顺便提醒楼主，用 CDN 的话要屏蔽一切不来自 CDN 的访问，否则就没用了。

@invite 不用存啊，只校验合法性…
比如你要对 IP 限定，你把 IP 也加到 base string 的 hash 里面去就是了…
服务器收到的时候，检查时间戳是否合法；如果合法，把收到的时间戳，IP和secret拼起来一看，和你传回来的 base string 一样不？不一样就丢了。

感觉是要倒退历史…

@invite 五分钟以后你就没法用了啊…
算 token 的时候把时间戳插进去不就完事了…

服务端给出一个 base string = hash ( secret key + timestamp )，再给出前面用的 timestamp
要求客户端请求时发送 challenge = hash ( base string + random ) 和前面用的 timestamp 以及 random
要求 challenge 的前 n 位为 0

@invite 你没有理解我的意思。
每个 token 5分钟过期的意思是每个 token 在内存里保存五分钟。
也就是说如果你要填满我的内存，你在五分钟内算出来的 token 个数应当比我的内存还大。
以一个 32 位 16 进制数为例，内存仅有 4 字节。假设每分钟计算100个token（已经很多了），五分钟才1m不到…
也许我算错了？

@invite 放内存咯。
一个 token 也就 5 分钟有效。
算出来的 token 才进内存嘛，这样对方也没办法算那么多来…
而且读一块内存里的哈希表比从数据库里关键字检索要快了不知道多少…

参考： https://www.google.com/search?q=hashcash&ie=utf-8&oe=utf-8
参考2： http://best33.com/96.moe

@topgrd 可能对楼主而言不太重要吧…我只是个人看起来不爽…
顺带我才发现刚刚我的回复是个病句…简直了_(:з」∠)_

@lerry 同不给力啊…不过我现在还在用 MX2 …

_(:з」∠)_楼主能不能把半角标点改成全角么…

MX2 用户表示，用了 flyme 不再想用其它的安卓了…
Hmm…用了 flyme 3 后不再想用 flyme 了………囧
Flyme 4 也好难看的感觉…

@otakustay 随机的鬼知道什么时候就背墙了…
对网络管理员来说更加不方便吧？要么就得分析 FTP 协议（加密的时候还没什么好办法，而且效率可能还不太好），要么就得把那一个范围的端口全打开，两者都不是什么好办法…

不像 Mac 啊，如果你走路由器且没用它的客户端，它应该获取不到你的 MAC 的…
我猜是 TTL ，好像用 iptables 可以改？

@rrfeng 那直接写到21端口呢？

@rrfeng 那为何不再监听一个固定的端口，比如19？

你说的好像很有道理，我也想知道，楼主有答案了请@我谢谢~

美图秀秀好像有这功能……

配个秘书……