项目进阶,构建安全高效的企业服务(使用Spring Security)
1. Spring Security
- 简介
Spring Security 是一个专注于为Java应用程序提供身份认证和授权的框架,它的强大之处在于它可以轻松拓展一满足自定义的要求 - 特征
(1):对身份的认证和授权提供全面的,可扩展的支持
(2):防止各种攻击:如会话固定攻击,点击劫持和csrf攻击等
(3):支持与Servlet API,Spring MVChe等*Web技术集成*
2. 权限控制
- 登录检查
之前采用的拦截器实现了登录检查,但是这是最简单的权限管理方案,现在将其废弃 - 授权配置
对当前系统内包含所有的请求,分配访问权限(普通用户,版主和管理员) - 认证方案(自定义)
绕过Security认证的流程,采用系统原来的认证方案 - CSRF配置:防止CSRF攻击的基本原理,以及表单,AJAX相关的配置
3. 置顶,加精和删除(基于权限管理)
- 功能实现
(1):点击“置顶”,修改帖子类型
(2):点击“加精”和“删除”,也还是修改帖子的类型 - 权限管理(基于用户权限)
(0):判别用户当前分配的访问权限类型
(1):版主可以执行“置顶”,“加精”操作
(2):管理员可以执行“删除” - 按钮显示
(1):版主可以看到“置顶”,“加精”按钮
(2):管理员可以看到“删除”按钮
9. 将文件上传至云服务器
![](https://img-blog.csdnimg.cn/bc6f5b0c03514b10be9dce22c8fdfbeb.png#pic_center)
10. 优化网站的性能
- 本地缓存
(1):将数据缓存在应用服务器上,性能最好
(2):常用的缓存工具:Ehcache,Guava和Caffeine - 分布式缓存
(1):将数据缓存到NoSQL数据库(非关系型数据库)上,跨服务器
(2):常用缓存工具:MemCache和Redis - 多级缓存
(1):-> 一级缓存(本地缓存)-> 二级缓存(分布式缓存) ->DB(MySQL)
(2):避免缓存雪崩,(缓存失效,大量请求直达DB),提高系统的可用性。 - 附属疑问:关系型数据库(例如MySQL)和非关系型数据库(例如Redis)区别
(1):关系型和非关系型数据库的主要差异是数据的存储方式。
(2):关系型数据天然就是表格式的,因此存储在数据表的行和列中。数据表可以彼此关联协作存储,也很容易提取数据。
(3):非关系型数据不适合存储在数据表的行和列中,而是大块组合在一起。 - 附属疑问:缓存穿透,缓存击穿和缓存雪崩
(1):缓存穿透:原本就没有的数据,请求如入无人之境,直奔数据库(增加过滤器合法校验,布隆过滤器;对空结果进行缓存,设置短有效期)
(2):缓存击穿:缓存击穿是指数据库原本有得数据,但是缓存中没有,一般是缓存突然失效了,这时候如果有大量用户请求该数据(热点数据不过期;数据为空,加锁,允许一个请求访问数据库)
(3)缓存雪崩:缓存击穿的放大版,多个缓存同时失效(热点数据永不失效;设置随机过期时间;双缓存)
6. 任务执行和调度
- JDK 线程池
(1):ExecutorService
(2):ScheduledExecutorService - Spring 线程池
(1):ThreadPoolTaskExecutor
(2):ThreadPoolTaskScheduler - 分布式定时任务
Spring Quartz
4. Redis高级数据类型
5. 网站数据统计
7. 热帖排行
8. 生成长图
文章参考:
牛客网Java项目:https://www.nowcoder.com/study/live/246
代码记录:https://gitee.com/xkh-dasiy/newcoder