正文

先问小伙伴们一个问题，登录难吗？“登录有什么难得？输入用户名和密码，后台检索出来，校验一下不就行了。”凡是这样回答的小伙伴，你明显就是产品思维，登录看似简单，用户名和密码，后台校验一下，完事了。但是，登录这个过程涵盖的知识点是非常多的，绝不是检索数据，校验一下这么简单的事。

那么登录都要哪些实现方式呢？i最传统的就要是Cookie-Session这种方式了，最早的登录方式都是这样实现的。但是随着手机端、H5端的兴起，前后端分离的模式越来越流行，基于Cookie-Session这种登录方式不是很方便，渐渐的JTW开始流行，现在大部分项目的登录方式都是基于JWT的了。那么Cookie和JWT都是怎样实现登录的呢？这两种方式有什么区别呢？我们在做登录的x时候该怎么选择呢？咱们先看看这两种方式的原理。

Cookie方式

因为Http协议是无状态的，我们后台的服务（如Tomcat）在接收到前端发送过来的Http请求时，是区分不出哪个请求是谁发出的，这和我们的登录功能是相违背的，登录的功能就是要区分每一个请求是由哪个用户发出的，这就变成了有状态，那怎么办呢？Cookie应运而生，Cookie是存储在浏览器端的，在Cookie中存储的内容是键值对，也就是name-value。浏览器在向后台发送请求的时候，会把Cookie放在请求头中，传送给后台的服务，后台的服务会从请求头中取到Cookie，再从Cookie中取出键值对中jsessionid对应的值。这个jsessionid的值就是你这次会话的id，对应着服务端的一个session。

好了，到这里session这个概念出来了，session是什么呢？session是存储在服务端的，每一个会话对应服务中的一个session。咱们可以把session理解为一个Map，它的key存储的session的id，value存储的东西就随便了，我们在写程序时想存啥就存啥。它的key存储的值就是Cookie中存储的jsessionid的值，这样，浏览器发送请求到后台服务，后台才能根据Cookie中的jsessionid取到对应的session，再从session中取到之前存储的状态，如存储在session中的登录状态、用户id等。Cookie-Session机制是通用的，所有的浏览器都支持Cookie，就连最低端的IE都支持，你说他普遍不普遍。Session是后端容器必须支持的，如Tomcat，还有像其他的如Resin、jetty等。这些对开发人员都是透明的，无需过多关注。

Cookie-Session的由来给大家说完了，我们看看基于Cookie这种方式的登录流程，

• 用户在浏览器输入用户名、密码，点击登录，发送请求到后台服务；
• 后台服务校验用户名、密码，将登录状态状态和用户id存储在session中；
• 将session的id存储在Cookie中，通过响应头返回到浏览器；
• 当用户点击其他功能时，向后台发送的请求中会自动带上Cookie；
• 后台通过Cookie中的jsessionid找到对应的session，开发人员可从session中取出当前会话的登录状态和用户id。

基于Cookie-Session机制的登录实现方式的整体流程就是这个样子。看上去很完美，但还是存在不少问题的，我们来看看这些问题。

分布式会话

上面的示例，我们的后台服务只有一个，一个服务往往很难支撑服务，为了保障可靠性，最少都是部署两个后台服务。但是当部署多个后台服务时，我们的session就会出现问题，看看下面的图，

• 假如用户登录的请求，分配到了后台服务1，后台服务1的session存了用户的登录状态和用户id。
• 用户在点击其他功能时，请求分配到了后台服务2，可是后台服务2的session并没有存储登录状态和用户id。

我们怎么解决这个问题呢？其实也很简单，第一，session集中管理，比如使用Redis；第二，所有的后台服务在获取session时，统一从Redis中获取。如下所示，

我们可以使用中间件Spring-Session和Redis就可以解决这个问题。

CORS

使用Cookie实现登录的另外一个问题就是跨域，现在往往都采用前后端分离的方式进行开发，在开发的过程中，前端和后端通常不在一个域下，由于浏览器的同源策略，Cookie不能传入到后端。至于同源策略，不明白的小伙伴可以问一下度娘，这里不过多介绍了。要解决这个问题，在前端、后端都要进行设置，在我的另一篇文章《前后端分离|关于登录状态那些事》中有详细的介绍。总体归纳为：

• 后端设置CORS允许跨域的域名，并且withCredentials设置为true；
• 前端在向后端发送请求时，也需要设置withCredentials = true;

这样，我们的Cookie就可以实现跨域了。不进行这些设置，Cookie跨域是不可能的，同源策略保证了我们Cookie的安全。

CSRF

CSRF，这个CORS是不一样的，长的比较像，也比较容易混。CSRF往往和系统的安全扯上联系，也是等保测试中比较重要的测试内容，它也是和Cookie有关的，大体的流程是这样的，

• 用户登录了A网站，并没有退出；
• 此时，用户又访问了B网站；
• 在B网站有个隐藏的请求，请求了A网站的一个重要的接口，比如：转账、支付等。
• 在请求A网站的同时，带上了A网站的Cookie，所以一些危险的操作就成功了。

关于CSRF的攻防，在我前面的文章《CSRF的原理与防御 | 你想不想来一次CSRF攻击？》中有详细的介绍。总之，使用Cookie实现登录是需要重点防范一下CSRF攻击的。

JWT方式

近年来，由于手机端的兴起，前后端分离开发方式的流行，JWT这种登录的实现方式悄然兴起，那么什么是JWT呢？JWT是英文JSON Web Token的缩写，它由3部分组成，

• header，一般情况下存储两个信息，1类型，一般都是JWT；2加密算法，比如：HMAC、RSA等；
• payload，这里就存储登录的相关信息了，比如：登录状态、用户id、过期时间等。
• signature，签名，这个是将header、payload和密钥的信息做一次加密，后台在接收到JWT的时候，一定要验签，谨防JWT的伪造。

下面咱们看看JWT的登录实现，

我们看到整体的流程和Cookie的实现方式是一样的，只不过是没有用到Cookie、Session。那么它与Cookie-Session的区别是什么呢？

• 登录状态、用户id并没有存储到session，而是存在JWT的payload里，返回给了前端。
• 在前端JWT不会自动存储到Cookie中，前端开发人员要处理JWT的存储问题，比如LocalStorage
• 再次发起请求，JWT不会自动放到请求头中，需前端同学手动设置
• 后端从请求头中取出JWT，验签通过后，拿到登录状态、用户id，不是从session中取

相比Cookie的方式，JWT的方式需要更多的开发工作量。那么其他的问题存在吗？我们一个一个看。

分布式会话

我们后台部署多个服务，会有分布式会话的问题吗？

无论请求被分配到哪一个后台服务中，登录状态和用户id都是从JWT中取出来的，不会出现分布式会话的问题。我们在后台部署集群的时候，根本不用care这个问题。

CORS

Cookie的跨域受到同源策略的保护，不经过特殊的设置，是不能够跨域的。那么JWT呢？JWT是前端同学手动在请求头中设置的，如果向其他的域发送请求要注意，稍不注意，在请求的时候，调用了封装的公共方法，就会把JWT发送给其他域的后台，前端的小伙伴要打起精神啊。

CSRF

Cookie的方式，B访问A网站，会把A的Cookie带上，从而造成了安全隐患。那么JWT呢？JWT在前端存储在A网站的域下，B在访问A网站时，是拿不到A网站的JWT的，那么也不可能在请求头中设置JWT，A网站的后台拿不到JWT，也不会做其他操作。所以，JWT可以很好的防止CSRF攻击。

最后分享一波，Java核心架构进阶知识点

面试成功其实都是必然发生的事情，因为在此之前我做足了充分的准备工作，不单单是纯粹的刷题，更多的还会去刷一些Java核心架构进阶知识点，比如：JVM、高并发、多线程、缓存、Spring相关、分布式、微服务、RPC、网络、设计模式、MQ、Redis、MySQL、设计模式、负载均衡、算法、数据结构、kafka、ZK、集群等。而这些也全被整理浓缩到了一份pdf——《Java核心架构进阶知识点整理》，全部都是精华中的精华，本着共赢的心态，好东西自然也是要分享的

内容颇多，篇幅却有限，这就不在过多的介绍了，大家可根据以上截图自行脑补，不过这份《Java核心架构进阶知识点整理pdf》以及前面P8整理的全套系列大厂面试题皆可免费分享给有需要的你，点击这里即可免费领取文中所有资料

Java核心架构进阶知识点整理pdf》以及前面P8整理的全套系列大厂面试题皆可免费分享给有需要的你，点击这里即可免费领取文中所有资料

一、前言

聊的是八股的文，干的是搬砖的活！

面我的题开发都用不到，你为什么要问？可能这是大部分程序员求职时的经历，甚至也是大家讨厌和烦躁的点。明明给的是拧螺丝的钱、明明做的是写CRUD的事、明明担的是成工具的人！

明明… 有很多，可明明公司不会招5年开发做3年经验的事、明明公司也更喜欢具有附加价值的研发。有些小公司不好说，但在一些互联网大厂中，我们都希望招聘到具有培养价值的，也更喜欢能快速打怪升级的，也更愿意让这样的人承担更大的职责。

但，你酸了！ 别人看源码你打游戏、别人学算法你刷某音、别人写博客你浪98。所以，没有把时间用到个人成长上，就一直会被别人榨取。

概述

1. 什么是Redis
2. Redis有哪些优缺点
3. 为什么要用Redis /为什么要用缓存
4. 为什么要用Redis而不用map/guava做缓存?
5. Redis为什么这么快

二、数据类型

1. Redis有哪些数据类型
2. Redis的应用场景

三、持久化

1. 什么是Redis持久化?
2. Redis的持久化机制是什么?各自的优缺点?
3. 如何选择合适的持久化方式
4. Redis持久化数据和缓存怎么做扩容?

四、过期键的删除策略

1. Redis的过期键的删除策略
2. Redis key的过期时间和永久有效分别怎么设置?
3. 我们知道通过expire来设置key的过期时间，那么对过期的数据怎么处理呢?

五、内存相关

1. MySQL里有2000w数据，redis中只存20w的数据， 如何保证redis中的数据都是热点数据
2. Redis的内存海汰策略有哪些
3. Redis主要消耗什么物理资源?
4. Redis的内存用完了会发生什么?
5. Redis如何做内存优化?

六线程模型

1. Redis线程模型

七.事务

1. 什么是事务?
2. Redis事务的概念
3. Redis事务的三个阶段
4. Redis事务相关命令
5. 事务管理(ACID)概述
6. Redis事务支持隔离性吗
7. Redis事务保证原子性吗，支持回滚吗
8. Redis事务其他实现

八集群方案

1. 哨兵模式.
2. 官方Redis Cluster 方案(服务端路由查询)
3. 基于客户端分配
4. 基于代理服务器分片
5. Redis主从架构
6. Redis集群的主从复制模型是怎样的?
7. 生产环境中的redis是怎么部署的?
8. 说说Redis哈希椿的概念?
9. Redis集群会有写操作丢失吗?为什么?
10. Redis集群之间是如何复制的?
11. Redis集群最大节点个数是多少?
12. Redis集群如何选择数据库?

九、分区

1. Redis是单线程的，如何提高多核CPU的利用率?
2. 为什么要做Redis分区?
3. 你知道有哪些Redis分区实现方案?
4. Redis分区有什么缺点?

十、分布式问题

1. Redis实现分布式锁
2. 如何解决Redis的并发竞争Key问题
3. 分布式Redis是前期做还是后期规模上来了再做好?为什么?
4. 什么是RedLock

十一、缓存异常

1. 缓存雪崩
2. 缓存穿透
3. 缓存击穿
4. 缓存预热
5. 缓存降级
6. 热点数据和冷数据
7. 缓存热点key

十二、常用工具

1. Redis支持的Java客户端都有哪些?官方推荐用哪个?
2. Redis和Redisson有什么关系?
3. Jedis与Redisson对比有什么优缺点?

十三、其他问题

1. Redis与Memcached的区别
2. 如何保证缓存与数据库双写时的数据一致性?
3. Redis常见性能问题和解决方案?
4. Redis官方为什么不提供Windows版本?
5. 一个字符串类型的值能存储最大容量是多少?
6. Redis如何做大量数据插入?
7. 假如Redis里面有1亿个key,其中有10w个key是以某个固定的已知的前缀开头的，如果将它们全部找出来？
8. 使用Redis做过异步队列吗，是如何实现的
9. Redis如何实现延时队列
10. Redis回收进程如何工作的?
11. Redis回收使用的是什么算法?

Redis面试复习大纲部分截图-001

技术学习总结

学习技术一定要制定一个明确的学习路线，这样才能高效的学习，不必要做无效功，既浪费时间又得不到什么效率，大家不妨按照我这份路线来学习。

最后面试分享

大家不妨直接在牛客和力扣上多刷题，同时，我也拿了一些面试题跟大家分享，也是从一些大佬那里获得的，大家不妨多刷刷题，为金九银十冲一波！

和力扣上多刷题，同时，我也拿了一些面试题跟大家分享，也是从一些大佬那里获得的，大家不妨多刷刷题，为金九银十冲一波！

[外链图片转存中…(img-i6O5j0Kn-1650508944741)]

[外链图片转存中…(img-DvZmdl4I-1650508944742)]