java springcloud面试题,SpringCloud整体构架设计（一）

java springcloud面试题,SpringCloud整体构架设计（一）详细介绍

本文目录一览： 面试想吊打面试官？阿里架构师教你吃透Spring(Boot、Cloud、MVC)

作为一名Java程序员，我想没人敢小觑 Spring的重要性，现在出去面试，无论多小的公司 or 项目，都要跟你扯一扯 Spring，扯一扯微服务，如果啃不下来，很可能就与大厂失之交臂。
精通Spring的原理实现的话，可以帮助你更好地职业进阶，学习前辈优秀的架构设计思想，总结出最优使用方案，绕过工作中遇到的很多坑。
一个框架的源码也是最大的知识库，源码是一层一层嵌套的，光靠文字说明会比较难以理解，最好是在IDE环境下跟着一步一步跟着点下去。
如果要学习源码，最合适的就是Spring，理由如下：
面试常问Spring、Spring Boot、Spring Cloud、Spring MVC面试题解析
针对Spring、Spring Boot、Spring Cloud、Spring MVC，笔者这边整理了几份学习PDF，这些PDF是可以免费分享的！
收集整理不易有需要的朋友帮忙转发一下，然后 【点击这里】 获取免费领取方式！
需要此PDF文档的朋友们记得转发一下；然后 【点击这里】 获取免费领取方式！

Spring全家桶笔记：Spring+Spring Boot+Spring Cloud+Spring MVC

最近我整理了一下一线架构师的Spring全家桶笔记：Spring+Spring Boot+Spring Cloud+Spring MVC，分享给大家一起学习一下~ 文末免费获取哦
Spring是一个轻量级控制反转(IoC)和面向切面(AOP)的容器框架。Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而，Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言，绝大部分Java应用都可以从Spring中受益。
1.1 Spring面试必备题+解析
1.2 Spring学习笔记
（1）Spring源码深入解析
（2）Spring实战
1.3 Spring学习思维脑图
Spring Boot是由Pivotal团队提供的全新框架，其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置，从而使开发人员不再需要定义样板化的配置。通过这种方式，Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。
2.1 Spring Boot面试必备题+解析
2.2 Spring Boot学习笔记
（1）Spring Boot实践
（2）SpringBoot揭秘 快速构建微服务体系
2.3 SpringBoot学习思维脑图
springcloud是微服务架构的集大成者，将一系列优秀的组件进行了整合。基于springboot构建，对我们熟悉spring的程序员来说，上手比较容易。通过一些简单的注解，我们就可以快速的在应用中配置一下常用模块并构建庞大的分布式系统。
3.1 Spring Cloud面试必备题+解析
3.2 Spring Cloud学习笔记
（1）Spring Cloud参考指南
SpringMVC是一种基于Java的实现MVC设计模式的请求驱动类型的轻量级Web框架，使用了MVC架构模式的思想，将web层进行职责解耦，基于请求驱动指的就是使用请求-响应模型，框架的目的就是帮助我们简化开发
4.1 Spring MVC面试必备题+解析
4.2 Spring MVC学习笔记
（1）看透Spring MVC源代码分析与实践
（2）精通Spring MVC
最后分享一下一份JAVA核心知识点整理（PDF）

java程序员培训有哪些课程 什么内容

java程序员培训有哪些课程?什么内容?今天昆明北大青鸟java老师就以昆明北大青鸟java培训课程为例为大家介绍。
昆明北大青鸟java培训课程体系是基于广泛的调研，及对数万家企业用人需求的分析而精心设置的。课程打造的七项实用技能，让学员不仅能熟练掌握及应用JAVA技术，更能达到企业的用人标准。下面详细介绍昆明北大青鸟java培训课程的内容。
1.夯实Java基础：当前的Java新技术层出不穷，各企业有不同的侧重，根据企业用人需求，只有具备坚实的Java基础功底的程序员才能快速掌握新技术。昆明北大青鸟的Java基础课程体系的深度在行业内首屈一指，学员会在核心算法、面向对象应用、数据结构及集合框架、反射、输入输出、多线程、异常处理等方面深入细致地学习，而这些正是企业面试中最常涉及的问题，是学员获得高薪的基础。
2.熟习Linux操作系统：Linux是当前使用最广泛的服务器操作系统。昆明北大青鸟的Java授课过程全程在Linux环境中完成(学员使用电脑全部为Linux环境)，同时还专门设有Linux的相关课程。学员在成为合格的Java工程师的同时还会具备熟练的Linux操作技巧，这正是在企业面试中获得加分的重要指标之一。
3.深入学习数据库技术：当前的企业及互联网应用完全离不开数据库技术。在任何一个大中型应用中，数据库设计的好坏、数据库访问的效率直接决定了该项目的成败。昆明北大青鸟的数据库技术包括当前最主流的Oracle和MySQL两种数据库，内容全面深入。除了数据库体系结构和SQL语句之外，还在数据库设计、SQL语句优化方面有很大的加强。
4.系统的Web前端技术：伴随着互联网技术由Web2.0向Web3.0迈进，Web前端技术，包括HTML、CSS特别是JavaScript语言越来越被企业所看重。很多企业专门为此新增“Web前端工程师”岗位。昆明北大青鸟的Java课程体系为此设置充足时间学习JavaScript及其相关的Ajax、JQuery框架、Ext-JS框架。毫不夸张地说，如果完全掌握了昆明北大青鸟的Web前端技术，甚至仅凭借JavaScript技能就可收获一份不错的工作。
5.企业级框架：Java是组件和框架的世界，几乎所有的Java程序员和Java应用企业都了解Java框架的重要性。昆明北大青鸟技术专家经过严谨调研，了解Java企业客户实际应用需求，按照企业需要定制了企业级框架课程。
(1)在Servlet/JSP课程中会独立完成一个Struts1的框架，这样就既了解了Struts1，又深入学习了MVC框架的底层原理。
(2)作为Java框架的佼佼者，Spring在企业应用中的地位一路攀升。新课程体系中进一步增加Spring的课程量，增加对其深入的了解，并且会涉及到由Spring衍生出的SpringSide等“脚手架”型框架。
(3)在深入领悟Spring核心基础之上，重点加强目前最热的SpringMVC和SpringJDBC内容，与企业实际应用接轨。
(4)数据持久层框架重点学习编码简洁，运行高效的MyBatis框架，并且也保留经典的轻量级框架Hibernate课程内容。
(5)在学习了流行的SpringMVC+MyBatis框架整体解决方案之后也要学习经典的SSH整合使用技术，全面且不落伍。
6.专门的企业开发及部署环境：企业在开发、测试、部署实际项目时需要有特定的软件环境。很多企业和学员不太重视这些环境，导致在工作中出现很多问题和失误甚至被淘汰。昆明北大青鸟Java课程体系中加入了专门的企业开发及部署环境课程，重点讲述Linux高级命令及脚本编程、远程登录、Ant、单元测试技术、Maven构建技术、SVN应用技术等等。
7.规范的企业开发流程及文档：软件开发是团队合作，因此企业开发流程和文档规范尤为重要。这也是企业区分“草根程序员”和“正规程序员”的重要指标之一。昆明北大青鸟Java课程所有的实践项目，无论规模大小，都严格按照企业开发的流程进行(需求分析、系统设计、编码实现、单元测试、系统测试、部署上线)，所有的开发文档完全达到甚至已经超过了大多数企业的要求。

面向对象编程三大特性-封装、继承、多态

封装从字面上来理解就是包装的意思，专业点就是信息隐藏，是指利用抽象数据类型将数据和基于数据的操作封装在一起，使其构成一个不可分割的独立实体，数据被保护在抽象数据类型的内部，尽可能地隐藏内部的细节，只保留一些对外接口使之与外部发生联系。系统的其他对象只能通过包裹在数据外面的已经授权的操作来与这个封装的对象进行交流和交互。也就是说用户是无需知道对象内部的细节，但可以通过该对象对外的提供的接口来访问该对象。
对于封装而言，一个对象它所封装的是自己的属性和方法，所以它是不需要依赖其他对象就可以完成自己的操作。使用封装有三大好处：
封装把一个对象的属性私有化，同时提供一些可以被外界访问的属性的方法，如果不想被外界方法，我们大可不必提供方法给外界访问。但是如果一个类没有提供给外界访问的方法，那么这个类也没有什么意义了。
封装可以使我们容易地修改类的内部实现，而无需修改使用了该类的客户代码。就可以对成员变量进行更精确的控制。
2.1 继承综述
继承是使用已存在的类的定义作为基础建立新类的技术，新类的定义可以增加新的数据或新的功能，也可以用父类的功能，但不能选择性地继承父类。通过使用继承我们能够非常方便地复用以前的代码，能够大大的提高开发的效率。
继承所描述的是“is-a”的关系，如果有两个对象A和B，若可以描述为“A是B”，则可以表示A继承B，其中B是被继承者称之为父类或者超类，A是继承者称之为子类或者派生类。
实际上继承者是被继承者的特殊化，它除了拥有被继承者的特性外，还拥有自己独有得特性。例如猫有抓老鼠、爬树等其他动物没有的特性。同时在继承关系中，继承者完全可以替换被继承者，反之则不可以，例如我们可以说猫是动物，但不能说动物是猫就是这个道理，其实对于这个我们将其称之为“向上转型”。
诚然，继承定义了类如何相互关联，共享特性。对于若干个相同或者相识的类，我们可以抽象出他们共有的行为或者属相并将其定义成一个父类或者超类，然后用这些类继承该父类，他们不仅可以拥有父类的属性、方法还可以定义自己独有的属性或者方法。
同时在使用继承时需要记住三句话：
学习继承一定少不了这三个东西： 构造器、protected关键字、向上转型
2.2 构造器
通过前面我们知道子类可以继承父类的属性和方法，除了那些private的外还有一样是子类继承不了的---构造器。对于构造器而言，它只能够被调用，而不能被继承。 调用父类的构造方法我们使用super()即可。
构建过程是从父类“向外”扩散的，也就是从父类开始向子类一级一级地完成构建。而且我们并没有显示的引用父类的构造器，这就是java的聪明之处：编译器会默认给子类调用父类的构造器。
但是，这个默认调用父类的构造器是有前提的：父类有默认构造器。如果父类没有默认构造器，我们就要必须显示的使用super()来调用父类构造器，否则编译器会报错：无法找到符合父类形式的构造器。
对于子类而已,其构造器的正确初始化是非常重要的,而且当且仅当只有一个方法可以保证这点：在构造器中调用父类构造器来完成初始化，而父类构造器具有执行父类初始化所需要的所有知识和能力。
对于继承而言，子类会默认调用父类的构造器，但是如果没有默认的父类构造器，子类必须要显示的指定父类的构造器，而且必须是在子类构造器中做的第一件事(第一行代码)。
2.3 protected关键字
private访问修饰符，对于封装而言，是最好的选择，但这个只是基于理想的世界，有时候我们需要这样的需求：我们需要将某些事物尽可能地对这个世界隐藏，但是仍然允许子类的成员来访问它们。这个时候就需要使用到protected。
对于protected而言，它指明就类用户而言，他是private，但是对于任何继承与此类的子类而言或者其他任何位于同一个包的类而言，他却是可以访问的。
2.4 向上转型
在上面的继承中我们谈到继承是is-a的相互关系，猫继承与动物，所以我们可以说猫是动物，或者说猫是动物的一种。这样将猫看做动物就是向上转型。
在这我们通过Person.display(husband)。这句话可以看出husband是person类型。
将子类转换成父类，在继承关系上面是向上移动的，所以一般称之为向上转型。由于向上转型是从一个叫专用类型向较通用类型转换，所以它总是安全的，唯一发生变化的可能就是属性和方法的丢失。这就是为什么编译器在“未曾明确表示转型”活“未曾指定特殊标记”的情况下，仍然允许向上转型的原因。
2.5 谨慎继承
在这里我们需要明确，继承存在如下缺陷：
所以说当我们使用继承的时候，我们需要确信使用继承确实是有效可行的办法。那么到底要不要使用继承呢？《Think in java》中提供了解决办法：问一问自己是否需要从子类向父类进行向上转型。如果必须向上转型，则继承是必要的，但是如果不需要，则应当好好考虑自己是否需要继承。
3.1 多态综述
所谓多态就是指程序中定义的引用变量所指向的具体类型和通过该引用变量发出的方法调用在编程时并不确定，而是在程序运行期间才确定，即一个引用变量倒底会指向哪个类的实例对象，该引用变量发出的方法调用到底是哪个类中实现的方法，必须在由程序运行期间才能决定。因为在程序运行时才确定具体的类，这样，不用修改源程序代码，就可以让引用变量绑定到各种不同的类实现上，从而导致该引用调用的具体方法随之改变，即不修改程序代码就可以改变程序运行时所绑定的具体代码，让程序可以选择多个运行状态，这就是多态性。
所以对于多态我们可以总结如下：
指向子类的父类引用由于向上转型了，它只能访问父类中拥有的方法和属性，而对于子类中存在而父类中不存在的方法，该引用是不能使用的，尽管是重载该方法。若子类重写了父类中的某些方法，在调用该些方法的时候，必定是使用子类中定义的这些方法（动态连接、动态调用）。
对于面向对象而言，多态分为编译时多态和运行时多态。其中编辑时多态是静态的，主要是指方法的重载，它是根据参数列表的不同来区分不同的函数，通过编辑之后会变成两个不同的函数，在运行时谈不上多态。而运行时多态是动态的，它是通过动态绑定来实现的，也就是我们所说的多态性。
3.2 多态的实现条件
在刚刚开始就提到了继承在为多态的实现做了准备。子类Child继承父类Father，我们可以编写一个指向子类的父类类型引用，该引用既可以处理父类Father对象，也可以处理子类Child对象，当相同的消息发送给子类或者父类对象时，该对象就会根据自己所属的引用而执行不同的行为，这就是多态。即多态性就是相同的消息使得不同的类做出不同的响应。
Java实现多态有三个必要条件：继承、重写、向上转型。
继承：在多态中必须存在有继承关系的子类和父类。
重写：子类对父类中某些方法进行重新定义，在调用这些方法时就会调用子类的方法。
向上转型：在多态中需要将子类的引用赋给父类对象，只有这样该引用才能够具备技能调用父类的方法和子类的方法。
只有满足了上述三个条件，我们才能够在同一个继承结构中使用统一的逻辑实现代码处理不同的对象，从而达到执行不同的行为。
对于Java而言，它多态的实现机制遵循一个原则：当超类对象引用变量引用子类对象时，被引用对象的类型而不是引用变量的类型决定了调用谁的成员方法，但是这个被调用的方法必须是在超类中定义过的，也就是说被子类覆盖的方法。
3.3 实现形式
在Java中有两种形式可以实现多态：继承和接口。
3.2.1、基于继承实现的多态
基于继承的实现机制主要表现在父类和继承该父类的一个或多个子类对某些方法的重写，多个子类对同一方法的重写可以表现出不同的行为。
基于继承实现的多态可以总结如下：对于引用子类的父类类型，在处理该引用时，它适用于继承该父类的所有子类，子类对象的不同，对方法的实现也就不同，执行相同动作产生的行为也就不同。
如果父类是抽象类，那么子类必须要实现父类中所有的抽象方法，这样该父类所有的子类一定存在统一的对外接口，但其内部的具体实现可以各异。这样我们就可以使用顶层类提供的统一接口来处理该层次的方法。
3.2.2、基于接口实现的多态
继承是通过重写父类的同一方法的几个不同子类来体现的，那么就可就是通过实现接口并覆盖接口中同一方法的几不同的类体现的。
在接口的多态中，指向接口的引用必须是指定这实现了该接口的一个类的实例程序，在运行时，根据对象引用的实际类型来执行对应的方法。
继承都是单继承，只能为一组相关的类提供一致的服务接口。但是接口可以是多继承多实现，它能够利用一组相关或者不相关的接口进行组合与扩充，能够对外提供一致的服务接口。所以它相对于继承来说有更好的灵活性。
3.2.3、经典实例分析
运行结果：
分析如下：
①②③比较好理解，一般不会出错。④⑤就有点糊涂了，为什么输出的不是"B and B”呢？
当超类对象引用变量引用子类对象时，被引用对象的类型而不是引用变量的类型决定了调用谁的成员方法，但是这个被调用的方法必须是在超类中定义过的，也就是说被子类覆盖的方法。（但是如果强制把超类转换成子类的话，就可以调用子类中新添加而超类没有的方法了。）
在继承链中对象方法的调用存在一个优先级：this.show(O)、super.show(O)、this.show((super)O)、super.show((super)O)。
上面程序中的A,B,C,D存在如下关系：
分析4：
a2.show(b)，a2是一个引用变量，类型为A，则this为a2，b是B的一个实例，于是它到类A里面找show(B obj)方法，没有找到，于是到A的super(超类)找，而A没有超类，因此转到第三优先级this.show((super)O)，this仍然是a2，这里O为B，(super)O即(super)B即A，因此它到类A里面找show(A obj)的方法，类A有这个方法，但是由于a2引用的是类B的一个对象，B覆盖了A的show(A obj)方法，因此最终锁定到类B的show(A obj)，输出为"B and A”。
分析5：
a2.show(c)，a2是A类型的引用变量，所以this就代表了A，a2.show(c),它在A类中找发现没有找到，于是到A的超类中找(super)，由于A没有超类（Object除外），所以跳到第三级，也就是this.show((super)O)，C的超类有B、A，所以(super)O为B、A，this同样是A，这里在A中找到了show(A obj)，同时由于a2是B类的一个引用且B类重写了show(A obj)，因此最终会调用子类B类的show(A obj)方法，结果也就是B and A。
分析8：
b.show(c)，b是一个引用变量，类型为B，则this为b，c是C的一个实例，于是它到类B找show(C obj)方法，没有找到，转而到B的超类A里面找，A里面也没有，因此也转到第三优先级this.show((super)O)，this为b，O为C，(super)O即(super)C即B，因此它到B里面找show(B obj)方法，找到了，由于b引用的是类B的一个对象，因此直接锁定到类B的show(B obj)，输出为"B and B”。
按照同样的方法我也可以确认其他的答案。
当超类对象引用变量引用子类对象时，被引用对象的类型而不是引用变量的类型决定了调用谁的成员方法，但是这个被调用的方法必须是在超类中定义过的，也就是说被子类覆盖的方法。这我们用一个例子来说明这句话所代表的含义：a2.show(b)；
这里a2是引用变量，为A类型，它引用的是B对象，因此按照上面那句话的意思是说有B来决定调用谁的方法,所以a2.show(b)应该要调用B中的show(B obj)，产生的结果应该是“B and B”，但是为什么会与前面的运行结果产生差异呢？这里我们忽略了后面那句话“被调用的方法必须是在超类中定义过的”，那么show(B obj)在A类中存在吗？根本就不存在！所以这句话在这里不适用？那么难道是这句话错误了？非也！其实这句话还隐含这这句话：它仍然要按照继承链中调用方法的优先级来确认。所以它才会在A类中找到show(A obj)，同时由于B重写了该方法所以才会调用B类中的方法，否则就会调用A类中的方法。
说明：所有的面试题目都不是一成不变的，特别是像一线大厂，上面的面试题只是给大家一个借鉴作用，最主要的是给自己增加知识的储备，有备无患。最后给大家分享Spring系列的学习笔记和面试题，包含spring面试题、spring cloud面试题、spring boot面试题、spring教程笔记、spring boot教程笔记、最新阿里巴巴开发手册（63页PDF总结）、2022年Java面试手册。一共整理了1184页PDF文档。私信博主（777）领取，祝大家更上一层楼！！
原文作者：jianyuerensheng
原文出处：https://blog.csdn.net/jianyuerensheng/article/details/51602015

来，科普一下JWT

1. JSON Web Token是什么
JSON Web Token (JWT)是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。
2. 什么时候你应该用JSON Web Tokens
下列场景中使用JSON Web Token是很有用的：
Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录，后续每个请求都将包含JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性，因为它的开销很小，并且可以轻松地跨域使用。
Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言，JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名，例如，用公钥/私钥对，你可以确定发送人就是它们所说的那个人。另外，由于签名是使用头和有效负载计算的，您还可以验证内容没有被篡改。
3. JSON Web Token的结构是什么样的

JSON Web Token由三部分组成，它们之间用圆点(.)连接。这三部分分别是：
因此，一个典型的JWT看起来是这个样子的：
接下来，具体看一下每一部分：
Header
header典型的由两部分组成：token的类型（“JWT”）和算法名称（比如：HMAC SHA256或者RSA等等）。
例如：

然后，用Base64对这个JSON编码就得到JWT的第一部分
Payload
Public claims : 可以随意定义。
下面是一个例子：

对payload进行Base64编码就得到JWT的第二部分
Signature
为了得到签名部分，你必须有编码过的header、编码过的payload、一个秘钥，签名算法是header中指定的那个，然对它们签名即可。
例如：
签名是用于验证消息在传递过程中有没有被更改，并且，对于使用私钥签名的token，它还可以验证JWT的发送方是否为它所称的发送方。
看一张官网的图就明白了：

4. JSON Web Tokens是如何工作的
在认证的时候，当用户用他们的凭证成功登录以后，一个JSON Web Token将会被返回。此后，token就是用户凭证了，你必须非常小心以防止出现安全问题。一般而言，你保存令牌的时候不应该超过你所需要它的时间。
无论何时用户想要访问受保护的路由或者资源的时候，用户代理（通常是浏览器）都应该带上JWT，典型的，通常放在Authorization header中，用Bearer schema。
header应该看起来是这样的：
服务器上的受保护的路由将会检查Authorization header中的JWT是否有效，如果有效，则用户可以访问受保护的资源。如果JWT包含足够多的必需的数据，那么就可以减少对某些操作的数据库查询的需要，尽管可能并不总是如此。
如果token是在授权头（Authorization header）中发送的，那么跨源资源共享(CORS)将不会成为问题，因为它不使用cookie。
下面这张图显示了如何获取JWT以及使用它来访问APIs或者资源：

5. 基于Token的身份认证 与 基于服务器的身份认证
5.1. 基于服务器的身份认证
在讨论基于Token的身份认证是如何工作的以及它的好处之前，我们先来看一下以前我们是怎么做的：
HTTP协议是无状态的，也就是说，如果我们已经认证了一个用户，那么他下一次请求的时候，服务器不知道我是谁，我们必须再次认证
传统的做法是将已经认证过的用户信息存储在服务器上，比如Session。用户下次请求的时候带着Session ID，然后服务器以此检查用户是否认证过。
这种基于服务器的身份认证方式存在一些问题：
Sessions : 每次用户认证通过以后，服务器需要创建一条记录保存用户信息，通常是在内存中，随着认证通过的用户越来越多，服务器的在这里的开销就会越来越大。
Scalability : 由于Session是在内存中的，这就带来一些扩展性的问题。
CORS : 当我们想要扩展我们的应用，让我们的数据被多个移动设备使用时，我们必须考虑跨资源共享问题。当使用AJAX调用从另一个域名下获取资源时，我们可能会遇到禁止请求的问题。
CSRF : 用户很容易受到CSRF攻击。
5.2. JWT与Session的差异
相同点是，它们都是存储用户信息；然而，Session是在服务器端的，而JWT是在客户端的。
Session方式存储用户信息的最大问题在于要占用大量服务器内存，增加服务器的开销。
而JWT方式将用户状态分散到了客户端中，可以明显减轻服务端的内存压力。
Session的状态是存储在服务器端，客户端只有session id；而Token的状态是存储在客户端。

5.3. 基于Token的身份认证是如何工作的
基于Token的身份认证是无状态的，服务器或者Session中不会存储任何用户信息。
虽然这一实现可能会有所不同，但其主要流程如下：
注意：
5.4. 用Token的好处
无状态和可扩展性： Tokens存储在客户端。完全无状态，可扩展。我们的负载均衡器可以将用户传递到任意服务器，因为在任何地方都没有状态或会话信息。
安全： Token不是Cookie。（The token, not a cookie.）每次请求的时候Token都会被发送。而且，由于没有Cookie被发送，还有助于防止CSRF攻击。即使在你的实现中将token存储到客户端的Cookie中，这个Cookie也只是一种存储机制，而非身份认证机制。没有基于会话的信息可以操作，因为我们没有会话!

还有一点，token在一段时间以后会过期，这个时候用户需要重新登录。这有助于我们保持安全。还有一个概念叫token撤销，它允许我们根据相同的授权许可使特定的token甚至一组token无效。
5.5. JWT与OAuth的区别
写在最后：我为大家准备了一些适合于1－5年以上开发经验的java程序员面试涉及到的绝大部分面试题及答案做成了文档和学习笔记文件以及架构视频资料免费分享给大家（包括Dubbo、Redis、Netty、zookeeper、Spring cloud、分布式、高并发等架构技术资料），希望可以帮助到大家。

Spring框架曝安全漏洞，你如何评价这个漏洞？

这个漏洞也是比较大的，说明这样的一个漏洞也需要管理，需要查处的。
我觉得这个漏洞需要尽快修复，因为它不仅有着致命的弱点，而且一旦被攻击能够完全控制整个Web应用，同时会运行攻击者自己的代码，所以不能掉以轻心。
我觉得这个漏洞挺危险的，如果一旦被攻击者利用，攻击者便能够完全控制整个Web应用并且能够运行自己的代码，所以希望官方赶紧解决。
Spring框架曝安全漏洞，你如何评价这个漏洞？下面就我们来针对这个问题进行一番探讨，希望这些内容能够帮到有需要的朋友们。
继Log4j2以后，听到Java再度遭受漏洞进攻，这一次，好像状况也更为严重，由于遭受危害的是Java服务平台的开源系统全栈应用软件框架和控制反转器皿完成——Spring家族，并且网传漏洞还不仅一个。一直以来，Spring是程序编写开发设计的首选技术性之一，先前一位名叫BogdanN.的全栈开发者乃至点评道：“学习培训Java、学习Spring框架，你永远都不容易下岗。”
显而易见，假如Spring城门失火，Java必然殃及。但是，SpringRCE漏洞在互联网上炒了二天，尽管有许多安全圈工作人员陆续发朋友圈，但大量的或是表明了仅仅听到，这也不免令人怀疑，是真有漏洞，或是虚惊一场？3月26日，据网络信息安全网址CyberKendra报导，SpringCloudFunction官方网功能测试曝出了SpringCloudFunctionSPEL(SpringExpressionLanguage)关系式引入漏洞，网络黑客可使用该漏洞引入SPEL表达式来开启远程连接命令实行。
最初，科学研究工作人员在剖析SpringCloud函数公式的main支系时，发觉有开发者向在其中加上了SimpleEvaluationContext类。还采用了isViaHeadervariable做为标示，在分析spring.cloud.function.routing-expression以前分辨的值源自HTTPheader。现阶段，SpringCloudFunction被很多互联网巨头运用于设备中，包含AWSLambda、Azure、GoogleCloudFunctions、ApacheOpenWhisk及其很多Serverless服务提供商。
依据官方网文本文档，SpringCloudFunction是根据SpringBoot的函数计算框架，它可以：根据函数公式推动业务逻辑的完成。将业务逻辑的开发设计生命期与一切特殊的运作时总体目标分离出来，便于应用同样的编码可以做为Web端点、流处理器数量或每日任务运作。适用跨Serverless服务提供商的统一程序编写实体模型，具有单独运作（当地或在PaaS中）的工作能力。在Serverless上给予程序流程上开启SpringBoot作用（全自动配备、依赖注入、指标值）。
简单点来说，SpringCloudFunction根据抽象化传送关键点和基础设施建设，为开发者保存了解的开发环境和开发流程，让开发者致力于完成业务逻辑，进而提升开发设计高效率。现阶段，SpringCloudFunctionSPEL漏洞已被分类为比较严重级别，CVSS（通用性安全性漏洞评分标准）得分成9.0（100分10）。
对比前面一种，3月29日夜间，有许多网民曝出的SpringRCE漏洞，让开发者圈中人人自危。但是有一些与众不同的是，这一漏洞现阶段并没像Log4j2事情那般造成的圈里众多公司大型厂的紧急行动，都不像SpringCloudFunctionSPEL漏洞那般有官方网表明，乃至连海外公布漏洞的源头也是来源于QQ和中国一部分网络信息安全网址。

FeignClient注解及参数问题---SpringCloud微服务

在用分布式架构SpringBoot的SpringCloud技术开发过程中，FeignClient 是一个常用的注解，且很重要的功能。

简单理解就是，分布式架构服务之间，各子模块系统内部通信的核心。

一般在一个系统调用另一个系统的接口时使用，如下：

注解

@FeignClient("XXX")

public interface XX{

? ....

}

该注解一般创建在 interface 接口中，然后在业务类@Autowired进去使用非常简单方便。

创建好interface接口后，当然要把调用该服务的接口方法定义出来，该方法对应本FeignClient的controller接口，必须重写该接口方法（返回对象，参数值完全一样）。

启动项目出现如下报错时，咋一看以为是在业务类中调用该接口方法时，传参为空null而报错。

FactoryBean threw exception on object creation; nested exception is

java.lang.IllegalStateException: RequestParam.value() was empty on parameter 0

当把传参用数据代替时，重新启动时；任然报如上错误。

贴一个报错全截图

org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'withdrawCountRecordController': Unsatisfied dependency expressed through field 'withdrawCountService'; nested exception is org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'withdrawCountServiceImpl': Unsatisfied dependency expressed through field 'cumClient'; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'com.epaylinks.efps.pas.clr.client.CumClient': FactoryBean threw exception on object creation; nested exception is java.lang.IllegalStateException: RequestParam.value() was empty on parameter 0

at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:588)

at org.springframework.beans.factory.annotation.InjectionMetadata.inject(InjectionMetadata.java:88)

at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor.postProcessPropertyValues(AutowiredAnnotationBeanPostProcessor.java:366)

at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.populateBean(AbstractAutowireCapableBeanFactory.java:1264)

at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:553)

at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:483)

at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:306)

at org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:230)

at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:302)

at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:197)

在@FeignClien("XX") 接口类中，检查每个方法的参数定义时：

是否有如下情形

@RequestMapping(value="/XXX/query", method = RequestMethod.GET)

? ? public PageResult

query(@RequestParam(required = false) String XXCode,

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? @RequestParam(value = "XXnName",required = false) String institutionName,

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? @RequestParam(value = "startTime",required = false) String startTime,

问题就在这里：

@RequestParam(required = false) String XXCode

这个参数少了个value = "XXCode", 这个是Spring 4.0版本后，@RequestParam 注解对参数传值有了很好的封装特性并严格校验。

改为：@RequestParam(value = "XXCode", required = false) String XXCode

之后，问题完美解决；重启项目正常。

另外，插一句：当在项目多个地方调用同一个@FeignClien("XX")某项目时，在多个包中创建接口，并无影响。

---------------------文章来自CSDN技术博客

原文： FeignClient注解及参数问题---SpringCloud微服务

零基础Java培训课程内容是什么？

零基础Java培训课程内容是什么？零基础学习Java技术开发最好选择靠谱的Java培训机构，面对市面上诸多的Java培训机构，当我们眼花缭乱的时候一定要去Java培训班参加免费试听课程，通过Java课程的试听了解Java培训机构的课程大纲，昌平北大青鸟Java培训20年总结出企业所需要的Java人才制定Java培训课程大纲，一起来看看昌平北大青鸟Java培训班课程内容包括什么？
第一阶段：Java语言基础
这阶段主要包括：计算机概述(Java编程语言概述、Eclipse开发环境搭建)、Java基础(变量、基本数据类型、printf、数据格式化、运算符、流程控制、数组、数组复制)、面向对象编程实战(对象、类、属性、方法、构造器、重载、继承、重写、封装、多态、抽象类和接口、内存管理、内存泄露)贯穿该阶段的项目是“飞机大战”
第二阶段：JavaSE核心
这阶段主要包括：项目需求概述/IDEA(项目需求文档，IDEA社区版本开发工具使用)、JavaSE核心API(Object、String、StringBuilder、正则表达式、集合框架、范型、包装类、二进制、集合性能剖析)、Java8高级API(文件、IO，线程，网络，XML、Lambda、流、反射API、Java8日期、并发包)、Maven/Git(Maven依赖管理、项目构建、Git搭建、代码提交、代码更新、代码合并)、核心API综合实战(多线程TCP编程、HTTP协议、请求解析、响应处理、文字编码原理和UTF-8编码、线程池、POST请求解析、GET请求解析、Mime类型、定长记录文件操作)贯穿该阶段的项目是“小鸟Web服务器："稻草问答"原型或小鸟Web服务器："美人鱼客服"原型”
第三阶段：WEB全栈及数据库
这个阶段包括：项目需求概述/IDEA、WEB前端核心、WEB前端高级框架、前端项目实战、数据库技术核心、JDBC、JavaEE服务端编程、Ajax、VUE.js、Web综合实战、项目峰会贯穿该阶段的项目是VR3D时代网站“稻草问答”：前端或“美人鱼客服”：前端
第四阶段：微服务及超高并发互联网架构
这个阶段包括：项目需求概述、SSM框架技术、分布式微服务/SpringCloud、互联网架构技术、互联网项目实战、项目峰会。贯穿该阶段的项目是“稻草问答”或“美人鱼客服”
第五阶段：全栈进阶就业冲刺
这个阶段包括：编写原生框架、数据库高级、项目库综合实战、就业进阶。贯穿该阶段的项目是SmartMVC
第六阶段：增值课程
这个阶段包括：Servlet/JSP、经典版SSM、华为云、Nginx、分布式文件存储技术、MySQL、Dubbo这个阶段会有“稻草问答部署”
以上内容是关于昌平北大青鸟Java培训课程内容简介，详细内容了解可以咨询客服小姐姐或者填写下面表单获得昌平北大青鸟Java培训课程的免费试听课程。昌平北大青鸟采用“因材施教，分级培优”保证课程适合对应的学员进行学习，毕竟我们参加Java培训最终目的是为了就业。

SpringCloud整体构架设计（一）

SpringClound整体核心架构只有一点：Rest服务，也就是说在整个SpringCloud配置过程之中，所有的配置处理都是围绕着Rest完成的，在这个Rest处理之中，一定要有两个端：服务的提供者（Provider）、服务的消费者（Consumer），所以对于整个SpringCloud基础的结构就如下所示：

既然SpringCloud的核心是Restful结构，那么如果要想更好的去使用Rest这些微服务还需要考虑如下几个问题。

1、所有的微服务地址一定会非常的多，所以为了统一管理这些地址信息，也为了可以及时的告诉用户哪些服务不可用，所以应该准备一个分布式的注册中心，并且该注册中心应该支持有HA机制，为了高速并且方便进行所有服务的注册操作，在SpringCloud里面提供有一个Eureka的注册中心。

对于整个的WEB端的构架（SpringBoot实现）可以轻松方便的进行WEB程序的编写，而后利用Nginx或Apache实现负载均衡处理，但是你WEB端出现了负载均衡，那么业务端呢？应该也提供有多个业务端进行负载均衡。那么这个时候就需要将所有需要参与到负载均衡的业务端在Eureka之中进行注册。

在进行客户端使用Rest架构调用的时候，往往都需要一个调用地址，即使现在使用了Eureka作为注册中心，那么它也需要有一个明确的调用地址，可是所有的操作如果都利用调用地址的方式来处理，程序的开发者最方便应用的工具是接口，所以现在就希望可以将所有的Rest服务的内容以接口的方式出现调用，所以它又提供了一个Feign技术，利用此技术可以伪造接口实现。

在进行整体的微架构设计的时候由于牵扯的问题还是属于RPC，所以必须考虑熔断处理机制，实际上所有的熔断就好比生活之中使用保险丝一样，有了保险丝在一些设备出现了故障之后依然可以保护家庭的电器可以正常使用，如果说现在有若干的微服务，并且这些微服务之间可以相互调用，例如A微服务调用了B微服务，B微服务调用了C微服务。

如果在实际的项目设计过程之中没有处理好熔断机制，那么就会产生雪崩效应，所以为了防止这样的问题出现，SpringCloud里面提供有一个Hystrix熔断处理机制，以保证某一个微服务即使出现了问题之后依然可以正常使用。

通过Zuul的代理用户只需要知道指定的路由的路径就可以访问指定的微服务的信息，这样更好的提现了java中的“key=value”的设计思想，而且所有的微服务通过zuul进行代理之后也更加合理的进行名称隐藏。

在SpringBoot学习的时候一直强调过一个问题：在SpringBoot里面强调的是一个“零配置”的概念，本质在于不需要配置任何的配置文件，但是事实上这一点并没有完全的实现，因为在整个在整体的实际里面，依然会提供有application.yml配置文件，那么如果在微服务的创建之中，那么一定会有成百上千个微服务的信息出现，于是这些配置文件的管理就成为了问题。例如：现在你突然有一天你的主机要进行机房的变更，所有的服务的IP地址都可能发生改变，这样对于程序的维护是非常不方便的，为了解决这样的问题，在SpringCloud设计的时候提供有一个SpringCloudConfig的程序组件，利用这个组件就可以直接基于GIT或者SVN来进行配置文件的管理。

在整体设计上SpringCloud更好的实现了RPC的架构设计，而且使用Rest作为通讯的基础，这一点是他的成功之处，由于大量的使用了netflix公司的产品技术，所以这些技术也有可靠的保证。