近日小记

东升西降，更要出海

与其说国内市场无法满足我们了，不如说因为国内市场的发展，我们终于有能力在国际舞台上和发达国家同台竞技。这不仅在制造业，比如电动汽车、智能家居上，也在互联网产业上。曾经我认为我们做好中国事，讲好中国故事只能在国内，但其实出海更是重要的一环。当东升西降真实发生时，谁能代表先进生产力在国际竞争中夺得头筹？或许这就是我们成为国际公司、成就一番事业的更好机会，是比那个下海淘金更好地机会：夺取群星吧！

LLM的上限在哪？

由Deepseek发布的新模型，我们发现使用很低的成本也可以实现高性能、大参数的模型，我更加确定，模型的价格上我们仍有很大的进步空间，而价格降低带来的空间可以让我们更多地探索模型的使用方式，从而激发更好的性能（比如reasoning）。另一方面，reasoning模型具备的aha moment让我非常惊讶，或许我会改变我之前对LLM上限的认知。这还需要我进一步研究，待后续更新。

不要自己发明密码学，以及一些忽略的最佳实践

线上系统突然报了一个数据库字段不够长的错误，根据长度定位到是session token(char 32)不够长了，根本原因在于token生成的时候使用了User的自增id进行base64，当用户突破1000的时候，base64的结果变为了34位，超过了之前的限制。这在测试环境是难以触发的。如果是我做的话，我应该会选择成熟的定长hash方法，在之前的项目中，我会生成uuid4的hex串，再将其存储到redis中，标记ttl进行自动过期。

忽略的最佳实践：

• Secret的定期轮转，主要是Cookie Secret和Session Secret，这其实可以直接由代码实现，在数据库或redis中存储下上一个Secret、当前的secret和刷新时间，由某一个worker实现刷新即可。在上一个Secret的过期时间内，解密失败的fallback到旧的Secret，验证成功则用新的secret进行刷新。这与OAuth的token刷新机制类似。