仿牛客网项目第七章：项目进阶，构建安全高效的企业服务

项目进阶，构建安全高效的企业服务（使用Spring Security）

1. Spring Security

1. 简介
   Spring Security 是一个专注于为Java应用程序提供身份认证和授权的框架，它的强大之处在于它可以轻松拓展一满足自定义的要求
2. 特征
   （1）：对身份的认证和授权提供全面的，可扩展的支持
   （2）：防止各种攻击：如会话固定攻击，点击劫持和csrf攻击等
   （3）：支持与Servlet API，Spring MVChe等*Web技术集成*

2. 权限控制

1. 登录检查
   之前采用的拦截器实现了登录检查，但是这是最简单的权限管理方案，现在将其废弃
2. 授权配置
   对当前系统内包含所有的请求，分配访问权限（普通用户，版主和管理员）
3. 认证方案（自定义）
   绕过Security认证的流程，采用系统原来的认证方案
4. CSRF配置：防止CSRF攻击的基本原理，以及表单，AJAX相关的配置

3. 置顶，加精和删除（基于权限管理）

1. 功能实现
   （1）：点击“置顶”，修改帖子类型
   （2）：点击“加精”和“删除”，也还是修改帖子的类型
2. 权限管理（基于用户权限）
   （0）：判别用户当前分配的访问权限类型
   （1）：版主可以执行“置顶”，“加精”操作
   （2）：管理员可以执行“删除”
3. 按钮显示
   （1）：版主可以看到“置顶”，“加精”按钮
   （2）：管理员可以看到“删除”按钮

9. 将文件上传至云服务器

10. 优化网站的性能

1. 本地缓存
   （1）：将数据缓存在应用服务器上，性能最好
   （2）：常用的缓存工具：Ehcache,Guava和Caffeine
2. 分布式缓存
   （1）：将数据缓存到NoSQL数据库（非关系型数据库）上，跨服务器
   （2）：常用缓存工具：MemCache和Redis
3. 多级缓存
   （1）：-> 一级缓存（本地缓存）-> 二级缓存（分布式缓存） ->DB(MySQL）
   （2）：避免缓存雪崩，（缓存失效，大量请求直达DB），提高系统的可用性。
4. 附属疑问：关系型数据库（例如MySQL）和非关系型数据库(例如Redis)区别
   （1）：关系型和非关系型数据库的主要差异是数据的存储方式。
   （2）：关系型数据天然就是表格式的，因此存储在数据表的行和列中。数据表可以彼此关联协作存储，也很容易提取数据。
   （3）：非关系型数据不适合存储在数据表的行和列中，而是大块组合在一起。
5. 附属疑问：缓存穿透，缓存击穿和缓存雪崩
   （1）：缓存穿透：原本就没有的数据，请求如入无人之境，直奔数据库（增加过滤器合法校验，布隆过滤器；对空结果进行缓存，设置短有效期）
   （2）：缓存击穿：缓存击穿是指数据库原本有得数据，但是缓存中没有，一般是缓存突然失效了，这时候如果有大量用户请求该数据（热点数据不过期；数据为空，加锁，允许一个请求访问数据库）
   （3）缓存雪崩：缓存击穿的放大版，多个缓存同时失效（热点数据永不失效；设置随机过期时间；双缓存）

6. 任务执行和调度

1. JDK 线程池
   （1）：ExecutorService
   （2）：ScheduledExecutorService
2. Spring 线程池
   （1）：ThreadPoolTaskExecutor
   （2）：ThreadPoolTaskScheduler
3. 分布式定时任务
   Spring Quartz

4. Redis高级数据类型

5. 网站数据统计

7. 热帖排行

8. 生成长图

文章参考：
牛客网Java项目：https://www.nowcoder.com/study/live/246
代码记录：https://gitee.com/xkh-dasiy/newcoder