对于鉴权的一些看法

[Ink-33]

当前版本(v11)的OneBot对于鉴权只提供了Access Token鉴权方法，安全程度并不理想，也不方便多人共用一个Bot情景下的授权管理。

我认为bot端的鉴权可以补充一个密钥对鉴权(SecretID&SecretKey)，请求api时传递SecretID和以SecretKey为密钥，对Body(或者指定一些Header的值)进行HMAC-SHA1计算的结果。

以上。

[Dreamail]

个人看法
现在的鉴权已经足够
大部分使用者不会跨机器使用OneBot
且如果使用跨机器或者说多人共用，我认为可以采用反向WebSocket解决问题

以上

[Ink-33]

@Pai2Chen 反向websocket也可以，我也只是想提出一个新的想法，大家来研究研究可行性