## Keycloak & OpenFGA 集成:事件发布者摘要
此 Keycloak 扩展将 Keycloak 的身份验证与 OpenFGA 的细粒度授权(ReBAC)连接起来。它充当事件监听器提供程序,监控 Keycloak 事件,例如用户/角色分配和组 membership。
在检测到相关事件时,扩展会使用 OpenFGA Java SDK 将其转换为 OpenFGA Tuple key,并通过 HTTP 发布到 OpenFGA 服务器。这种同步允许应用程序利用 OpenFGA 作为策略决策点 (PDP) 来强制执行细粒度的访问控制。
该架构通过让 Keycloak 管理身份验证和基于角色的基本访问,同时让 OpenFGA 处理复杂的基于关系的权限,从而简化了授权。扩展通过环境变量配置 OpenFGA API URL、Store ID 和 Authorization Model ID。
安装涉及将扩展的 JAR 文件复制到 Keycloak 的 providers 目录并重建 Keycloak 实例。它主要在基于 Quarkus 的 Keycloak 发行版上进行测试。
每日HackerNews RSS
一个新的开源项目“Event Publisher”(github.com/embesozzi)旨在简化Keycloak(身份提供者)与OpenFGA(授权服务器)的集成。它解决的核心问题是同步这两个系统之间的授权相关数据——特别是将Keycloak中的身份信息同步到OpenFGA。
发布者强调这是一个有价值的工具,但也承认它不是一个完整的解决方案。虽然它可以处理身份同步,但保持应用程序/领域数据与授权服务器同步仍然是一个挑战,通常需要使用OpenFGA的SDK。
作者澄清他们尚未亲自使用该软件,并指出潜在的维护问题,同时也披露了与Keycloak和OpenFGA领域内竞争产品的专业关系。
## 证书颁发机构现在必须进行DNSSEC验证 自2026年3月15日起,证书颁发机构(CA)**必须**验证已启用DNSSEC的域名对应的DNSSEC记录。这意味着CA必须在证书颁发过程中(例如ACME)验证DNS响应的真实性——包括确定证书颁发权限的CAA记录。 作者成功运行DNSSEC 14年,预计CA已经为这一变化做好了准备,但现在强制执行已正式生效。 虽然DNSSEC可能看起来很复杂,但文章鼓励域名所有者——特别是那些阅读技术博客的人——**检查他们的注册商是否支持DNSSEC**并考虑启用它。这可能是一个简单的步骤,可以显著提高域名安全性。
一项针对证书颁发机构 (CA) 的新要求将于 2026 年 3 月生效,该要求将在为启用 DNSSEC 的域名颁发证书时强制进行 DNSSEC 验证——Let's Encrypt 已经这样做。然而,DNSSEC 的采用率仍然极低,即使是在热门网站中也是如此。
对排名前 1000 位的域名(通过 Tranco List)的分析显示,DNSSEC 的普及率仅为个位数,排名前 100 位的域名中更是低至 2%。值得注意的是,一年多的监测显示,只有三个域名的 DNSSEC 状态发生了变化,其中 Canva 曾短暂禁用过它。
作者得出结论,DNSSEC 在很大程度上是“停滞的”,尽管它在保护域名免受某些攻击方面具有好处,但很少有网站所有者积极考虑或实施它。DNS 服务提供商鼓励启用 DNSSEC,因为它会因配置的复杂性和潜在的灾难性错误而增加客户锁定。
这个交互式工具可视化了美国劳工统计局的就业市场数据,涵盖了3.42亿个工作岗位中的14300万个。可视化采用树状图,矩形大小表示就业人数,颜色代表可选择的指标,如预计增长、薪资、教育程度和人工智能暴露程度。 值得注意的是,该工具利用大型语言模型(LLM)来评估和对职业进行颜色编码,基于自定义提示——目前展示的是“数字人工智能暴露程度”。该暴露评分(0-10)估计了人工智能将如何重塑一个工作,同时考虑自动化和生产力影响,数字化的岗位将获得更高的评分。 重要的是,这些人工智能暴露评分是LLM的*估计值*,而非工作岗位的流失预测。高分表明存在重大变化的潜力,不一定意味着被取代,并且没有考虑到就业需求或监管等因素。用户可以通过每个职业方块中的链接直接探索劳工统计局的数据。
## 美国就业市场与人工智能:Hacker News 讨论
Andrej Karpathy 的新“美国就业市场可视化工具”引发了 Hacker News 的讨论,焦点集中在人工智能对就业的影响。一个关键主题是,那些对人工智能持有意识形态反对态度的人低估了它的潜力,而其他人则认为人工智能的进步是不可避免的,并将从根本上重塑就业格局。
许多评论员表示担忧,许多工作将变得在经济上无关紧要,并质疑当前的领导层是否理解即将到来的变化的规模。对于劳工统计局 (BLS) 数据的可靠性存在怀疑,因为该数据滞后于实时变化,并且历史预测不准确。
讨论还涉及人工智能生成盈余的分配,一些人认为它主要使富人受益。另一些人指出,失业工人有可能在幼儿教育等领域找到工作。人们对该工具依赖单个 LLM 提示进行分析表示担忧,以及基于此类数据做出错误决策的可能性。最终,这场对话凸显了人工智能在劳动力市场中的承诺和潜在颠覆性。
OpenBSD 是否异类?对活跃的 OpenBSD 社区成员维亚切斯拉夫·沃龙佐夫的采访,探讨了该操作系统独特的特性及其在更广泛的 BSD 生态系统中的地位。与 GNU/Linux 不同,OpenBSD 强调一个紧密集成的“基础系统”,专为日常使用而设计,优先考虑安全性、极简主义和通过“自食其果”实现开发者一致性。讨论强调了 OpenBSD 直观的结构、安全的默认设置以及与主流替代方案相比更小的攻击面,同时也承认了硬件支持和软件可移植性等挑战。文章还考察了小型、专注的社区在推动创新方面的影响,例如 OpenSSH 和 tmux,并讨论了 BSD 项目和 ReactOS 等利基操作系统社区之间的协作。沃龙佐夫分享了 OpenBSD 在特定用例(如服务器和防火墙)中的优势,并概述了社区增长和基础设施发展的未来目标。
一个黑客新闻的讨论围绕着一篇博文,该博文认为FreeBSD抵制AI工具,特别是Claude Code,使其面临变得无关紧要的风险。原作者认为FreeBSD不愿采用这些工具可能会阻碍其发展。
然而,评论者们大多为FreeBSD的立场辩护。许多人表达了对大型语言模型(LLM)的负面后果的担忧——包括数据隐私、作者身份问题以及低质量代码(“slop”)的泛滥。一些人欣赏FreeBSD对安全性的关注以及维护强大、易于理解的代码库。
一个关键点是,Claude Code的创建者Anthropic实际上已经放弃了跨平台支持,包括对BSD系统的支持,这可能预示着对开源软件的更广泛威胁。虽然一些人承认AI代码生成在个人项目中的实用性,但他们仍然对其整体价值持怀疑态度,并对其对软件质量和许可的影响感到担忧。
## AI 代理集成隐藏成本 通过传统方法(多工具调用 - MCP)将 AI 代理连接到工具(如 API)面临一个重要且经常被忽视的问题:**上下文窗口膨胀**。 描述即使是适量的工具也会消耗代理可用“思考空间”的很大一部分,从而留下很少的空间用于实际任务。 这可能导致代理失效,迫使开发者大幅限制集成或添加复杂且会增加延迟的解决方法。 几种解决方案正在出现。 使用压缩技术维护 MCP 适用于简单的交互,但需要管理基础设施。 代码执行为复杂的工作流程提供了强大的功能,但会引入重大的安全风险。 一个有希望的替代方案是利用 **CLI(命令行界面)**。 通过采用 CLI,代理可以*按需*发现和使用工具,类似于人类开发者使用 `--help` 标志。 这大大减少了预先使用的 token 数量——从数万个减少到大约 80 个——并通过消除对远程服务器的依赖来提高可靠性。 虽然 CLI 并非通用解决方案(MCP 在频繁使用少量工具时表现出色,而代码执行可以处理复杂的状态),但它们为许多代理集成提供了效率、安全性和兼容性的实用平衡。 API 提供商应优先考虑简化的、可发现的 API 和强大的权限管理,以适应不断变化的环境。
## LLM 代理:MCP 与 CLI 的上下文窗口争论
一则 Hacker News 讨论集中在使用 MCP(多调用协议)服务器与 CLI(命令行界面)构建大型语言模型(LLM)代理的效率问题。核心问题是上下文窗口的限制——MCP 加载工具定义会消耗大量 token(一个案例中超过 50,000 个),从而减少了用户消息的空间。
许多评论者提倡使用 CLI,理由是其较低的 token 开销(系统提示约为 80 个 token)以及通过 `--help` 标志实现逐步发现的能力。这与 MCP 将整个 API 定义加载到上下文中的方式形成对比。
然而,也有人为 MCP 辩护,强调其安全优势——特别是能够在多个服务器上强制执行策略(例如,防止在网络搜索期间访问财务数据),这是使用技能或 CLI 难以复制的功能。 还有人建议采用混合方法,例如使用 MCP 进行技能选择,并使用 CLI 进行执行。
对话还涉及未来的 LLM 能力以及上下文窗口可能不再成为限制的可能性,以及对 AI 和人类工程师未来发展方向的幽默推测。
## Pokémon Go 的意外遗产:送餐上门
还记得 Pokémon Go 的狂潮吗?这款增强现实游戏现在为一项令人惊讶的新应用做出了贡献:更快、更可靠的食物配送。Niantic(Pokémon Go 的开发公司)正在与 Coco Robotics 合作,为配送机器人配备其视觉定位系统 (VPS)。
VPS 经过了 Pokémon Go 玩家扫描地标所捕获的超过 300 亿张图像的打磨,能够让机器人以厘米级的精度确定其位置——这在 GPS 不可靠的区域(如城市街道)至关重要。游戏的数据收集,通过鼓励玩家扫描现实世界物体的功能得到加强,有效地创建了详细的 3D 地图。
这种对众包数据的重新利用,突显了为一种目的收集的信息在其他地方的价值。虽然 GPS 可能会失效,但 VPS 使用视觉线索进行导航,有望实现更快、更准确的配送。Niantic 设想了一个由这些机器人提供数据的“实时地图”,类似于自动驾驶汽车公司的数据驱动方法。所以,你下一次的披萨可能要感谢几年前追逐虚拟生物的玩家!
一篇近期文章详细说明了宝可梦Go玩家在不知情的情况下,为训练送货机器人贡献了一个包含300亿图像的庞大数据集。玩家在游戏中扫描周围环境,实际上是在创建真实世界的3D模型。
Hacker News上的讨论显示,这种数据收集并非完全“不知情”——之前的报道几年前就曾强调过这种做法,通常与T-Mobile等运营商的数据交易有关。然而,许多评论员批评缺乏关于数据*如何*被利用的透明度,除了最初关于改进AR功能的解释之外。
引发的担忧包括潜在的监控滥用(“跟踪即服务”)以及在没有明确同意的情况下众包数据的更广泛影响。虽然一些人认为这种交换——免费游戏换取数据——本身并非负面,但共识倾向于知情同意和透明数据实践的重要性。
PHP的一个主要缺点是,在每次请求时,所有文件都会从硬盘读取,转换为字节码,然后执行。而Ice整个框架已经加载到内存中,因此不需要处理整个框架文件集。这意味着在扩展时,你需要比PHP更少几倍的服务器来支持相同的流量。请查看PHP框架的基准测试。
一个名为Ice Framework (iceframework.org) 的新型、简单、快速且开源的PHP框架最近被提交到了Hacker News。它被构建为C扩展,旨在追求速度,但引发了关于其安全性和成熟度的讨论。
评论者指出它与现有项目存在命名冲突,并对基于C的内存管理复杂性可能导致的安全漏洞表示担忧,尤其是在潜在用户群体较小的情况下。 还有人质疑PHP中是否需要*另一个*模板引擎,注意到Ice Framework包含Twig。
最后,一位用户批评缺乏全面的基准测试数据,质疑将其与Laravel等功能更全面的成熟框架进行比较的有效性。 这次讨论凸显了PHP框架开发中性能、安全性和成熟度之间的权衡。
启用 JavaScript 和 Cookie 以继续。
一份由150个国家签署的报告,包括欧盟成员国,警告说,持续关注经济增长正在显著导致全球生物多样性丧失。Hacker News上的讨论集中在问题是特定国家*实际*的增长,还是优先考虑持续增长的普遍*心态*,尽管这种增长会带来后果。
评论员指出资源枯竭的历史例子,暗示北美可以从欧洲过去的错误中吸取教训。其他人争论人口增长与消费的作用,以及创新可能减轻负面影响的潜力。反对“负增长”的一个关键论点是,它可能会阻碍发展中国家的生活质量改善。
最终,该讨论强调了指数增长在有限资源下的内在不可持续性,并将这种增长与生物和物理限制相提并论,并带有一种悲观的基调,暗示现在可能“太迟”了,无法扭转这种趋势。
## 哈萨克斯坦的芯片革命:通往半导体自主权的新路径 努尔苏丹·卡比尔卡斯,一位来自哈萨克斯坦阿拉木图的教授,领导了一项开创性项目:该国首款学生设计的RISC-V芯片。面对在没有昂贵制造工厂(“晶圆厂”)的情况下建立半导体产业的质疑,卡比尔卡斯倡导了一种不同的策略——专注于芯片*验证*。 他利用“一人一芯片”倡议,并与一家中国晶圆厂合作生产芯片,证明了人才和战略重点可以克服缺乏物理基础设施的障碍。这一成功引起了全国关注,并将对话从“不可能”转变为“如何扩大规模?” 卡比尔卡斯随后创立了Texer.AI和ReasonBase.io,这些公司雇佣了他的学生,并专门从事验证——一个高利润、低进入壁垒的半导体领域。这种学术界和工业界之间的“旋转门”正在建立关键的人才管道。 他的方法表明,各国不需要对制造进行大量投资即可参与全球供应链;专注于设计和验证等领域提供了一条通往半导体自主权的可行途径,证明创新可以从利基专业知识和强大的工程基础开始。
将半导体带到哈萨克斯坦 (siliconimist.com)
7 分,由 johncole 1小时前发布 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
johncole 1小时前 [–]
努尔苏丹·卡比尔卡斯设计了哈萨克斯坦第一枚芯片,并在此过程中启动了一个新的国家产业。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
我爱FreeBSD
I Love FreeBSD
5 小时前
2002年,一本非常完整且维护良好的手册说服了一位长期Linux用户尝试FreeBSD。最初的尝试——将其安装在笔记本电脑上——变成了一段长达二十年的承诺。作者立刻注意到FreeBSD拥有Linux所缺乏的成熟度和专注度,即使在编译代码等 demanding 任务中,性能和稳定性也更优越。 FreeBSD一贯的方法,以演进而非革命为特点,以及详尽的文档,培养了对系统设计的深刻理解。手册本身也成为了一份珍贵的资源。随着时间的推移,FreeBSD被证明在服务器和关键工作负载方面具有卓越的可靠性,优先考虑稳定性而非追逐最新趋势。 诸如原生ZFS、jails和bhyve等关键特性,加上充满热情和技术熟练的社区,使其更具吸引力。与一些开源项目不同,BSD社区优先考虑真正的参与和精湛的工艺。FreeBSD的座右铭“The Power to Serve”(服务之力)反映了它对实用、可靠运行的奉献——这是作者深深珍视并一直依赖的品质。
## FreeBSD 与 Linux:家庭服务器的两难
一位用户最近因硬盘故障将家庭服务器切换到 FreeBSD,并质疑是否值得离开 Linux 生态系统。 担忧集中在软件可用性上,特别是 Docker,以及可能需要依赖社区端口或自行移植。
回复建议使用 FreeBSD 的 Bhyve 虚拟机管理程序在 Linux 虚拟机中运行 Docker,从而产生最小的性能开销。 然而,由此引发了更广泛的关于信任开源代码的讨论——像 xz 后门这样的漏洞无论存在于哪个操作系统中。
对话强调了一个普遍问题:许多项目的文档质量差,这并非 Linux 或 FreeBSD 独有的问题。 虽然 FreeBSD 因系统稳定性而受到赞扬,但其文档并不一定更胜一筹。 最终,一位用户认为 Linux 混乱但实用的特性以及更广泛的支持(在超级计算中可见)使其成为更好的选择,并驳斥了 FreeBSD 具有显著性能优势的说法。 辩论强调,两种系统都有优点和缺点,而“最佳”选择取决于个人需求和优先级。