.NET 面试那些事儿
本人在职,偶尔有公司找我面试,我一般都会接受,不仅仅是为了更高的待遇,其中有些公司给的薪资还没有我目前多,我的想法是多面试,找找自己的薄弱点。总结一下面试经历
1.公司: XXX 职位:.Net Core开发工程师 面试方式:视频面试
1.自我介绍
2.谈谈项目经历
3.基础问题
1. 接口和抽象类
区别
一、抽象类:
- 抽象类是特殊的类,只是不能被实例化;除此以外,具有类的其他特性;
- 重要的是抽象类可以包括抽象方法,这是普通类所不能的。
- 抽象方法只能声明于抽象类中,且不包含任何实现,派生类必须覆盖它们;
- 抽象类可以派生自一个抽象类,可以覆盖基类的抽象方法也可以不覆盖,如果不覆盖,则其派生类必须覆盖它们。
二、接口:
接口是引用类型的,类似于类,和抽象类的相似之处有三点:
- 不能实例化;
- 包含未实现的方法声明;
- 派生类必须实现未实现的方法,抽象类是抽象方法,接口则是所有成员(不仅是方法包括其他成员);
- 类是对对象的抽象,可以把抽象类理解为把类当作对象,抽象成的类叫做抽象类.而接口只是一个行为的规范或规定,微软的自定义接口总是后带able字段,证明其是表述一类类“我能做。。。”。抽象类更多的是定义在一系列紧密相关的类间,而接口大多数是关系疏松但都实现某一功能的类中;
- 接口基本上不具备继承的任何具体特点,它仅仅承诺了能够调用的方法;
- 一个类一次可以实现若干个接口,但是只能扩展一个父类;
- 接口可以用于支持回调,而继承并不具备这个特点;
- 抽象类不能被密封;
- 抽象类实现的具体方法默认为虚的,但实现接口的类中的接口方法却默认为非虚的,当然您也可以声明为虚的;
- (接口)与非抽象类类似,抽象类也必须为在该类的基类列表中列出的接口的所有成员提供它自己的实现。但是,允许抽象类将接口方法映射到抽象方法上;
- 抽象类实现了oop中的一个原则,把可变的与不可变的分离。抽象类和接口就是定义为不可变的,而把可变的座位子类去实现;
- 好的接口定义应该是具有专一功能性的,而不是多功能的,否则造成接口污染。如果一个类只是实现了这个接口的中一个功能,而不得不去实现接口中的其他方法,就叫接口污染;
- 尽量避免使用继承来实现组建功能,而是使用黑箱复用,即对象组合。因为继承的层次增多,造成最直接的后果就是当你调用这个类群中某一类,就必须把他们全部加载到栈中!后果可想而知。(结合堆栈原理理解)。同时,有心的朋友可以留意到微软在构建一个类时,很多时候用到了对象组合的方法。比如 asp.net中,Page类,有Server Request等属性,但其实他们都是某个类的对象。使用Page类的这个对象来调用另外的类的方法和属性,这个是非常基本的一个设计原则;
- 如果抽象类实现接口,则可以把接口中方法映射到抽象类中作为抽象方法而不必实现,而在抽象类的子类中实现接口中方法。
2.JWT优缺点
优点:
1.无状态
token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。但是,也正是由于 token 的无状态,也导致了它最大的缺点:当后端在token 有效期内废弃一个 token 或者更改它的权限的话,不会立即生效,一般需要等到有效期过后才可以。另外,当用户 Logout 的话,token 也还有效。除非,我们在后端增加额外的处理逻辑。
2.有效避免了CSRF 攻击
CSRF(Cross Site Request Forgery)一般被翻译为 跨站请求伪造,属于网络攻击领域范围。相比于 SQL 脚本注入、XSS等等安全攻击方式,CSRF 的知名度并没有它们高。但是,它的确是每个系统都要考虑的安全隐患,就连技术帝国 Google 的 Gmail 在早些年也被曝出过存在 CSRF 漏洞,这给 Gmail 的用户造成了很大的损失。
3.适合移动端应用
使用 Session 进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到 Cookie(需要 Cookie 保存 SessionId),所以不适合移动端。
4.单点登录友好
使用 Session 进行身份认证的话,实现单点登录,需要我们把用户的 Session 信息保存在一台电脑上,并且还会遇到常见的 Cookie 跨域的问题。但是,使用 token 进行认证的话, token 被保存在客户端,不会存在这些问题。
缺点:
1.注销登录等场景下 token 还有效
退出登录;
修改密码;
服务端修改了某个用户具有的权限或者角色;
用户的帐户被删除/暂停。
用户由管理员注销;
这个问题不存在于 Session 认证方式中,因为在 Session 认证方式中,遇到这种情况的话服务端删除对应的 Session 记录即可。但是,使用 token 认证的方式就不好解决了。我们也说过了,token 一旦派发出去,如果后端不增加其他逻辑的话,它在失效之前都是有效的。那么,我们如何解决这个问题呢?查阅了很多资料,总结了下面几种方案:
将 token 存入内存数据库:将 token 存入 DB 中,redis 内存数据库在这里是是不错的选择。如果需要让某个 token 失效就直接从 redis 中删除这个 token 即可。但是,这样会导致每次使用 token 发送请求都要先从 DB 中查询 token 是否存在的步骤,而且违背了 JWT 的无状态原则。
黑名单机制:和上面的方式类似,使用内存数据库比如 redis 维护一个黑名单,如果想让某个 token 失效的话就直接将这个 token 加入到 黑名单 即可。然后,每次使用 token 进行请求的话都会先判断这个 token 是否存在于黑名单中。
修改密钥 (Secret) : 我们为每个用户都创建一个专属密钥,如果我们想让某个 token 失效,我们直接修改对应用户的密钥即可。但是,这样相比于前两种引入内存数据库带来了危害更大,比如:1.如果服务是分布式的,则每次发出新的 token 时都必须在多台机器同步密钥。为此,你需要将必须将机密存储在数据库或其他外部服务中,这样和 Session 认证就没太大区别了。2⃣️如果用户同时在两个浏览器打开系统,或者在手机端也打开了系统,如果它从一个地方将账号退出,那么其他地方都要重新进行登录,这是不可取的。
保持令牌的有效期限短并经常轮换 :很简单的一种方式。但是,会导致用户登录状态不会被持久记录,而且需要用户经常登录。
对于修改密码后 token 还有效问题的解决还是比较容易的,说一种我觉得比较好的方式:使用用户的密码的哈希值对 token 进行签名。因此,如果密码更改,则任何先前的令牌将自动无法验证。
2.token 的续签问题
token 有效期一般都建议设置的不太长,那么 token 过期后如何认证,如何实现动态刷新 token,避免用户经常需要重新登录?
我们先来看看在 Session 认证中一般的做法:假如 session 的有效期30分钟,如果 30 分钟内用户有访问,就把 session 有效期被延长30分钟。
类似于 Session 认证中的做法:这种方案满足于大部分场景。假设服务端给的 token 有效期设置为30分钟,服务端每次进行校验时,如果发现 token 的有效期马上快过期了,服务端就重新生成 token 给客户端。客户端每次请求都检查新旧token,如果不一致,则更新本地的token。这种做法的问题是仅仅在快过期的时候请求才会更新 token ,对客户端不是很友好。
每次请求都返回新 token :这种方案的的思路很简单,但是,很明显,开销会比较大。
token 有效期设置到半夜 :这种方案是一种折衷的方案,保证了大部分用户白天可以正常登录,适用于对安全性要求不高的系统。
用户登录返回两个 token :第一个是 acessToken ,它的过期时间 token 本身的过期时间比如半个小时,另外一个是 refreshToken 它的过期时间更长一点比如为1天。客户端登录后,将 accessToken和refreshToken 保存在本地,每次访问将 accessToken 传给服务端。服务端校验 accessToken 的有效性,如果过期的话,就将 refreshToken 传给服务端。如果有效,服务端就生成新的 accessToken 给客户端。否则,客户端就重新登录即可。该方案的不足是:1⃣️需要客户端来配合;2用户注销的时候需要同时保证两个 token 都无效;3⃣️重新请求获取 token 的过程中会有短暂 token 不可用的情况(可以通过在客户端设置定时器,当accessToken 快过期的时候,提前去通过 refreshToken 获取新的accessToken)。
3.三种服务生命周期
Asp.Core都可以为每个应用程序提供三种服务生命周期:
●Transient(暂时):每次请求都会创建一个新的实例。这种生命周期最适合轻量级,无状态服务。
●Scoped(作用域):在同一个作用域内只初始化一个实例 ,可以理解为每一个请求只创建一个实例,同一个请求会在一个作用域内。
●Singleton(单例):整个应用程序生命周期以内只创建一个实例,后续每个请求都使用相同的实例。如果应用程序需要单例行为,建议让服务容器管理服务的生命周期,而不是在自己的类中实现单例模式。
4.依赖注入如何操作
1.在Startup类型的构造函数中注入
构成HostBuilderContext上下文的两个核心对象(表示配置的IConfiguration对象和表示承载环境的IHostEnvironment对象)可以直接注入Startup构造函数中进行消费。由于ASP.NET Core应用中的承载环境通过IWebHostEnvironment接口表示,IWebHostEnvironment接口派生于IHostEnvironment接口,所以也可以通过注入IWebHostEnvironment对象的方式得到当前承载环境相关的信息。
我们可以通过一个简单的实例来验证针对Startup的构造函数注入。如下面的代码片段所示,我们在调用IWebHostBuilder接口的Startup方法时注册了自定义的Startup类型。在定义Startup类型时,我们在其构造函数中注入上述3个对象,提供的调试断言不仅证明了3个对象不为Null,还表明采用IHostEnvironment接口和IWebHostEnvironment接口得到的其实是同一个实例。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder.UseStartup<Startup>())
.Build()
.Run();
}
}
public class Startup
{
public Startup(IConfiguration configuration, IHostEnvironment hostingEnvironment,IWebHostEnvironment webHostEnvironment)
{
Debug.Assert(configuration != null);
Debug.Assert(hostingEnvironment != null);
Debug.Assert(webHostEnvironment != null);
Debug.Assert(ReferenceEquals(hostingEnvironment, webHostEnvironment));
}
public void Configure(IApplicationBuilder app) { }
}
2.在Startup类型的Configure方法中注入
依赖服务还可以直接注入用于注册中间件的Configure方法中。如果构造函数注入还可以对注入的服务有所选择,那么对于Configure方法来说,通过任意方式注册的服务都可以注入其中,包括通过调用IHostBuilder、IWebHostBuilder和Startup自身的ConfigureServices方法注册的服务,还包括框架自行注册的所有服务。
如下面的代码代码片段所示,我们分别调用IWebHostBuilder和Startup的ConfigureServices方法注册了针对IFoo接口和IBar接口的服务,这两个服务直接注入Startup的Configure方法中。另外,Configure方法要求提供一个用来注册中间件的IApplicationBuilder对象作为参数,但是对该参数出现的位置并未做任何限制。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder
.UseStartup<Startup>()
.ConfigureServices(svcs => svcs.AddSingleton<IFoo, Foo>()))
.Build()
.Run();
}
}
public class Startup
{
public void ConfigureServices(IServiceCollection services) => services.AddSingleton<IBar, Bar>();
public void Configure(IApplicationBuilder app, IFoo foo, IBar bar)
{
Debug.Assert(foo != null);
Debug.Assert(bar != null);
}
}
3.在中间件类型构造函数中注入
ASP.NET Core请求处理管道最重要的对象是用来真正处理请求的中间件。由于ASP.NET Core在创建中间件对象并利用它们构建整个请求处理管道时,所有的服务都已经注册完毕,所以任何一个注册的服务都可以注入中间件类型的构造函数中。如下所示的代码片段体现了针对中间件类型的构造函数注入。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder
.ConfigureServices(svcs => svcs
.AddSingleton<FoobarMiddleware>()
.AddSingleton<IFoo, Foo>()
.AddSingleton<IBar, Bar>())
.Configure(app => app.UseMiddleware<FoobarMiddleware>()))
.Build()
.Run();
}
}
public class FoobarMiddleware : IMiddleware
{
public FoobarMiddleware(IFoo foo, IBar bar)
{
Debug.Assert(foo != null);
Debug.Assert(bar != null);
}
public Task InvokeAsync(HttpContext context, RequestDelegate next)
{
Debug.Assert(next != null);
return Task.CompletedTask;
}
}
4、在中间件类型的Invoke/InvokeAsync方法中注入
如果采用基于约定的中间件类型定义方式,注册的服务还可以直接注入真正用于处理请求的InvokeAsync方法或者Invoke方法中。另外,将方法命名为InvokeAsync更符合TAP(Task-based Asynchronous Pattern)编程模式,之所以保留Invoke方法命名,主要是出于版本兼容的目的。如下所示的代码片段展示了针对InvokeAsync方法的服务注入。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder
.ConfigureServices(svcs => svcs
.AddSingleton<IFoo, Foo>()
.AddSingleton<IBar, Bar>())
.Configure(app => app.UseMiddleware<FoobarMiddleware>()))
.Build()
.Run();
}
}
public class FoobarMiddleware
{
private readonly RequestDelegate _next;
public FoobarMiddleware(RequestDelegate next) => _next = next;
public Task InvokeAsync(HttpContext context, IFoo foo, IBar bar)
{
Debug.Assert(context != null);
Debug.Assert(foo != null);
Debug.Assert(bar != null);
return _next(context);
}
}
虽然约定定义的中间件类型和Startup类型采用了类似的服务注入方式,它们都支持构造函数注入和方法注入,但是它们之间有一些差别。中间件类型的构造函数、Startup类型的Configure方法和中间件类型的Invoke方法或者InvokeAsync方法都具有一个必需的参数,其类型分别为RequestDelegate、IApplicationBuilder和HttpContext,对于该参数在整个参数列表的位置,前两者都未做任何限制,只有后者要求表示当前请求上下文的参数HttpContext必须作为方法的第一个参数。按照上述约定,如下这个中间件类型FoobarMiddleware的定义是不合法的,但是Starup类型的定义则是合法的。对于这一点,笔者认为可以将这个限制放开,这样不仅使中间件类型的定义更加灵活,还能保证注入方式的一致性。
public class FoobarMiddleware
{
public FoobarMiddleware(RequestDelegate next);
public Task InvokeAsync(IFoo foo, IBar bar, HttpContext context);
}
public class Startup
{
public void Configure(IFoo foo, IBar bar, IApplicationBuilder app);
}
对于基于约定的中间件,构造函数注入与方法注入存在一个本质区别。由于中间件被注册为一个Singleton对象,所以我们不应该在它的构造函数中注入Scoped服务。Scoped服务只能注入中间件类型的InvokeAsync方法中,因为依赖服务是在针对当前请求的服务范围中提供的,所以能够确保Scoped服务在当前请求处理结束之后被释放。
5、在Controller类型的构造函数中注入
在一个ASP.NET Core MVC应用中,我们可以在定义的Controller中以构造函数注入的方式注入所需的服务。在如下所示的代码片段中,我们将IFoobar服务注入到HomeController的构造函数中。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder
.ConfigureServices(svcs => svcs
.AddSingleton<IFoobar, Foobar>()
.AddSingleton<IBar, Bar>()
.AddControllersWithViews())
.Configure(app => app
.UseRouting()
.UseEndpoints(endpoints => endpoints.MapControllers())))
.Build()
.Run();
}
}
public class HomeController : Controller
{
public HomeController(IFoobar foobar) => Debug.Assert(foobar != null);
}
6、在Controller的Action方法中注入
借助于ASP.NET Core MVC基于模型绑定的参数绑定机制,我们可以将注册的服务绑定到目标Action方法的参数上,进而实现针对Action方法的依赖注入。在采用这种类型的注入方式时,我们需要在注入参数上按照如下的方式标注FromServicesAttribute特性,用以确定参数绑定的来源是注册的服务。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder
.ConfigureServices(svcs => svcs
.AddSingleton<IFoobar, Foobar>()
.AddControllersWithViews())
.Configure(app => app
.UseRouting()
.UseEndpoints(endpoints => endpoints.MapControllers())))
.Build()
.Run();
}
}
public class HomeController: Controller
{
[HttpGet("/")]
public void Index([FromServices]IFoobar foobar)
{
Debug.Assert(foobar != null);
}
}
7、在视图中注入
在ASP.NET Core MVC应用中,我们还可以将服务注册到现的View中。假设我们定义了如下这个简单的MVC程序,并定义了一个简单的HomeController。
class Program
{
static void Main()
{
Host.CreateDefaultBuilder().ConfigureWebHostDefaults(builder => builder
.ConfigureServices(svcs => svcs
.AddSingleton<IFoobar, Foobar>()
.AddControllersWithViews())
.Configure(app => app
.UseRouting()
.UseEndpoints(endpoints => endpoints.MapControllers())))
.Build()
.Run();
}
}
public class HomeController: Controller
{
[HttpGet("/")]
public IActionResult Index() => View();
}
我们为HomeController定义了一个路由指向根路径(“/”)的Action方法Index,该方法在调用View方法呈现默认的View之前,将注入的IFoo服务以ViewBag的形式传递到View中。如下所示的代码片段是这个Action方法对应View(/Views/Home/Index.cshtml)的定义,我们通过@inject指令注入了IFoobar服务,并将属性名设置为Foobar,这意味着当前View对象将添加一个Foobar属性来引用注入的服务。
@inject IFoobar Foobar
@
{
Debug.Assert(Foobar!= null);
}
5.索引的优缺点以及10w+的数据量时,一个表创建了多个索引会怎么样,什么情况下需要建立索引?
索引的优点:
① 建立索引的列可以保证行的唯一性,生成唯一的rowId
② 建立索引可以有效缩短数据的检索时间
③ 建立索引可以加快表与表之间的连接
④ 为用来排序或者是分组的字段添加索引可以加快分组和排序顺序
索引的缺点:
① 创建索引和维护索引需要时间成本,这个成本随着数据量的增加而加大
② 创建索引和维护索引需要空间成本,每一条索引都要占据数据库的物理存储空间,数据量越大,占用空间也越大(数据表占据的是数据库的数据空间)
③ 会降低表的增删改的效率,因为每次增删改索引需要进行动态维护,导致时间变长
10w+的数据量时,一个表创建了多个索引会增加其物理内存,当所有字段都建立索引则和全表查询没区别。
建立索引的情景:
① 数据量大的,经常进行查询操作的表要建立索引。
② 用于排序的字段可以添加索引,用于分组的字段应当视情况看是否需要添加索引。
③ 表与表连接用于多表联合查询的约束条件的字段应当建立索引。
6.列举几个值类型和引用类型?什么是装箱,什么是拆箱?
引用类型包括:数组、委托、接口、object、字符串、用户定义的类。
值类型包括:数值类型、结构体、bool型、枚举、可空类型、用户定义的结构体。
装箱是将值类型转换为引用类型
拆箱是将引用类型转换为值类型
1134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
