把登录、评论、邮件和文件上传放进 Cloudflare 栈时，真正的边界不是框架，而是数据一致性和安全默认值。

只把 userId 放进 cookie 不够。密码哈希派生的 session tag 可以让密码变更立即让旧会话失效。

邮箱是联系方式，不是稳定身份。Google 和 GitHub 的 provider subject 才是绑定 OAuth 账号的主键。

Turnstile 证明请求像人，限流约束同一个用户或 IP 的行为频率，两者解决的是不同问题。