本文探讨了Redis分布式锁的实现及其常见面试题,包括缓存穿透、雪崩和击穿的解决策略。此外,详细介绍了Apache Shiro安全框架,包括权限管理、身份认证、授权以及如何使用Shiro完成认证工作。
1.redis分布式锁的bug
可以使用:redission依赖,redission解决redis超时问题的原理
为持有锁的线程开启一个守护线程,守护线程会每隔10秒检查当前线程是否还持有锁,如果持有则延迟生存时间。
使用:
<dependency>
<groupId>org.redisson</groupId>
<artifactId>redisson</artifactId>
<version>3.13.4</version>
</dependency>
//获取redisson对象并交于spring容器管理
@Bean
public Redisson redisson(){
Config config =new Config();
config.useSingleServer().
setAddress("redis://localhost:6379").
//redis默认有16个数据库
setDatabase(0);
return (Redisson) Redisson.create(config);
}@Override
public String decreaseStock(Integer productId) {
//获取锁对象
RLock lock = redisson.getLock("aaa::" + productId);
try {
lock.lock(30, TimeUnit.SECONDS);
//查看该商品的库存数量
Integer stock = productStockDao.findStockByProductId(productId);
if (stock > 0) {
//修改库存每次-1
productStockDao.updateStockByProductId(productId);
System.out.println("扣减成功!剩余库存数:" + (stock - 1));
return "success";
} else {
System.out.println("扣减失败!库存不足!");
return "fail";
}
} finally {
lock.unlock();
}
2.redis中常见的面试题
2.1 什么是缓存穿透?怎么解决?
1. 数据库中没有该记录,缓存中也没有该记录,这时由人恶意大量访问这样的数据。这样就会导致该请求绕过缓存,直接访问数据,从而造成数据库压力过大。
2.解决办法:
[1]在controller加数据校验。
[2]我们可以在redis中存入一个空对象,而且要设置过期时间不能太长。超过5分钟
[3]我们使用布隆过滤器。底层:有一个bitmap数组,里面存储了该表的所有id.
//伪代码
String get(String key) { //布隆过滤器钟存储的是数据库表钟对应的id
String value = redis.get(key); //先从缓存获取。
if (value == null) { //缓存没有命中
if(!bloomfilter.mightContain(key)){//查看布隆过滤器钟是否存在
return null;
}else{
value = db.get(key); //查询数据库
redis.set(key, value);
}
}
return value;
}2.2 什么是缓存雪崩?如何解决?
缓存雪崩是指缓存中数据大批量到过期时间,而查询数据量巨大,引起数据库压力过大甚至down机。和缓存击穿不同的是, 缓存击穿指并发查同一条数据,缓存雪崩是不同数据都过期了,很多数据都查不到从而查数据库。
1.什么下会发生缓存雪崩:
[1]项目刚上线,缓存中没有任何数据
[2]缓存出现大量过期。
[3]redis宕机
2.解决办法:
1.上线前预先把一些热点数据放入缓存。
2.设置过期时间为散列值
3.搭建redis集群
2.3 什么是缓存击穿?如何解决?
缓存击穿是指缓存中没有但数据库中有的数据(一般是缓存时间到期),这时由于并发用户特别多,同时读缓存没读到数据,又同时去数据库去取数据,引起数据库压力瞬间增大,造成过大压力。
缓存击穿解决方案:
1.设置永久不过期。【这种只适合内存】
2.使用互斥锁(mutex key)业界比较常用的做法。
2.4 Redis 淘汰策略有哪些?
3. shiro安全框架
3.1 什么是权限管理
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
3.2 什么是身份认证
==身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。
3.3 什么是授权
==授权,即访问控制==,控制谁能访问哪些资源。主体进行==身份认证后==需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的
3.4 认证授权框架有哪些?
shiro框架和spring security框架 这款框架是现在市面比较流行。
3.5 什么shiro框架
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring security,Shiro 要简单的多.
` Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架
4. 使用shiro完成认证工作
4.1 shiro中认证的关键对象
Subject:主体访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;
Principal:身份信息----账号是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。
credential:凭证信息---密码是只有主体自己知道的安全信息,如密码、证书等。
4.2 认证流程
4.3 代码
(1) 创建一个maven java工程
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.9.0</version>
</dependency>(2)创建ini文件
(3)测试代码
public class TestShiro01 {
public static void main(String[] args) {
//1.获取SecutiryManager对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
//2.读取ini文件
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
//3.设置securityManager的realm
securityManager.setRealm(iniRealm);
//4. 设置securityManager上下文生效
SecurityUtils.setSecurityManager(securityManager);
//5. 获取subject主体对象
Subject subject= SecurityUtils.getSubject();
try {
//UsernamePasswordToken作用就是封装你输入的账号和密码 是客户输入的账号和密码
UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123456");
//抛出异常 比对shiro中realm把你自带对比
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
e.printStackTrace();
System.out.println("账号或密码错误");
}
}
}4.4 认证的原理
Subject: 主题 登录信息提交给SecurityManager, --->认证器Authenticator---->根据你的realm提供的数据进行相关的认证。 realm---与数据源交互的类。
5. 授权
修改ini文件
修改代码
public class TestShiro01 {
public static void main(String[] args) {
//1.获取SecutiryManager对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
// //2.读取ini文件
IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
//3.设置securityManager的realm
securityManager.setRealm(iniRealm);
//4. 设置securityManager上下文生效
SecurityUtils.setSecurityManager(securityManager);
//5. 获取subject主体对象
Subject subject= SecurityUtils.getSubject();
try {
//UsernamePasswordToken作用就是封装你输入的账号和密码 是客户输入的账号和密码
UsernamePasswordToken token=new UsernamePasswordToken("zhangsan","123456");
//抛出异常 比对shiro中realm把你自带对比
subject.login(token);
System.out.println("登录成功");
}catch (Exception e){
e.printStackTrace();
System.out.println("账号或密码错误");
}
// subject.logout();
System.out.println("====================================================登录后=====================================");
boolean authenticated = subject.isAuthenticated();
if(authenticated){
//判断当前登录者是否具有user:query权限
boolean permitted = subject.isPermitted("user:update");
System.out.println(permitted);
//从角色角度
boolean b = subject.hasRole("role1");
System.out.println(b);
}else{
System.out.println("请先认证");
}
}
}
扫一扫
8637
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
