BAC基于角色的访问控制,RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作
基于角色的权限访问控制模型
在RBAC模型里面,有3个基础组成部分,分别是:用户、角色和权限。RBAC通过定义角色的权限,并
对用户授予某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型),极大
地方便了权限的管理:
RBAC支持三个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则
RBAC的3种模型
http协议无状态的,所以需要sessionId或token的鉴权机制,jwt的token认证机制不需要在服务端再保留用户的认证信息或会话信息。这就意味着基于jwt认证机制的应用程序不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,jwt更适用于分布式应用
1、前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串
3、后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可
4、前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)
5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等
6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果
JWT的优势
1、简洁:JWT Token数据量小,传输速度也很快
2、因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支
持
3、不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务
4、单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话, token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题
5、适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要Cookie 保存 SessionId),所以不适合移动端
jwt的组成部分
标准的jwt令牌分为三部分,分别是Header、payload、signature;在token字符串中使用.进行分割
JWT每部分的作用,在服务端接收到客户端发送过来的JWT token之后:
1、在登录验证通过后,给用户生成一个对应的随机token(注意这个token不是指jwt,可以用uuid等算
法生成),然后将这个token作为key的一部分,用户信息作为value存入Redis,并设置过期时间,这个过
期时间就是登录失效的时间
2、将第1步中生成的随机token作为JWT的payload生成JWT字符串返回给前端
3、前端之后每次请求都在请求头中的Authorization字段中携带JWT字符串
4、后端定义一个拦截器,每次收到前端请求时,都先从请求头中的Authorization字段中取出JWT字符串并进行验证,验证通过后解析出payload中的随机token,然后再用这个随机token得到key,从Redis中获取用户信息,如果能获取到就说明用户已经登录
创建springbootApplication对象
@SpringBootApplication除去元注解真正起作用的注解有@SpringBootConfiguration、
@EnableAutoConfiguration和@ComponentScan
注解是输出logo后,通过ApplicationContext初始化后的refreshContext方法注入实现的
@SpringBootConfiguration作用就是将当前类申明为配置类,同时还可以使用@bean注解将类以方法
的形式实例化到spring容器,而方法名就是实例名
@ComponentScan
@ComponentScan作用就是扫描当前包以及子包,将有@Component,@Controller,@Service,
@Repository等注解的类注册到容器中,以便调用
如果@ComponentScan不指定basePackages,那么默认扫描当前包以及其子包,而@SpringBootApplication里的@ComponentScan就是默认扫描,所以我们一般都是把springboot启动类放在最外层,以便扫描所有的类
@EnableAutoConfiguration
@EnableAutoConfiguration工作原理主要就是通过内部的方法,扫描classpath的METAINF/spring.factories配置文件,将其中的org.springframework.boot.autoconfigure.
EnableAutoConfiguration 对应的配置项实例化并且注册到spring容器
对应classpath的META-INF/spring/目录下配置文件
场景启动器starter
使用Spring框架开发项目带来的一些的问题
starter的整体实现逻辑主要由两个基本部分组成:
按照SpringBoot官方的定义,Starer的作用就是依赖聚合,因此直接在starter内部去进行代码实现是不
符合规定的,starter应该只起到依赖导入的作用,而具体的代码实现应该去交给其他模块来实现,然后
在starter中去引用该模块即可
首先容器会根据当前不同的条件判断,决定这个配置类是否生效
数据库设计是指对于一个给定的应用环境,构造最优的数据库模式,建立数据库及其应用系统,使之能够有效地存储数据,满足各种用户的应用需求,重要的是信息要求和处理要求。
数据库设计方法
数据库 create database test default character set utf8mb4;
表和表之间的关系:1对1、1对多或者多对1、多对多
1对1实现方式
具体的实现方式有2种:共享主键和唯一外键。例如员工信息和登录账号
共享主键
create table if not exists tb_emps(
id bigint primary key auto_increment comment '雇员编号',
name varchar(32) not null comment '姓名',
sex boolean default 1 comment '性别',
education varchar(32),
birth date comment '出生日期',
hire_date date comment '入职日期',
salary numeric(8,2) comment '月薪'
)engine=innodb default charset utf8 comment '雇员信息';
create table if not exists tb_users(
id bigint primary key comment '用户编号',
foreign key(id) references tb_emps(id) on delete cascade,
username varchar(32) not null unique comment '用户名称',
password varchar(32) not null comment '用户口令',
create_time datetime default now() comment '创建时间',
update_time timestamp default current_timestamp on update
current_timestamp comment '修改时间',
salt varchar(32) comment 'md5加密的盐值',
user_locked boolean default 0 comment '账户是否锁定'
)engine=innodb default charset utf8 comment '登录账户';
唯一外键
create table if not exists tb_emp(
id bigint primary key auto_increment,
......
)engine=innodb default charset utf8;
create table if not exists tb_user(
id bigint primary key auto_increment,
... ...
emp_id bigint not null unique,
foreign key(emp_id) references tb_emp(id) on delete cascade
)engine=innodb default charset utf8;
1对多或者多对1
实现方式就是主外键关联,在关系型数据库使用最多的,例如雇员和部门
create table tb_dept(
id bigint primary key auto_increment,
name varchar(32) not null,
address varchar(50)
);
create table tb_emp(
id bigint primary key auto_increment,
name varchar(32) not null,
... ...,
dept_id bigint,
foreign key(dept_id) references tb_dept(id)
);
多对多
实际上关系型数据库中不直接支持多对多关系,必须引入中间表。例如学生选课
create table tb_student(
id bigint primary key auto_increment,
... ....
);
create table tb_course(
id bigint primary key auto_increment,
......
);
create table tb_choice(
student_id bigint not null,
course_id bigint not null,
primary key(student_id,course_id),
foreign key(student_id) references tb_student(id) on delete cascade,
foreign key(course_id) references tb_course(id) on delete cascade
);
权限控制表的实现
create table tb_users(
id bigint primary key auto_increment comment '代理主键'
username varchar(32) not null,
password varchar(32) not null,
... ...
);
create table tb_roles(
id bigint primary key auto_increment,
title varchar(32) not null unique,
... ...
);
create table tb_privs(
id bigint primary key auto_increment,
title varchar(32) not null comment '菜单项标题',
url varchar(50) comment '点击菜单后跳转的目标地址',
parent_id bigint comment '用于表示当前菜单项是哪个菜单项的子菜单',
foreign key(parent_id) references tb_privs(id) on delete cascade,
chilren boolean default 0 comment '不是必须的列,是为了编程方便引入的额外
列,用于表示是否有子菜单项'
-- 还可有其它和编程相关的列,例如层级等
);
样例数据
create table tb_users_roles(
user_id bigint not null,
role_id bigint not null,
primary key(user_id,role_id),
foreign key(user_id) references tb_users(id) on delete cascade,
foreign key(role_id) references tb_roles(id) on delete cascade
);
create table tb_roles_privs(
role_id bigint not null,
priv_id bigint not null,
primary key(role_id,priv_id),
foreign key(role_id) references tb_roles(id),
foreign key(priv_id) references tb_privs(id)
);
整合MyBatis开发的方式有3种:原生MyBatis、MybatisPlus和统一Mapper
SpringData 是Spring 的一个子项目。Spring 官方提供一套数据层综合解决方案,用于简化数据库访问,支持 NoSQL 和关心数据库存储。包括 SpringDataJPA、SpringDataRedis、SpringDataSolr、SpringDataElasticsearch、SpringDataMongodb 等框e架。
注册用户时,用户输入手机号码,则需要对手机号码进行验证,如何实现?
具体实现:通过短信网关向输入的手机发送验证码
- 要求用户输入短信中的验证码是一个6位的随机数,不是字符串,因为输入的问题
- 验证码需要有一个时间限制
针对以上需求引入非关系型数据库Redis
redis是一种支持Key-Value等多种数据结构的存储系统。可用于缓存,事件发布或订阅,高速队列等场景
通过 redis-cli 向 Redis 发送命令的方式有两种
C:\Users\Administrator>redis-cli
127.0.0.1:6379> ping
PONG
127.0.0.1:6379>
Redis数据库
Redis 是一个字典结构的存储服务器,实际上一个 Redis 实例提供了多个用来存储数据的字典,客户端可以指定将数据存放在哪个字典中
Redis数据库与MySQL数据库不同
EXPIRE key seconds为给定key设置生存时间,当key 过期时,生存时间为0,它会被自动删除。
在 Redis 2.4 版本中,过期时间的延迟在 1 秒钟之内 —— 也即是,就算 key 已经过期,但它还是可能在过期之后一秒钟之内被访问到,而在新的 Redis 2.6 版本中,延迟被降低到 1 毫秒之内。
数值使用场景:秒杀、点赞、评论
可以规避并发下,对数据库的事务操作,完全由Redis内存操作代替
Hash数据类型
hash类型实际上是以key为标识存储key-value对。redis hash是一个string类型的field和value的映射表,添加,删除操作都是平均O(1),hash特别适合用于存储对象
ziplist编码的哈希对象使用压缩列表作为底层实现, 每当有新的键值对要加入到哈希对象时,会先将保存了键的压缩列表节点推入到压缩列表表尾, 然后再将保存了值的压缩列表节点推入到压缩 列表表尾。
因此保存了同一键值对的两个节点总是紧挨在一起, 保存键的节点在前, 保存值的节点在后;先添加到哈希对象中的键值对会被放在压缩列表的表头方向,而后来添加到哈希对象中的键值对会被 放在压缩列表的表尾方向
压缩列表并不是对数据利用某种算法进行压缩,而是将数据按照一定规则编码在一块连续的 内存区域,目的是节省内存
- 优点: 内存地址连续,省去了每个元素的头尾节点指针占用的内存
- 缺点: 对于删除和插入操作比较可能会触发连锁更新反应,比如在list中间插入删除一个元素 时,在插入或删除位置后面的元素可能都需要发生相应的移位操作。
hashtable 编码的哈希对象使用字典作为底层实现, 哈希对象中的每个键值对都使用一个字典键值对来保存:
- 字典的每个键都是一个字符串对象, 对象中保存了键值对的键
- 字典的每个值都是一个字符串对象, 对象中保存了键值对的值
Hash类型两种编码方式,ziplist 与 hashtable。
双向链表linkedList链表是双端结构,listNode结构体中带有prev和next指针,因此获取某个节点的前置节点和后继节点的时间复杂度都是O(1)
- 这个链表无环:表头节点的prev和表尾节点的next指针都指向了NULL,对链表的访问以NULL为终点
- 带表头指针和表尾指针:通过list结构的head指针和tail指针,程序获取链接的表头节点和表尾节点的时间复杂度为O(1)
- 带有链表长度计数器:程序使用list结构体的len属性来对list持有的链表节点进行计数,程序获取链表中节点数量的复杂度为O(1)
- 多态:链表节点使用void*指针来保存节点值,可以用于保存不同类型的值
ziplist和linkedlist
因为双向链表占用的内存比压缩列表要多, 所以当创建新的列表键时, 列表会优先考虑使用压缩列表, 并且在有需要的时候, 才从压缩列表实现转换到双向链表实现
试图往列表新添加一个字符串值,且这个字符串的长度超过默认值64或者ziplist 包含的节点超过默认值为 512
ziplist是一个特殊的双向链表。没有维护双向指针prev、next,而是存储上一个entry的长度和当前entry的长度,通过长度推算下一个元素在什么地方。这是牺牲读取的性能,获得高效的存储空间,因为简短字符串存储指针比存储entry长度更费内存。这是典型的时间换空间
Redis中的列表list,在版本3.2之前,列表底层的编码是ziplist和linkedlist实现的,但是在版本3.2之后,重新引入 quicklist,列表的底层都由quicklist实现。
双向链表linkedlist便于在表的两端进行push和pop操作,在插入节点上复杂度很低,但是它的内存开销比较大。首先,它在每个节点上除了要保存数据之外,还要额外保存两个指针;其次,双向链表的各个节点是单独的内存块,地址不连续,节点多了容易产生内存碎片。
quickList是ziplist和linkedlist二者的结合,是一个ziplist组成的双向链表。每个节点使用ziplist来保存数据。本质上来说,quicklist里面保存着一个一个小的ziplist
quickList就是一个标准的双向链表的配置,有head有tail;每个节点是一个quicklistNode,包含prev和next指针。每一个quicklistNode包含一个ziplist,压缩链表里存储键值。所以quicklist是对ziplist进行一次封装,使用小块的ziplist来既保证了少使用内存,也保证了性能。
应用场景:
Set集合数据类型
Set类型的value保证每个值都不重复
redis中的集合对象底层有两种实现方式,分别有整数集合intset和hashtable。当所有元素都是整数且元素数小于512时采用整数集合实现,其余情况都采用hashtable实现
整数集合intset有三个属性,encoding记录数字的类型,有int16,int32和int64等,length记录集合的长度content存储具体数据
Zset有序集合
有序集合对象zset和集合对象set没有很大区别,仅仅是多了一个分数score用来排序
redis中的有序集合底层采用ziplist和skiplist跳表实现,当所有字符串长度都小于设定值值64字节,并且所存元素数量小于设定值512个使用ziplist实现,其他情况均使用skiplist实现
当ziplist作为zset的底层存储结构时候,每个集合元素使用两个紧挨在一起的压缩列表节点来保存,第一个节点保存元素的成员,第二个元素保存元素的分值
有序集合的底层实现之一是跳表, 除此之外跳表它在 Redis 中没有其他应用
整数集合intset是集合键的底层实现之一: 当一个集合只包含整数值元素, 并且这个集合的元素数量不多时, Redis 就会使用整数集合作为集合键的底层实现
数据少时使用ziplist压缩列表,占用连续内存,每项元素都是(数据+score)的方式连续存储,按照score从小到大排序。ziplist为了节省内存,每个元素占用的空间可以不同,对于大数据(long long),就多用一些字节存储,而对于小的数据(short),就少用一些字节来存储。因此查找的时候需要按顺序遍历。ziplist省内存但是查找效率低
跳跃表是一种有序数据结构,它通过在每个节点中维持多个指向其它节点的指针,从而达到快速访问节点的目的,具有以下性质:
搜索,从最高层的链表节点开始,如果比当前节点要大和比当前层的下一个节点要小,那么则往下找,也及时和当前层的下一层的节点下一个节点
插入,首先确定插入的层数,有一种方法是抛一个硬币,如果是正面就累加,直到遇到反面为止,最后记录正面的次数作为插入的层数,当确定插入的层数K后,则需要将新元素插入从底层到K层
删除,在各个层中找到包含指定值得节点,然后将节点从链表中删除即可,如果删除以后只剩下头尾两个节点,则删除这一层
问题1:缓存雪崩
一般使用缓存用于缓冲对DB的冲击,如果缓存宕机,所有请求将直接打在DB,造成DB宕机从而导致整
个系统宕机
2 种策略(同时使用):
spring-data-redis是spring-data模块的一部分,专门用来支持在spring管理项目对redis的操作
基于java语言的redis客户端就是集成了redis的命令操作
spring:
redis:
host: localhost
port: 6379
lettuce:
pool:
enabled: true 需要使用连接池,如果使用连接池则需要引入commons-pool2依赖
max-active: 5 最大活跃连接数
min-idle: 5 最小空闲连接数
max-wait: 5000 最大等待时间,默认-1表示无限制等待,单位ms
3、添加配置类,主要用于定义所使用的序列化器
@Configuration
public class RedisConfig {
@Bean
public RedisTemplate<String, Serializable>
redisTemplate(LettuceConnectionFactory connectionFactory) {
RedisTemplate<String, Serializable> redisTemplate = new
RedisTemplate<>();
redisTemplate.setKeySerializer(new StringRedisSerializer());
redisTemplate.setValueSerializer(new
GenericJackson2JsonRedisSerializer());
redisTemplate.setConnectionFactory(connectionFactory);
return redisTemplate;
}
}
RedisTemplate用法
大量api进行了归类封装,将同一类型操作封装为operation接口
redisTemplate.opsForValue();//操作字符串
redisTemplate.opsForHash();//操作hash
redisTemplate.opsForList();//操作list
redisTemplate.opsForSet();//操作set
redisTemplate.opsForZSet();//操作有序set
redisTemplate.delete(key) 删除单个key值
redisTemplate.delete(keys) 删除集合中的所有key对应的值,其中keys: Collection
设置过期时间
public Boolean expire(String key, long timeout, TimeUnit unit) {
return redisTemplate.expire(key, timeout, unit);
}
public Boolean expireAt(String key, Date date) {
return redisTemplate.expireAt(key, date);
}
查找匹配的key值,返回一个Set集合类型
public Set<String> getPatternKey(String pattern) {
return redisTemplate.keys(pattern);
}
如果旧key值存在时,将旧key值改为新key值
redisTemplate.rename("bbb","123:999"); //返回值void
redisTemplate.rename("eee","ffff"); //如果oldkey不存在则
RedisCommandExecutionException: ERR no such key
有条件修改
public Boolean renameOldKeyIfAbsent(String oldKey, String newKey) {
return redisTemplate.renameIfAbsent(oldKey, newKey); //如果oldkey不存在则
RedisCommandExecutionException
}
返回当前key所对应的剩余过期时间
public Long getExpire(String key) {
return redisTemplate.getExpire(key);
}
如果返回-1无限制,返回-2对应的key值不存在
返回剩余过期时间并且指定时间单位
public Long getExpire(String key, TimeUnit unit) {
return redisTemplate.getExpire(key, unit);
}
将key持久化保存
public Boolean persistKey(String key) {
return redisTemplate.persist(key);
}
设置当前的key以及value值 redisTemplate.opsForValue().set(key, value)
设置当前的key以及value值并且设置过期时间 redisTemplate.opsForValue().set(key, value,
timeout, unit)
将旧的key设置为value,并且返回旧的key对应的value。如果key不存在则执行set操作,返回为null
public String setKeyAsValue(String key, String value) {
return redisTemplate.opsForValue().getAndSet(key, value);
}
修改key对应的value值,执行加操作,返回新值。要求key对应的value值应该可以转换为int类型,否则报错
public Long incrBy(String key, long increment) {
return redisTemplate.opsForValue().increment(key, increment);
}
redisTemplate.opsForValue().size(key) 获取字符串的长度
重新设置key对应的值,如果存在返回false,否则返回true
redisTemplate.opsForValue().setIfAbsent(key, value)
将值 value 关联到 key,并将 key 的过期时间设为 timeout
redisTemplate.opsForValue().set(key, value, timeout, unit)
redistemplate 默认是把键和值序列化之后再存储的;取值的时候再反序列化把正常的值交还给用户
操作对象的问题
类定义
@Data
public class User implements Serializable { //必须实现序列化接口
private Long id;
private String username;
private Date birth;
}
调用redisTemplate存储一个User类型的对象
User tmp=new User();
tmp.setId(99L);
tmp.setUsername("白澄湖");
tmp.setBirth(new Date());
redisTemplate.opsForValue().set("users::99",tmp);
User user=(User) redisTemplate.opsForValue().get("users::99");
//User(id=99, username=白澄湖, birth=Wed Feb 01 17:27:18 CST 2023)
System.out.println(user);
直接查看redis中的数据库内容可以发现实际上存储的是一个JSON格式的字符串
spring 中预定义的序列化方案有
需要通过配置类设置所使用的序列化器
@Configuration
public class RedisConfig {
@Bean
public RedisTemplate<String, Serializable>
redisTemplate(LettuceConnectionFactory connectionFactory) {
RedisTemplate<String, Serializable> redisTemplate = new
RedisTemplate<>();
redisTemplate.setKeySerializer(new StringRedisSerializer());
redisTemplate.setValueSerializer(new
GenericJackson2JsonRedisSerializer());
redisTemplate.setConnectionFactory(connectionFactory);
return redisTemplate;
}
}
面试问题
如果从Redis的核心网络模型来看,从 Redis 的 v1.0 到 v6.0 版本之前,Redis 的核心网络模型一直是一
个典型的单 Reactor 模型:利用 epoll/select/kqueue 等多路复用技术,在单线程的事件循环中不断去处理事件(客户端请求),最后回写响应数据到客户端。这个单线程网络模型一直到 Redis v6.0 才改造成多线程模式。但是从Redis整个数据库服务器而言,这并不意味着整个 Redis 一直都只是单线程。
为什么Redis是单线程的,但是运行速度反而还快呢?
上下文切换就是cpu在多线程之间进行轮流执行,抢占cpu资源,而redis单线程的,因此避免了繁琐的多线程上下文切换。
多路复用:
多路指的是多个socket连接,复用指的是复用一个线程。 目前多路复用主要有三种技术:select,poll,epoll。
- 举个例子:一个酒吧服务员,前面有很多醉汉,epoll这种方式相当于一个醉汉吼了一声要酒,服务员听见之后就去给他倒酒,而在这些醉汉没有要求的时候可以玩玩手机等。但是select和poll技术是这样的场景:服务员轮流着问各个醉汉要不要倒酒,没有空闲的时间。io多路复用的意思就是多个醉汉公用一个服务员。
- select:
1.会修改传入的参数,对于多个调用的函数来说非常不友好;
2.要是sock(io流出现了数据),select只能轮询这去找数据,对于大量的sock来说开销很大;
3.不是线程安全的
4.只能监视1024个连接;- poll:
1.还不是线程安全的…
2.去掉了1024个连接的限制;
3.不修改传入的参数了;- epoll:
1.线程安全了;
2.epoll不仅能告诉你sock有数据,还能告诉你哪个sock有数据,不用轮询了;
3.但是只支持linux系统;