Java中高级核心知识全面解析(3),Java黑马视频资源

最新推荐文章于 2024-08-15 20:26:20 发布
最新推荐文章于 2024-08-15 20:26:20 发布
阅读量79 收藏
点赞数
分类专栏: 程序员 文章标签: 后端 java 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60606523/article/details/119492583
版权

</>

导致这个问题很大的原因就是: `Session` 认证中 `Cookie` 中的 `session_id` 是由浏览器发送到服务端的,借助这个特性,攻击者就可以通过让用户误点攻击链接,达到攻击效果。

**那为什么 token 不会存在这种问题呢?**

我是这样理解的:一般情况下我们使用 JWT 的话,在我们登录成功获得 token 之后,一般会选择存放在 `local storage` 中。然后我们在前端通过某些方式会给每个发到后端的请求加上这个 token,这样就不会出现 CSRF 漏洞的问题。因为,即使有个你点击了非法链接发送了请求到服务端,这个非法请求是不会携带 token 的,所以这个请求将是非法的。

但是这样会存在 XSS 攻击中被盗的风险,为了避免 XSS 攻击,你可以选择将 token 存储在标记为 `httpOnly` 的cookie 中。但是,这样又导致了你必须自己提供CSRF保护。

具体采用上面哪两种方式存储 token 呢,大部分情况下存放在 `local storage` 下都是最好的选择,某些情况下可能需要存放在标记为 `httpOnly` 的`cookie` 中会更好。
## 3.适合移动端应用
使用 Session 进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到 Cookie(需要 Cookie 保存 SessionId),所以不适合移动端。

但是,使用 token 进行身份认证就不会存在这种问题,因为只要 token 可以被客户端存储就能够使用,而且 token 还可以跨语言使用。
## 4.单点登录友好
使用 Session 进行身份认证的话,实现单点登录,需要我们把用户的 Session 信息保存在一台电脑上,并且还会遇到常见的 Cookie 跨域的问题。但是,使用 token 进行认证的话, token 被保存在客户端,不会存在这些问题。
# 二、Token 认证常见问题以及解决办法
## 1.注销登录等场景下 token 还有效
与之类似的具体相关场景有:

 1. 退出登录;
 2. 修改密码;
 3. 服务端修改了某个用户具有的权限或者角色;
 4. 用户的帐户被删除/暂停。
 5. 用户由管理员注销;

这个问题不存在于 Session 认证方式中,因为在 Session 认证方式中,遇到这种情况的话服务端删除对应的 Session 记录即可。但是,使用 token 认证的方式就不好解决了。我们也说过了,token 一旦派发出去,如果后端不增加其他逻辑的话,它在失效之前都是有效的。那么,我们如何解决这个问题呢?查阅了很多资料,总结了下面几种方案:

 - **将 token 存入内存数据库**:将 token 存入 DB 中,redis 内存数据库在这里是是不错的选择。如果需要让某个 token 失效就直接从 redis 中删除这个 token 即可。但是,这样会导致每次使用 token 发送请求都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则。
 - **黑名单机制**:和上面的方式类似,使用内存数据库比如 redis 维护一个黑名单,如果想让某个 token 失效的话就直接将这个 token 加入到 黑名单 即可。然后,每次使用 token 进行请求的话都会先判断这个 token 是否存在于黑名单中。
 - **修改密钥 (Secret)** : 我们为每个用户都创建一个专属密钥,如果我们想让某个 token 失效,我们直接修改对应用户的密钥即可。但是,这样相比于前两种引入内存数据库带来了危害更大,比如:1.**如果服务是分布式的,则每次发出新的 token 时都必须在多台机器同步密钥。为此,你需要将必须将机密存储在数据库或其他外部服务中,这样和 Session 认证就没太大区别了。**2.**如果用户同时在两个浏览器打开系统,或者在手机端也打开了系统,如果它从一个地方将账号退出,那么其他地方都要重新进行登录,这是不可取的。**


### 最后

一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、Spring、Spring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。

这不,马上就要到招聘季了,很多朋友又开始准备“金三银四”的春招啦,那我想这份“java高分面试指南”应该起到不小的作用,所以今天想给大家分享一下。

![image](https://img-blog.csdnimg.cn/img_convert/8976eb5224f63524a3ebfa3d43d10d49.png)

> 请注意:关于这份“java高分面试指南”,每一个方向专题(25个)的题目这里几乎都会列举,在不看答案的情况下,大家可以自行测试一下水平 且由于篇幅原因,这边无法展示所有完整的答案解析

答案的情况下,大家可以自行测试一下水平 且由于篇幅原因,这边无法展示所有完整的答案解析

**资料领取方式:点击[【java高分面试指南-25大专题分类】](https://gitee.com/vip204888/java-p7)**
Java工程师面经
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黑马Java视频全套,Java中高级核心知识全面解析(6)
m0_60567854的博客
08-06 550
if (expire) setExpire(c,c->db,key,mstime()+milliseconds); notifyKeyspaceEvent(NOTIFY_STRING,"set",key,c->db->id); if (expire) notifyKeyspaceEvent(NOTIFY_GENERIC, "expire",key,c->db->id); addReply(c, ok_reply ? ok_reply : shared.ok); }
学习Java需要学些什么知识
m0_57290404的博客
06-08 1242
一、JavaSE基础二、JavaSE进阶三、JavaWeb阶段四、热门框架 SSM+SpringBoot五、项目 分布式微服务项目实战最后:面试专题课基本上可以分为5个阶段看图:1. Java基础语法基础语法是编程语言的第一课,打好基础才能更好的掌握后面的内容技术点: |1.Java语言的发展史 |2.JDK的下载和安装 |3.DOS命令的介绍和使用 |4.Path环境变量的配置 |5.第一个代码HelloWorld案例 |6.NotePad++软件的安装和使用 |7.Java中的数据类型 |8.常量的使用
Java修仙之路,十万字吐血整理全网最完整Java学习笔记(高级篇)
vincewm的博客
07-18 3286
本文是“Java学习路线”中Java基础知识的高级篇,主要对多线程和反射进行了深入浅出的介绍,在多线程部分,详细介绍了线程的概念、生命周期、多线程的线程安全、线程通信、线程同步,并对synchronized和Lock锁;反射部分对反射的特性、功能、优缺点、适用场景等进行了介绍。
黑马程序员笔记:小白必看——Java学习路线
Future_yzx的博客
07-24 393
Java面试宝典(含阿里、腾迅大厂java面试真题,java数据结构,java并发,jvm等java面试真题)以100+企业大厂真实高频Java面试真题为主干,辅以数据结构的可视化展示、算法的可视化展示,窥探底层的工具使用等等可视化手段,用直观、形象的方式展现复杂的知识内容,让学生更清晰、更容易地掌握这些Java面试题与Java知识点。同时在多通道的加持下,通过智能动态的通道评级、选举、降级、热插拔,增强了系统的健壮性,摆脱对单一通道的依赖,并且提供多种对接方式,满足企业内部的各种需求。
Java-高级技术(一)
Chovy_pyc的博客
04-22 2235
Java 高级技术入门篇章一,篇幅比较大,后续会对文章内容进行拆分。
java学习资源分享
点点的博客
03-18 2284
1.Java基础视频  《张孝祥JAVA视频教程》完整版[RMVB](东西网) 历经5年锤炼(史上最适合初学者入门的Java基础视频)(传智播客) 张孝祥2010年贺岁视频Java高新技术(传智播客) Java多线程与并发库高级应用(传智播客) 尚学堂JAVA视频下载大全(持续更新中...请关注!)(尚学堂) 《动力节点,王勇JAVA系列视频教程》(东西网) 张孝祥Java高新技术
Java基础知识和进阶
汪程序员
04-04 5813
java基础知识
Java进阶3 - 易错知识点整理(待更新)
qq_33934427的博客
11-08 1135
Java进阶3 - 易错知识点整理(待更新)
全新Java高级工程师学习路线图(附学习资料)
weixin_51689029的博客
05-13 2924
全新Java高级工程师学习路线图,专供进阶使用全新上线! java高级软件工程师学习路线图 干货来了!!!呕心沥血为大家整理了最新的Java学习路线图以及各阶段学习内容(附学习资料) 内容较多,建议收藏再看,看完收获颇丰哦,想学苦恼没有资源的抓紧时间学习起来吧,机会已经摆在你眼前,就看你能不能抓住咯! 配套源码可以私信领取的哦~ 学习大纲以及每阶段掌握知识点(附配套学习视频) 第一阶段-Java基础 JavaSE基础是Java中级程序员的起点,是帮助你从小白到懂得编程的必经之路。 在Java基础板块中有6
2018 年 6 月黑马 java 就业班视频
03-04
2018 年 6 月黑马 java 就业班视频。 2018 年 6 月黑马 java 就业班视频。2018年6月java黑马&传智视频java基础到架构都有,有很多新的技术加入其中 01.java基础(共300集左右). 02.HTML(共21集). 03.CSS(共21集). ...
黑马JAVA全套视频
06-14
【标题】"黑马JAVA全套视频"所涵盖的知识点主要集中在Java编程语言的学习上,这是一个针对初学者的全面教程。"黑马"通常指的是提供高质量教育的培训机构,因此这个视频系列可能是由专业的讲师团队精心制作的,旨在...
java黑马视频有源码和工具高清
03-07
里面是java黑马视频的全套视频,有源码和工具,大概200g左右
黑马java se视频笔记
11-01
这部分内容是任何计算机课程,尤其是像黑马Java SE这样的课程的起点。 首先,计算机的定义是电子计算机,俗称电脑,它是一种能够根据预设程序自动、高速处理大量数据的现代化智能设备。计算机由硬件和软件组成。...
后端Web核心之请求响应
chencxiaobai的博客
08-15 416
Web请求和响应是HTTP协议中的核心概念,它们是客户端(通常是浏览器)与服务器之间通信的基础。浏览器发起请求后,由Controller处理再发送响应数据给浏览器。而我们自己写的controller程序,由于不支持tomcat中的java规范,因此tomcat其实是不能识别的,也就不能运行。
接口测试及常用接口测试工具
2301_78276982的博客
08-15 573
接口一般来说有两种,一种是程序内部的接口,一种是系统对外的接口。系统对外的接口:比如你要从别的网站或服务器上获取资源或信息,别人肯定不会把数据库共享给你,他只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目的,比如说咱们用的app、网址这些它在进行数据处理的时候都是通过接口来进行调用的。
基础 - 前端知识体系详解
qq_61863348的博客
08-15 902
CSS预处理器定义了一种新的语言,其基本思想是用一种专门的编程语言,为CSS增加了一些编程的特性,将CSS作为目标生成文件,然后开发者就只要使用这种语言进行CSS的编码工作。转化成通俗易懂的话来说就是"用一种专门的编程语言,进行Web页面样式设计,再通过编译器转化为正常的CSS文件,以供项目使用"
SQL— DDL语句学习【后端 10】
最新发布
delepaste的博客
08-15 727
DDL是SQL中用于定义数据库结构的部分,它允许我们创建、修改或删除数据库对象。在数据库设计阶段,DDL语句是不可或缺的工具。
Java面试必备:全面解析Java面试知识
这份宝典由黑马程序员提供,包含了丰富的Java基础知识面试常见问题,覆盖了Java面向对象、语法、异常处理、集合框架等多个方面。" 在Java面试中,掌握以下几个关键知识点至关重要: 1. **面向对象特性**:Java是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值