n 天后过期
      w = 密钥在 n 周后过期
      m = 密钥在 n 月后过期
      y = 密钥在 n 年后过期
密钥的有效期限是？(0) 0

然后这里需要选择密钥的有效期。

如果是个人使用，可以选择永不过期，这样可以避免以后过期后还需要再次创建一个新的密钥。

而如果需要配置特定的过期时间。则根据下面的三个选项输入对应的内容即可，比如需要在一周后过期，则输入 1w 3 个月后过期 3m

我这里就选了 0 表示永不过期。输入数字 0 回车后经过二次确认。

GnuPG 需要构建用户标识以辨认您的密钥。

真实姓名：

从这里开始后面的步骤就是输入密钥对应的个人信息了。

依次输入内容包括 真实姓名, 电子邮件地址, 注释 其中注释可以省略。

GnuPG 需要构建用户标识以辨认您的密钥。

真实姓名： zebedy
电子邮件地址： zebedy@example.com
注释：
您选定了此用户标识：
    “zebedy ”

更改姓名（N）、注释（C）、电子邮件地址（E）或确定（O）/退出（Q）？

这里如果确认个人信息输入没问题，就可以输入字母 O 回车确认。

确定之后根据提示设置主密钥的密码。确定密码后。经过短暂的时间就可以生成一个密钥了。

这个密码一定要妥善保管，会经常需要使用。

我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘
、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数
发生器有更好的机会获得足够的熵。
我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘
、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数
发生器有更好的机会获得足够的熵。
gpg: 吊销证书已被存储为‘/Users/zebedy/.gnupg/openpgp-revocs.d/A31F6E522B93990CA1A1C548D188A1DD832AB894.rev’
公钥和私钥已经生成并被签名。

pub   ed25519 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
uid                      zebedy 
sub   cv25519 2024-03-24 [E]

到这里，主密钥就生成结束了。

生成子密钥

替换默认 `pinentry`

在生成子密钥之前，首先需要做一个事情：替换默认的 pinentry

pinentry 是用来合用乎交互输入密码的，因为默认的 pinentry 依赖 GPG_TTY 所以可以再终端中实现输入密码。但是如果我们在其他的地方，比如 VSCode 或者 JB 全家桶的时候，就会出现因为无法输入密码导致失败。

所以我们需要安装第三方的 pinentry-mac，并替换默认 pinentry

brew install pinentry-mac
echo "pinentry-program $(which pinentry-mac)" >> ~/.gnupg/gpg-agent.conf

然后重启 gpg-agent 即可

echo RELOADAGENT | gpg-connect-agent

创建用于 SSH 鉴权的子密钥

创建子密钥

首先我们查看一下主密钥的相关信息

gpg --list-keys --keyid-format=long
gpg: 正在检查信任度数据库
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: 深度：0  有效性：  4  已签名：  0  信任度：0-，0q，0n，0m，0f，4u
[keyboxd]
---------
pub   ed25519/D188A1DD832AB894 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
uid                   [ 绝对 ] zebedy 
sub   cv25519/2978529F4782B600 2024-03-24 [E]

第一行开头的 pub 表示这个是公钥, ed25519 是上面创建密钥时选择的椭圆曲线方法, 后面的 D188A1DD832AB894 是公钥的 16 位短摘要, 2024-03-24 是生成时间, [SC] 中 S:signing 表示可以用于签名 C:certification 表示可以用于认证。
第二行 A31F6E522B93990CA1A1C548D188A1DD832AB894 是密钥的 40 位长摘要。其中上面的短摘要就是长摘要的后 16 位。
第三行 uid 是用户信息，[ 绝对 ] 表示该密钥的信任等级是最高级别: 绝对信任。后面分别是输入的名字，注释和电子邮件
第四行 sub 表示这个是子公钥，是创建主密钥的时候自动生成的一个子密钥，最后的[E] 中 E:encryption 表示可用于加密

当然我们也可以通过 --list-secret-keys 查看私钥

gpg --list-secret-keys --keyid-format=long
[keyboxd]
---------
[keyboxd]
---------
sec   ed25519/D188A1DD832AB894 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
uid                   [ 绝对 ] zebedy 
ssb   cv25519/2978529F4782B600 2024-03-24 [E]

内容和上面只有前面的 pub -> sec(表示私钥)，sub -> ssb(表示子私钥) 不一样，其他的内容都一样。

通过上面知道主密钥的摘要是 D188A1DD832AB894 (这里用长短摘要都可以。但是为了方便，后面就都用短摘要。也可以直接使用 uid 中的姓名)

接下来就需要用这个主密钥生成一个子密钥。因为需要用到高级自定义，所以需要加上 --expert

gpg --expert --edit-key D188A1DD832AB894 # 或者是 gpg --expert --edit-key zebedy
gpg (GnuPG) 2.4.5; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

私钥可用。

sec  ed25519/D188A1DD832AB894
     创建于：2024-03-24  有效至：永不       可用于：SC
     信任度：绝对        有效性：绝对
ssb  cv25519/2978529F4782B600
     创建于：2024-03-24  有效至：永不       可用于：E
[ 绝对 ] (1). zebedy 

gpg>

可以看到这里 shell 变成了 gpg> 表示进入了与 GPG 的交互

输入 addkey 添加一个新的子密钥

gpg> addkey
请选择您要使用的密钥类型：
   (3) DSA（仅用于签名）
   (4) RSA（仅用于签名）
   (5) ElGamal（仅用于加密）
   (6) RSA（仅用于加密）
   (7) DSA（自定义用途）
   (8) RSA（自定义用途）
  (10) ECC（仅用于签名）
  (11) ECC（自定义用途）
  (12) ECC（仅用于加密）
  (13) 现有密钥
 （14）卡中现有密钥
您的选择是？ 8

输入 8 回车确认，使用 RSA（自定义用途） 选项手动配置这个密钥。

RSA 密钥的可实现的功能： 签名（Sign） 加密（Encrypt） 身份验证（Authenticate）
目前启用的功能： 签名（Sign） 加密（Encrypt）

   (S) 签名功能开关
   (E) 加密功能开关
   (A) 身份验证功能开关
   (Q) 已完成

您的选择是？ S

这里可以看到这个子密钥目前启用的功能有 签名（Sign） 和 加密（Encrypt）

但是 SSH 鉴权不需要这两个功能，所以我们先要取消这两个功能。

输入 S 回车后取消 签名（Sign） 的功能

RSA 密钥的可实现的功能： 签名（Sign） 加密（Encrypt） 身份验证（Authenticate）
目前启用的功能： 加密（Encrypt）

   (S) 签名功能开关
   (E) 加密功能开关
   (A) 身份验证功能开关
   (Q) 已完成

您的选择是？ E

现在子密钥目前启用的功能就只有 加密（Encrypt） 了，再次输入 E 回车。

RSA 密钥的可实现的功能： 签名（Sign） 加密（Encrypt） 身份验证（Authenticate）
目前启用的功能：

   (S) 签名功能开关
   (E) 加密功能开关
   (A) 身份验证功能开关
   (Q) 已完成

您的选择是？ A

现在已启用功能就没有了任何内容，输入 A 回车后开启 SSH 鉴权需要的功能。

RSA 密钥的可实现的功能： 签名（Sign） 加密（Encrypt） 身份验证（Authenticate）
目前启用的功能： 身份验证（Authenticate）

   (S) 签名功能开关
   (E) 加密功能开关
   (A) 身份验证功能开关
   (Q) 已完成

您的选择是？ Q

然后输入 Q 结束自定义功能，进入 RSA 密钥选项。

因为添加子密钥的时候选择的是 RSA 密钥，所以这里需要指定密钥长度。长度越长，安全性越高。我这里就选择 4096

RSA 密钥的长度应在 1024 位与 4096 位之间。
您想要使用的密钥长度？(3072) 4096

然后设置子密钥的有效期。因为也是个人长期使用，所以选择 0 密钥永不过期

请设定这个密钥的有效期限。
         0 = 密钥永不过期
        = 密钥在 n 天后过期
      w = 密钥在 n 周后过期
      m = 密钥在 n 月后过期
      y = 密钥在 n 年后过期
密钥的有效期限是？(0) 0

然后经过两次输入 y 的确认后，会提示输入主密钥的密码。因为创建子密钥需要用到主密钥的私钥，所以需要用到主密钥的密码。

输入完正确密码后，经过短暂时间就生成了一个 RSA 密钥。

我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘
、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数
发生器有更好的机会获得足够的熵。

sec  ed25519/D188A1DD832AB894
     创建于：2024-03-24  有效至：永不       可用于：SC
     信任度：绝对        有效性：绝对
ssb  cv25519/2978529F4782B600
     创建于：2024-03-24  有效至：永不       可用于：E
ssb  rsa4096/EFA3B0684ECE9D91
     创建于：2024-03-24  有效至：永不       可用于：AR
[ 绝对 ] (1). zebedy 

gpg>

和上面相比可以看到已经多了一个摘要为 EFA3B0684ECE9D91 的子密钥。

还有最后一步，输入 save 回车保存就退出 GPG 的交互 shell 了。

至此，子密钥创建完成。

回到查看密钥信息那里。我们再通过 --list-keys 查看当前密钥信息就可以看到这个子密钥了。

gpg --list-keys --keyid-format=long
[keyboxd]
---------
pub   ed25519/D188A1DD832AB894 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
uid                   [ 绝对 ] zebedy 
sub   cv25519/2978529F4782B600 2024-03-24 [E]
sub   rsa4096/EFA3B0684ECE9D91 2024-03-24 [AR]

相比上面可以看到到了一个 EFA3B0684ECE9D91 的子密钥

配置 SSH

启用 GPG Agent 的 SSH 支持

vim ~/.gnupg/gpg-agent.conf # 文件可能不存在，如不存在则创建

在文件中单独一行添加 enable-ssh-support

设置 GPG Agent 替代 SSH Agent

修改对应 shell 的配置文件 (我使用的是 zsh，自己根据使用的 shell 调整)

vim ~/.zshrc

添加以下内容到合适的地方

export GPG_TTY=$(tty)
export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)
gpgconf --launch gpg-agent

添加子密钥 keygrip

首先通过 --with-keygrip 获取子密钥的 keygrip

gpg --list-keys --with-keygrip --keyid-format=long
[keyboxd]
---------
pub   ed25519/D188A1DD832AB894 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
      Keygrip = F95E3D5B168563C4F65853E8C0396815CE819A21
uid                   [ 绝对 ] zebedy 
sub   cv25519/2978529F4782B600 2024-03-24 [E]
      Keygrip = C5F82430DCB7B754782189638CBC8778D3E84AB8
sub   rsa4096/EFA3B0684ECE9D91 2024-03-24 [AR]
      Keygrip = 9C0935998C1D9F9BDE3030BB1C1A10A4454E56F8

找到上一步创建的子密钥 EFA3B0684ECE9D91 他的 Keygrip = 9C0935998C1D9F9BDE3030BB1C1A10A4454E56F8

编辑 ~/.gnupg/sshcontrol 文件

vim ~/.gnupg/sshcontrol

将这个 9C0935998C1D9F9BDE3030BB1C1A10A4454E56F8 添加到单独一行，保存。

然后重启终端

检查 SSH Key 是否存在

ssh-add -l
4096 SHA256:GvaU9MfvKVMa9FVM+KN28z+MDCML6429dWeILycSPPw (none) (RSA)

看到类似内容就表示添加成功

导出 SSH 公钥

gpg --export-ssh-key EFA3B0684ECE9D91 # 或者是 gpg --export-ssh-key zebedy
ssh-rsa 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 openpgp:0x4ECE9D91

然后就可以把这个它添加到任何需要使用 SSH 的地方，比如 GitHub 或者自己服务器上的 ~/.ssh/authorized_keys 中。

至此，通过 GPG 生成 SSH 专用密钥的过程就结束了。

创建用于代码签名的子密钥

检查密钥邮箱

备注: 如果在初次使用的时候输入的邮箱不是 GitHub 或者 GitLab 的邮箱。

那么需要在编辑密钥 gpg --expert --edit-key D188A1DD832AB894 的交互中通过 adduid 给主密钥添加对应的邮箱。

gpg --edit-key D188A1DD832AB894 # 编辑主密钥
gpg (GnuPG) 2.4.5; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

私钥可用。

sec  ed25519/D188A1DD832AB894
     创建于：2024-03-24  有效至：永不       可用于：SC
     信任度：绝对        有效性：绝对
ssb  cv25519/2978529F4782B600
     创建于：2024-03-24  有效至：永不       可用于：E
ssb  rsa4096/EFA3B0684ECE9D91
     创建于：2024-03-24  有效至：永不       可用于：AR
[ 绝对 ] (1). zebedy 

gpg> adduid
真实姓名： github name # GitHub/GitLab 用户名（也可以不和用户名一致）
电子邮件地址： github@gmail.com # GitHub/GitLab 邮箱（必须一致）
注释： github # 可选
您选定了此用户标识：
    “github name (github) ”

更改姓名（N）、注释（C）、电子邮件地址（E）或确定（O）/退出（Q）？ O

sec  ed25519/D188A1DD832AB894
     创建于：2024-03-24  有效至：永不       可用于：SC
     信任度：绝对        有效性：绝对
ssb  cv25519/2978529F4782B600
     创建于：2024-03-24  有效至：永不       可用于：E
ssb  rsa4096/EFA3B0684ECE9D91
     创建于：2024-03-24  有效至：永不       可用于：AR
[ 绝对 ] (1)  zebedy 
[ 未知 ] (2). github name (github) 

gpg> save # save 保存退出

然后查看密钥信息就可以看到已经包含新的 uid 了。

gpg --list-keys --keyid-format=long
[keyboxd]
---------
pub   ed25519/D188A1DD832AB894 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
uid                   [ 绝对 ] github name (github) 
uid                   [ 绝对 ] zebedy 
sub   cv25519/2978529F4782B600 2024-03-24 [E]
sub   rsa4096/EFA3B0684ECE9D91 2024-03-24 [AR]

生成子密钥

和上面生成创建用于 SSH 鉴权的子密钥子密钥的过程类似，但是这里我们不需要自定义密钥功能。所以不必使用 --expert 参数

这里密钥类型可以选择 ECC 也可以选择 RSA，但是注意，不管是 ECC 还是 RSA，都需要选择包含 仅用于签名 的选项。

这里我就用 ECC 举例，具体过程就不再赘述，和上面创建子密钥的过程基本一致，只是没有了自定义密钥功能，过程更简单了。

创建完成后同样记得使用 save 保存后自动退出 GPG 的交互环境，然后查询一下当前的密钥。

gpg --list-keys --keyid-format=long
[keyboxd]
---------
pub   ed25519/D188A1DD832AB894 2024-03-24 [SC]
      A31F6E522B93990CA1A1C548D188A1DD832AB894
uid                   [ 绝对 ] github name (github) 
uid                   [ 绝对 ] zebedy 
sub   cv25519/2978529F4782B600 2024-03-24 [E]
sub   rsa4096/EFA3B0684ECE9D91 2024-03-24 [AR]
sub   ed25519/0623CAE2AAFF25C2 2024-03-24 [S]

就看到了新创建的密钥 0623CAE2AAFF25C2 用途只有 [S]，只用于签名。

查询子密钥公钥

通过 --export 查询子密钥公钥，但是默认是二进制的格式，所以还需要 --armor 显示为文本格式才能使用。

gpg --armor --export 0623CAE2AAFF25C2! # 注意这里在密钥摘要末尾有一个英文的感叹号!
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=qGsF
-----END PGP PUBLIC KEY BLOCK-----

为什么要在摘要末尾添加一个 ! 号呢？

因为如果没有这个感叹号则会导出这个子密钥所属的主密钥下的所有公钥。

gpg --armor --export 0623CAE2AAFF25C2 # 这里没有感叹号，发现内容相比上面长了很多
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=7KWW
-----END PGP PUBLIC KEY BLOCK-----

因为我们只需要这个子密钥，所以使用 ! 只包含该子密钥的公钥就行。

然后将该公钥添加到 GitHub 或者 GitLab 中即可。

配置 Git

给 Git 全局配置签名 Key

git config --global user.signingkey 0623CAE2AAFF25C2!

如果不需要自动使用 GPG 签名代码，可以每次在 commit 的时候使用 -S 参数（大写 S）进行签名

如果想提交的时候自动签名，可以进行配置。

git config --global commit.gpgsign true

然后再次提交代码后就可以查看签名信息了。

git log --show-signature

同时 push 到 GitHub 上后也可以看到提交有一个 verified 的标记。

至此，创建用于代码签名的子密钥结束。

更改 macOS 强调色

2022-11-24T14:31:15.000Z

Apple 在 iMac 24” Mac 中首次使用了新的强调色，这些强调色是这些 Mac 独有的。但是现在只要是 macOS 11.3.1 以上的系统，即使不是 iMac 24” 机器，也可以使用这些特有的强调色。

首先需要开启基于硬件的强调色 NSColorSimulateHardwareAccent 功能

defaults write -g NSColorSimulateHardwareAccent -bool YES

然后通过 NSColorSimulatedHardwareEnclosureNumber 选择其中任意一种颜色。其中可选的颜色选项为 3 到 8 (包含 3 和 8)

defaults write -g NSColorSimulatedHardwareEnclosureNumber -int 3

然后重新启动电脑或者退出登录重新登录即可生效。
然后在 系统设置 -> 外观选项卡 -> 强调色 和 高亮标记颜色 选项中会出现一个 这台 Mac 的颜色选项，其中颜色即为上面设置的颜色。

以下是 NSColorSimulatedHardwareEnclosureNumber 不同值的实际效果

OpenWrt 配置记录

2022-03-02T07:43:35.000Z

GitLab 自动部署 GitHub Pages 博客

2022-02-14T06:26:03.000Z

在之前《搭建家庭私人 GitLab 服务器》说到我现在有这样的需求，而且根据上一篇，我们已经搭建好了这样的一个环境。那么有什么就赶紧用起来吧。

那么这一篇主要是介绍一下如何用这个家庭私人 GitLab 实现自动部署托管在 GitHub Pages 上的博客。本文使用的是 Hexo 框架 + Next 主题，其他的静态博客框架大同小异。这的关注点不在搭建博客，这里假定你已经有了一个正在托管的 GitHub Pages 博客。这篇文章将此博客为例子讲解一下。

为什么

用过 Hexo 的都知道，它需要在你的本地电脑上搭建一个 Node 环境。安装框架、自定义修改配置、Markdown 写文章，然后生成、最后利用 Git 推送到 GitHub 仓库然后才能在网上看到发布的文章。那么这样带来了一个问题：如果某一天你本地的写博客的环境丢失了（比如电脑坏了，硬盘坏了等等等等）那么如果你想再更新你的博客就需要再次搭建这样一个环境，除了需要将所有的配置再次配置一遍，关键是旧的 Markdown 文章已经几乎再找不回来了。

几年前我也是因为这个原因导致放弃了之前写了很多文章的博客。那到这里就有人想了，如果我把位于本地的那个 ‘环境’ 也用 Git 管理起来呢？不错的想法，之后我也是这样做的，在 GitHub 上再新建一个仓库，用来保存本地写博客的环境，这样一来，即使换电脑了，只需要把这个仓库 clone 下来，安装一下相关的依赖，就可以继续了。

看起来很美好，但很快就遇到另一个问题：这里相当于把你的博客所有源码都公开了出去，有什么弊端么？比如假如你使用了 hexo-blog-encrypt 插件对某些博客进行加密，密码使需要明文写在待加密博客的头部信息里的。好家伙，这样一来，不就成了防君子不防小人了？所以这就需要把源码托管在我们之前搭建那个家庭私人的 GitLab 上的。

但是过了一段时间，我又双叒叕发现了一个问题：我经常忘记把本地的博客源码 push 到 GitLab 上。大部分的时候都是本地写完，修改的差不多之后就 hexo deploy 部署后就忘了 push 到 GitLab，导致用的时候该丢的文章还是丢了。恼羞成怒之下，萌生了利用 GitLab CI/CD 自动部署。实现每次写完文章，只需要 push 本地源码到 GitLab，然后 GitLab 自动部署。这样一来就不怕每次写完文章手动部署之后忘记提交本地源码，二来也减少了需要手动的步骤。毕竟懒惰才是人类的第一生产力。

开始吧

安装 Docker

使用 GitLab CI/CD 功能不是必须 Docker，但是容器化的 Docker 能够隔离物理机，防止一言不合一个 rm -rf /* 让你的心血白费。

以下命令需要 ssh 到 GitLab 服务所在的机器中进行

卸载旧版本 Docker（如果没安装过，可以省略）

sudo apt remove docker docker-engine docker.io containerd runc

安装必要依赖

sudo apt update && sudo apt install apt-transport-https ca-certificates curl gnupg lsb-release

添加 apt 源

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

echo \
 "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
 $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

安装 Docker

sudo apt update && sudo apt install docker-ce docker-ce-cli containerd.io

启动 Docker

sudo systemctl enable docker
sudo systemctl start docker

如果以上命令没有出现错误，那么 docker 就已经安装到服务器上了。如果不放心，可以通过 sudo docker -v 命令，如果输出类似 Docker version 20.10.12, build e91ed57 就说明 docker 已经正确安装了。

安装 Gitlab-Runner

以下的命令都需要 ssh 到 GitLab 服务所在的机器中进行

添加 gitlab-runner 库

curl -L "https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.deb.sh" | sudo bash

安装 gitlab-runner

sudo apt install gitlab-runner

如果一切顺利，gitlab-runner 就安装好了，可以运行 sudo gitlab-runner -v 如果没有错误，则说明 gitlab-runner 安装成功。

注册 Runner

首先使用 root 用户登录 gitlab -> 点击左上方 Menu -> 进入 Admin -> 点击左侧面板 Overview 下的 Runners

然后点击右上方 Register an instance runner，复制 Registration token

再次通过 ssh 连接 GitLab 服务器注册一个共享 Runner

sudo gitlab-runner register
Enter the GitLab instance URL (for example, https://gitlab.com/):
http://git.home/            # 本地 GitLab 域名或者IP
Enter the registration token:
xxxxxxxxxxxxxxxx            # 上面获取到的 token
Enter a description for the runner:
[ubuntu]: node              # runner 自定一个名字
Enter tags for the runner (comma-separated):
node                        # runner tag 的名字，通过 tag 指定运行 runner
Registering runner... succeeded                     runner=xxxxxx
Enter an executor: custom, ssh, docker-ssh+machine, kubernetes, docker, docker-ssh, parallels, shell, virtualbox, docker+machine:
docker                      # 这里选择 docker
Enter the default Docker image (for example, ruby:2.6):
node:17                     # docker 镜像以及版本
Runner registered successfully. Feel free to start it, but if it's running already the config should be automatically reloaded!

当创建好 Runner 之后，再次回到 Runners 页面刷新就可以显示刚刚创建的 Runner 了。

创建 SSH 密钥对

在本地或者服务器上执行

ssh-keygen -f blog -t rsa -b 2048 -C "xxxx@xxx.xxx"     # 邮箱自行替换

生成一个无密码的 SSH 的密钥对

公钥为 blog.pub，私钥为 blog

GitHub 添加 Deploy keys

将 blog.pub 公钥的内容全部复制到 Key 中，然后 Title 处自定义一个名字

GitLab 配置 CI/CD

进入 GitLab 博客项目，点击 Settings 下的 CI/CD，右侧展开 Runners 选项卡，右侧 Shared runners 打开 Enable shared runners for this project 选项

然后再展开到下方 Variables

添加两个环境变量分别是

SSH_KNOWN_HOSTS

github.com ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBEmKSENjQEezOmxkZMy7opKgwFB9nkt5YRrYMjNuG5N87uRgg6CLrbo5wAdT/y6v0mKV0U2w0WZ2YB/++Tpockg=

SSH_PRIVATE_KEY
创建 SSH 密钥对中的私钥 blog 内容

项目 `.gitlab-ci.yml` 配置

经过以上配置，现在离成功有一步之遥。

在 GitLab 博客源码项目根目录下创建一个 .gitlab-ci.yml 的配置文件

stages:
  - deploy

deploy:
  stage: deploy
  only:
    - main # 指定只有主分支触发该 CI
  tags:
    - node # 此处 tag 指定创建 GitLab Runner 时候填写 tag 名字
  before_script:
    - ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
    - "which ssh-agent || ( apt-get update -y && apt-get install openssh-client -y )"
    - eval $(ssh-agent -s)
    - mkdir -p ~/.ssh
    - rm -rf ~/.ssh/id_rsa
    - touch ~/.ssh/id_rsa
    - echo "$SSH_PRIVATE_KEY" > ~/.ssh/id_rsa
    - rm -rf ~/.ssh/known_hosts
    - touch ~/.ssh/known_hosts
    - echo "$SSH_KNOWN_HOSTS" > ~/.ssh/known_hosts
    - chmod 700 ~/.ssh
    - chmod 700 ~/.ssh/*
    - git config --global user.email "xxxx@xxx.xxx" # GitHub 的邮箱
    - git config --global user.name "xxxx" # GitHub 的名字
    - git config --global init.defaultBranch main # GitHub 项目的主分支 main 或者 master
  script:
    - npm install -g hexo-cli
    - npm install hexo-deployer-git --save
    - npm install hexo-renderer-swig --save
    - npm install hexo-generator-searchdb --save
    - npm install hexo-symbols-count-time --save
    - npm install hexo-generator-sitemap --save
    - npm install hexo-abbrlink --save # 以上 npm 步骤根据自己添加的插件自定义
    - hexo clean
    - hexo generate
    - hexo deploy

然后 git add .gitlab-ci.yml 最后推送到仓库之后，从侧边 CI/CD 下 Pipelines 就可以看到自动运行部署工作了

结束

经过以上的步骤，现在就可以每次在本地编辑后，只需要推送到 GitLab 并稍等片刻，GitHub Pages 的页面就有最新的内容了。

搭建家庭私人 GitLab 服务器

2022-02-05T13:12:34.000Z

大概今年（2022）一月中旬的时候入手了一个 R86S 的小主机。因为错过了众筹的车，所以是直接下的单。最后入手了 16G 的黑色千兆版本。不上万兆一个原因是家里没有这个需求，还有一个就是万兆版的没有 NVME 硬盘位，这一点对我还是刚需。

最后用了差不多一周的时间，终于在年前，这个心心念的小主机到手了。
有关这个小主机我就不多做介绍了，今天主要是介绍一下我怎么用它在我的家庭环境搭建一个私人的 GitLab。这篇文章从我为什么要搭建家庭私人 GitLab 以及如何搭建。都会都做一个比较详细的介绍。

初衷

家里是有一个 J4125 的软路由，去年很早就买了。一直在我家作为主路由负责拨号和科学上网的功能，用的 OpenWrt 也是我自己配置和 GitHub Action 编译的，也满足了我家的基本需求。而且也因为是物理机直装，再加上害怕 J4125 玩起来怕性能不够，再影响了正常的网络。所以也就不想再折腾他了，就让他安安心心做我家的路由器就好了。

但与此同时呢，作为一个爱折腾的程序员，身边的很多不管是硬件还是软件的小玩意儿都是有特别的需求的。

就比如去年（2021）年买的一个 STACK OVERFLOW THE KEY MACROPAD 键盘，配上从淘宝买的键帽，因为使用 QMK 的键盘方案，所以可以定制固件。现在已经成为了我的专用密码输入器。但是问题来了，因为我现在还尝试看他还有没别的好玩的东西，所以我需要对这个键盘固件的代码不断进行修改、编译、刷入，然后再尝试修改、编译、刷入。这样的操作重复起来会让人很繁琐，但是因为固件中存在一些敏感代码（比如我的各种密码）所以不方便托管到 GitHub。所以之前我就在想要是能有一个私人的 Git 多好。除了代码的托管，如果还可以加入 CI/CD 这种持续集成的能力，就可以解放很多无谓的重复的劳动。而能同时满足这个需求的让我想到的第一个解决方案就是 GitLab 了。

除了上面说的那个键盘固件，还有比如说我的 Rime（鼠须管）的配置文件，因为词库中有很多的自定义词，以及还有人名通讯地址之类的敏感词，所以也是不方便把这个配置直接托管在 GitHub 上的。

还有现在看到的这个博客，用 Hexo 生成的 GitHub Pages 静态页面，博客本身的代码我不想放到 GitHub 上，所以这时候的我也需要一个私人的 GitLab。除了能实现代码的托管，还能顺便利用 GitLab CI 实现一键发布，每次只要提交了代码，稍等片刻 GitHub Pages 就自动部署好了。

开始

上面说了那么多。现在有了 R86S 这样一个性能跟得上的小主机，在东西到货的第二天，就开始了他的折腾之路。

安装硬件

因为这个 R86S 只带了一个电源，内置的一个 EMMC 容量只有 128G 且性能堪忧。所以第一步是安装一个自己的 NVME 固态。记得之前有一块买多了的吃灰三星 980 Pro 500G，都没有开封。之前还差点给挂到海鲜市场出掉，现在终于派上用场了。
安装好硬盘然后找一个网线，连接好路由器的 LAN 口和 R86S 的随便一个网口。连接好键盘鼠标，就可以插上电源自动上电开机了。

安装系统

既然是是要做小型服务器，哪有用桌面操作系统的。所以这里就选择了 Ubuntu Server 20.04.3 LTS。下载完镜像后，写入到 U 盘。然后就可以通过 U 盘启动就可以进安装环节了。
安装系统有几个点需要注意一下

分配 IP 地址的方式
在进行网络配置的时候，既可以通过 DHCP 动态分配 IP，也可以手动指定。如果是 DHCP 分配，则后续需要到路由器中绑定一下 Mac 地址和 IP，毕竟我们在内网访问也是需要有一个内网的固定 IP。通过手动指定 IP 地址，要注意不要和现有分配的的地址冲突。手动指定 IP 就不需要后续到路由器绑定 Mac 地址和 IP 了。
选择安装硬盘
因为主板上带一个 EMMC，所以在选择硬盘的时候记得选自己安装的 NVME SSD 上，而且调整根目录大小调整为剩余 SSD 所由空间。否则根目录默认只划分了 100G，后面进入系统后还需要手动扩容。
安装后修改网络配置
安装完系统后重新启动有可能会出现日志 A start job is running for wait for network to be configured. 导致需要很长时间才能进入系统。这时候需要等进到系统后修改网络配置文件
/etc/netplan/00-installer-config.yaml（文件名 00-installer-config.yaml 不固定，但是文件名类似的一个 yaml 文件)
在每一个设备下面添加 optional: true
最后的配置应该类似
network:
ethernets:
enp1s0:
dhcp4: true
optional: true
enp2s0:
dhcp4: true
optional: true
enp3s0:
dhcp4: true
optional: true
version: 2
然后应用更改
netplan apply

创建 GitLab 备份位置

上面说到了，这个 R86S 自带一个 128G 的 EMMC 存储，虽然性能比较差，但是东西不能浪费了。所以这里我拿来作为一个独立的 GitLab 数据备份存储，即使是主硬盘挂了，还有一份独立的备份存在，而且短时间内 128G 还是够用的。

创建新的硬盘分区

sudo cfdisk /dev/mmcblk0        # mmcblk0 是 EMMC 设备
sudo mkfs.ext4 /dev/mmcblk0     # 格式化为 ext4

挂载到 /mmc

sudo vim /etc/fstab
# 添加一行
/dev/mmcblk0 /mmc ext4 defaults 0 0

安装 GitLab

安装依赖

sudo apt install -y curl openssh-server ca-certificates tzdata perl

添加 GitLab 源

curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

安装 GitLab

sudo apt install gitlab-ce

获取 root 用户密码

cat /etc/gitlab/initial_root_password

注意，这个文件后面会被自动删除。因此请及时保管好该密码或者及时进行修改。

配置 GitLab

如果上面几步都比较顺利，不出意外，现在应该已经在这个系统中安装好了 GitLab。接下来先进行一些简要地配置。

GitLab 的配置文件是 /etc/gitlab/gitlab.rb

我家 OpenWrt 主路由在 DHCP 中设置的 本地服务器 和 本地域名 分别为 /home/ 和 home，同时我也希望能通过域名访问这个 GitLab 服务器。所以我还添加了一条 自定义挟持域名，其中域名为 git，IP 地址为 R86S 分配的固定 IP（比如我家的是 192.168.50.50）。这样我就可以通过域名 http://git.home 来访问这个 GitLab 服务器了。

根据以上前提，这里需要修改的几个地方

external_url 'http://git.home'
gitlab_rails['gitlab_ssh_host'] = 'git.home'
gitlab_rails['time_zone'] = 'Asia/Shanghai'
gitlab_rails['backup_path'] = '/mmc'

backup_path 即为 EMMC 设备的挂载点

修改完 gitlab.rb 后需要重新配置 GitLab 才能生效

sudo gitlab-ctl reconfigure

稍等片刻，在浏览器中打开 http://git.home 就可以看到搭建好的 GitLab 了。

Hello World

2022-02-05T05:51:50.000Z

Hello World

Undefined

Claude Code statusline

把 DNS 服务变为一个聊天室

架构概览

密钥与路由分离

DNS 查询名格式 (QName)

方向 (Dir) 说明

E2E 加密流程

加密 (发送方)

解密 (接收方)

加密参数

分块传输机制

发送方分块

服务端重组

大小限制

Poll 响应帧格式

响应大小限制

DNS 传输

自适应轮询

昵称管理

注册流程

离开流程

会话过期自动恢复

完整消息生命周期

服务端会话状态

全流程

Hexo 使用通行密钥对文章加密

整体思路

混合加密 (Hybrid Encryption)

测试页面

食用指南

站点配置

注册 FIDO2 流程

加密流程

解密流程

使用方法

七零八碎

修补 head-unique.njk

修补 post.njk

修补 post-collapse.njk

测试加密文章

NexT 主题高级标签插件

按钮 Button

用法

例子

笔记 Note

设置

用法

例子

标签页 Tabs

设置

用法

例子

文本标签 Label

用法

例子

iPhone 17 壁纸

Cloudflare Workers 通用 Turnstile 验证模块

${title}

Windy 自定义色层

气象雷达 [radar]

Hexo 静态博客使用 Cloudflare Turnstile

安全验证

Cloudflare 使用 Workers 建立 Images 代理

使用 Images

使用 R2

调整 macOS 顶部菜单栏图标间距

Cloudflare 设置引用站点策略

macOS Chrome '这些扩展程序不再受支持，因此已停用' 解决办法

通过 chrome://flags (推荐)

通过企业政策管理

有点意思的 Python 系列二 内置类型增加额外方法(二)

Step 1 下载代码

配置环境

Step 2 修改代码

修改 list

修改 dict

修改 float

修改 int

Step 3 编译

有点意思的 Python 系列二内置类型增加额外方法(二)

有点意思的 Python 系列二内置类型增加额外方法

有点意思的 Python 系列一数学函数和导数计算

替换默认 `pinentry`

创建用于代码签名的子密钥

项目 `.gitlab-ci.yml` 配置