9.15每日问题
个人见解,不一定正确
1. SpringCloud的组件有哪些?都有什么作用?
springcloud alibab中的主要组件有nacos、fegin、gateway、Ribbon、Sentinel
nacos 注册中心,将服务注册到nacos ,其他服务可以获取到注册进入的服务
配置中心,可以进行配置的修改,不需要修改项目源代码
fegin:进行服务的远程调用 一个服务调用其他服务的内容
gateway: 网关,前端调用后端的入口,分发请求给对应的服务,过滤器
Ribbon: 负载均衡
2.项目中跨域是如何解决的?还知道哪些其他的跨域解决方案?
跨域问题:浏览器不能访问其他网站,是由于同源策略造成的,是浏览器对javascript施加的安全限制
同源策略是一种约定,同源是指 协议+域名+端口 三者相同
同源策略现在以下几种行为:
- Cookie、LocalStorage和IndexDB无法读取
- DOM和JS对象无法获得
- AJAX请求不能发送
常见的解决方法 :JSONP和CORS
JSONP有很大的局限性,指支持GET请求,不支持其他请求
CORS(跨域资源共享)
CORS请求分类
- 简单请求
- head、post、get请求
- 请求头是 Accept、Accept-Language、Content-Language、Content-Type:
- Content-Type:只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain
- 对于简单请求,浏览器之间发送CORS请求,在头信息里面,增加一个Origin字段
- Origin字段说明,本次请求来自哪个源(协议+域名+端口),服务根据这个指,觉得是否统一这次请求
- 非简单请求
- put、delete请求
- Content-Type字段的类型是application/json
- 会在发送CROS请求前,先发送一次Http请求,称为预检
响应头详解
要实现CORS很简单,我们只需在服务端添加一些响应头,并且这样做对前端来说是无感知的,很方便,这些响应头如下:
- Access-Control-Allow-Origin
该字段是必填字段。它的值要么是请求时Origin字段的具体值,要么是一个*,表示被允许的站点。
- Access-Control-Allow-Methods
该字段是必填字段。它的值是逗号分隔的一个具体的字符串或者*,表示服务器允许跨域的请求方法。
注意:
返回的是所有支持的方法,而不单是浏览器请求的那个方法,这是为了避免多次"预检"请求。
- Access-Control-Expose-Headers
该字段可选,仅在预检请求的响应字段中有效,表示服务器允许携带的请求头。当CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
- Access-Control-Allow-Credentials
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,不发送Cookie,即false。如果对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json,这个值只能设为true。如果服务器不要浏览器发送Cookie,删除该字段即可。
- Access-Control-Max-Age
该字段可选,用来指定本次预检请求的有效期,单位为秒。在有效期间,不用发出另一条预检请求。
3.项目中权限认证怎么做的?把整个流程说一下(token是如何生成的,前台如何保存token,每个请求是怎么把token携带过来的)
除了白名单中的访问路径,其他的访问路径都需要携带正确的token才能访问
token 通过私钥和用户信息 生成
在登录成功后,后端发送token给前端 ,前端将token存到localstroage和cookie中 每次请求将token信息存到请求头,在网关的时候进行校验