让我空欢喜一场的gitalk

最近在帮朋友搭建一个个人网站的时候，看到了一个很有意思的小软件包：Gitalk。它的核心思想就是使用github的issue管理系统来做留言的管理。

Source: Pixabay

由于越来越多的博客系统都采用了纯静态的网站生成技术，比如：Hexo, Gatsby等。既然没有自己的数据存储层，那肯定就需要借助第三方的存储方案了。

在国外的话，很多人选择disqus来搭建自己的留言系统。这个disqus我也用过，确实很简单。但貌似国内用户无法访问。。。

于是很多国内的博主选择了类似多说之类的系统。他们的最大优势就是不会被墙。但貌似这些系统都慢慢的停更，甚至停止服务了。

那么，有什么系统既能让国内用户访问，又能提供这种留言管理功能呢？我看到了gitalk和Gitment两个系统都不错。但后者已经4年没更新了。于是就选择了前者。

首先需要创建一个GH的共有仓库。接下来需要在自己的博客系统中配置相应的owner，repo，clientId，clientSecret等。等到博客启动后，登录自己的GH账号，就可以留言了。

整个配置过程非常简单。但由于没有服务器端的支持，每次从页面发出请求的时候，都需要clientId，clientSecret。因此这两个信息就非常容易暴露。而对于别有用心的人来说，有了这两个信息，就可以删库了。听起来有些吓人。其根本原因在于GH的权限控制粒度过粗，不能只授权到issue级别。于是尝试了一下后还是放弃了。