面试准备

spring，springBoot,springMVC 区别？

• Spring是一个资源整合框架（Framework），通过spring可将很多资源（自己写的对象或第三方提供的对象，例如连接池等）整合在一起，然后进行科学应用，以便更好的对外提供服务。
• Springmvc是spring框架的一个模块，spring和springmvc无需中间整合层整合。Springmvc是一个基于mvc的web框架
• Spring boot是一个脚手架，构建于spring框架基础之上，基于快速构建理念，提供了自动配置功能，可实现其开箱即用特性，可以零配置或者少量配置即可运行项目，其核心主要有如下几个方面：
  • 起步依赖（Starter Dependency）
  • 自动配置（Auto Configuration）
  • 健康检查（Actator）

JWT 鉴权

JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户。用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名。服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。
JWT签名是一个很长的字符串，中间用点（.）分隔成三个部分。
JWT 的三个部分依次如下。
+header(头部)
+Payload（负载）
+Signature（签名）
签名格式为 Header.Payload.Signature

1. Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。

   {
    "alg": "HS256",
    "typ": "JWT"
  }

alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（写成 HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。

2. Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT 规定了7个官方字段，供选用

iss (issuer)：签发人
exp (expiration time)：过期时间
sub (subject)：主题
aud (audience)：受众
nbf (Not Before)：生效时间
iat (Issued At)：签发时间
jti (JWT ID)：编号

还可以自定义属性

{
  "sub": "110101000000",
  "name": "admin",
  "admin": true
}

3. Signature 部分是对前两部分的签名，防止数据篡改。
   首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。

此后，客户端每次与服务器通信，都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

JWT 默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。
JWT 不加密的情况下，不能将秘密数据写入 JWT。
JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。