推薦文章

[.NET] SPA 安全整合 SignalR:以 PKCE 三階段換票與 CSP 聯防打造的安全防線

在 SPA 架構下,整合 ASP.NET Core SignalR 常面臨安全挑戰。由於瀏覽器的 WebSocket 握手階段無法自訂 Headers,開發者常被迫將 JWT 放入 Query String 傳遞,使 Token 暴露於 URL 中。此外,一旦 SPA 遭遇 XSS 漏洞,記憶體中的憑證仍有被竊取的風險。
本文將介紹如何以 PKCE (Proof Key for Code Exchange) 三階段換票機制安全換取 30 秒短效 Hub Token,並結合 CSP (Content Security Policy)
聯防作為最後防線,從後端配置一路講到前端原生 JavaScript 整合,為 SignalR Hub 提供全方位的安全防護。

...繼續閱讀 »
on yc421206

[Security] AI Agent 時代的數位鑰匙防護:如何安全管理你的 API 金鑰與授權憑證

隨著 AI Agent 的興起,我們開始授權 AI 代理人存取各種外部服務。但這也帶來了全新的安全隱憂:如果你還習慣把 API 金鑰寫死在程式碼裡,或是隨便丟在 .env 檔,AI Agent 在讀取檔案或執行時,很有可能不小心把金鑰內容外流,等同於將系統的主控權拱手讓人,暴露在外洩的巨大風險中。

...繼續閱讀 »
on yc421206

有關 Taiwanese-Mandarin-Translate-Skill 是怎麼被想出來的?

一次次在看文件或文章時,常會發生 "英文 → 繁體中文" 的「翻譯結果看得懂、但很奇怪」的感覺,尤其是從 LLM 的 Gen AI 盛行之後,更是有這種芥蒂感在看文件或文章時不斷的出現。

因此想了一下有沒有更好的處理方式。

 

不單單只有純粹的把英文翻成中文,而是先定義台灣繁中在不同語境下應該有的語感與判準,這才催生了 Taiwanese-Mandarin-Translate-Skill (台灣華語翻譯 Skill) 這個 Skill :

 

...繼續閱讀 »
on jamestsai

在 8GB VRAM 筆電讓 Claude Code 串接 Gemma 4 E4B:Ollama + LiteLLM 完整踩坑紀錄

最近 Google 釋出了 Gemma 4 系列,其中 gemma4:e4b 是專為本機與一般電腦設計的版本,4.5B 有效參數,理論上筆電可以跑。我想說趁這個機會,把 Claude Code 的推論後端換成地端,省點 API token,結果跑得很累 XDD。最後發現「跑得起來」跟「能正常工作」是兩件完全不同的事。這篇就是把整個踩坑過程記下來,包含架構設計、VRAM 預算計算、為什麼一定要加 LiteLLM、以及 Claude Code 的 token 結構分析。

...繼續閱讀 »
on yc421206

dotnet-testing-agent 工具包 — dotnet-testing-agent-orchestration 系列的 VS Code Extension

要用上 dotnet-testing-agent-orchestration 系列的測試工作流程,前置得依所用的 AI Coding Agent,從幾個不同的 repo 手動下載、複製對應的 Skills、Agents 與 Hooks;若是 Copilot 版,還多一道建立 RAG 索引的手續。dotnet-testing-agent 工具包把這些下載、複製(以及 Copilot 版的索引建立)與後續更新都接手過來,省去整段手動前置。

...繼續閱讀 »
on mrkt

Claude Code 上的 Agent Orchestration — AI 自動產生高品質 .NET 測試(5)

用 autoresearch 量化優化 Orchestrator 的 agent 定義 — 七回合的迭代記錄

前四篇談這四個測試 Orchestrator「怎麼用」,這一篇談它們背後的 agent 定義是怎麼被「調」出來的 — 用 autoresearch 跑「改一處 → 量分數 → 進步就留、退步就退回」的迴圈,七個回合、五十多次迭代,連失誤與退步一起記錄。

...繼續閱讀 »
on mrkt

Claude Code 上的 Agent Orchestration — AI 自動產生高品質 .NET 測試(4)

Integration、Aspire、TUnit — 三個進階 Orchestrator 使用指南

Integration、Aspire、TUnit 三個進階 Orchestrator 一次看完。它們與 Unit 系出同源、共用 1+4 架構,差別在 Docker 容器、分散式環境與框架執行方式 — 本文聚焦各自的觸發方式、前置需求與該注意的特性。

...繼續閱讀 »
on mrkt

Claude Code 上的 Agent Orchestration — AI 自動產生高品質 .NET 測試(3)

安裝與環境設定 — Unit Test Orchestrator 使用指南

從環境需求、安裝步驟,到跑出第一個測試工作流程。本文深入最常用、不需要 Docker 的 Unit Test Orchestrator — 七種使用情境、四階段流程,以及一個由淺入深、共六個階段的練習專案,讀完就能跑出你的第一個 Agent Orchestration 工作流程。

...繼續閱讀 »
on mrkt

Claude Code 上的 Agent Orchestration — AI 自動產生高品質 .NET 測試(2)

為什麼 Orchestrator 是 Skill 而不是 Agent — 架構解析

Orchestrator 為什麼必須是 Skill,而不是 Agent?本文從 Claude Code 的平台限制談起,拆解 bypassPermissions、計時 Hook、Writer 分割與 JSON 交接這幾個關鍵設計,看這套 1+4 架構如何在 Claude Code 上順暢運作,以及四組 Orchestrator 的異同。

...繼續閱讀 »
on mrkt

Claude Code 上的 Agent Orchestration — AI 自動產生高品質 .NET 測試(1)

為 .NET 專案自動產生高品質測試 — dotnet-testing-agent-orchestration-claude

在 Claude Code 上用 Agent Orchestration 為 .NET 專案自動產生測試:1 個 Orchestrator 加 4 個 Subagent,把分析、撰寫、執行、審查串成一條流程。這篇先說明整體架構、四個 Orchestrator 的分工,以及底層那 29 個測試知識 Skill 的來源。

...繼續閱讀 »
on mrkt

GitHub Copilot 6/1 計費改制:Agent Mode 重度使用者該如何重組 AI 工具訂閱?

4 月底,我在 VS Code 內第一次看到 GitHub Copilot 跳出「週用量即將達到上限」的警告——對一個訂閱 Pro+ 的使用者來說,這是過去從未出現過的訊息。幾天後,我實際撞到了用量上限,Copilot 中斷了 Agent Mode 的工作。

後來才知道,這是 GitHub 在 4 月 27 日正式公告計費改制的前哨。但實際衝擊到底多大,要等到上週 GitHub 釋出 Billing Preview 工具後才能確認——把 4 月份 CSV 上傳到官方試算頁面後,看到的數字遠遠超出心理預期。**新制下的等效月費,是原本 Pro+ 月費的數十倍**。

這個變化指向整個 AI 工具產業的方向——OpenAI 也在 4 月 2 日把 Codex 改成 token-based 計費。這篇文章想跟還在使用 GitHub Copilot 的開發者分享:**如何檢視自己過往的用量、評估 6/1 之後的衝擊,並用手上的訂閱組合做出合理調整**。我會用真實帳單數據與官方文件佐證,給你一份可以立刻套用的決策框架。

...繼續閱讀 »
on mrkt

讓 Claude Code 轉串接到 GitHub Copilot 服務

文章內容僅為個人實驗測試紀錄,不建議使用在生產環境。
短期內有效,未來可能因相關的設計改變,如:API 調整 而失效,請斟酌。
適用的 Claude 產品有:

1. Claude Code (CLI)
2. Visual Studio Code 的 Claude Code extension

以上注意事項請知悉。

 

本文章提到 Visual Studio Code 的 Claude Code extension 使用時,會稱之為 VS Code with Claude。

...繼續閱讀 »
on jamestsai

[Security] SPA 如何用 PKCE + CSP 防止 Token 被竊

SPA 做身分驗證,一定要面對一個問題:**Token 要存在哪?** Authorization Code Flow + PKCE(RFC 7636)是目前的標準做法,解決的是「授權碼在傳輸途中被攔截後,攻擊者拿去換 Token」的問題。搭配 CSP(Content Security Policy)從瀏覽器端限制腳本來源,這兩道防線合在一起,才算是比較完整的 SPA 安全架構。 這篇文章用 ASP.NET Core Web API 自己實作授權伺服器,從頭走完整個 PKCE 流程,包含帳密驗證、Session Cookie 持久化,以及受保護的 API 端點。

...繼續閱讀 »
on yc421206

進修課程