一、JWT
什么是JWT?
json web token,通过数字签名的方式,以json为载体,在不同的服务之间安全的传输信息的一种技术
JWT有什么用?
一般使用在授权认证的过程中,一旦用户登录,后端返回一个token给前端,相当于后端给了前端返回了一个授权码,之后前端向后端发送的每一个请求都需要包含这个token,后端在执行方法前会校验这个token(安全校验),校验通过才执行具体的业务逻辑。
JWT的组成?
由Header(头信息),PayLoad (用户信息),signature(签名)三个部分组成
Header头信息主要声明加密算法:(具体算法对称不对称加密不作为研究内容)
通常直接使用 HMAC HS256这样的算法
{
"typ":"jwt"
"alg":"HS256" //加密算法
}
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
PayLoad(载荷)
{
"username":"zhangsan",
"name":"张三",
...
}
对其进行base64加密,得到Jwt的第二部分。
eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwibmFtZSI6IuW8oOS4iSIsImFnZSI6MTgsInNleCI6IuWlsyIsImV4cCI6MTY0NzE0NTA1MSwianRpIjoiMTIxMjEyMTIxMiJ9
Signature 签证信息,这个签证信息由三部分组成(由加密后的Header,加密后的PayLoad,加密后的签名三部分组成)
- header (base64后的)
- payload (base64后的)
- secret
base64加密后的header和base64加密后的payload使用.
连接组成的字符串,然后通过header中声明的加密方式进行加盐加密,然后就构成了jwt的第三部分,每个部分直接使用"."来进行拼接
二、接口资源鉴权
什么是接口资源?API接口
用户哪些接口是能看到的,有哪些接口是能访问的,那么这些用户能访问的接口就称之为这个用户的接口资源,如果该用户没有对应的接口,后端应该返回403(没有权限)
思路:
如果我要实现接口资源鉴权,对应的我应该知道每个用户具有哪些资源,这些数据是配置的还是存储在数据库中的,如何进行配置,如何修改,然后前后端是如何交互的
三、操作日志记录
什么是操作日志
任何一个项目都会有一个用户操作日志(也叫行为日志)的模块,它主要用来记录某个用户做了某个操作,当出现操作失败时,通过日志就可以快速的查找是哪个用户在哪个模块出现了错误,以便于开发人员快速定位问题所在。
操作日志的功能是记录您在展台中所有的操作的一个记录。它像您的日记本,记录着每一步您操作的时间、内容等。如果您需要查看您的所有操作记录,那么,操作日志就会完全为您展现出来。
基于AOP实现的操作日志
使用Spring的AOP来实现记录用户操作,也是推荐的现如今都使用的一种做法。它的优势在于这种记录用户操作的代码独立于其他业务逻辑代码,不仅实现了解耦,而且避免了冗余代码。
四、接口设计
思路
1.阅读产品文档,原型
2.确定接口名
3.请求方式
4.参数列表(传入参数,返回值)
五、EasyExcel
EasyExcel是一个基于Java的简单、省内存的读写Excel的开源项目。在尽可能节约内存的情况下支持读写百M的Excel。
六、MinIO
什么是MinIO?
MinIO 是在 GNU Affero 通用公共许可证 v3.0 下发布的高性能对象存储。它与 Amazon S3 云存储服务 API 兼容。使用 MinIO 为机器学习、分析和应用程序数据工作负载构建高性能基础架构。
MinIO是高性能对象存储,什么是对象存储(Object Storage Service),对象存储是支持海量用户远程访问的无限容量廉价存储系统,既然是存储系统。
它由桶(bucket,对应Windows下的文件夹),组成目录结构,桶中直接存放对象(Object,对应Windwos下的文件),桶中不能再创建桶,但是要能创建文件夹。