2022年阿里淘系春招面试经验总结，两轮技术面+HR面，感谢阿里给我入职机会

背景：

双非一本，无实习经历

7.12 笔试

笔试AC第一题，第二题偷分。笔试完后十分钟内约一面。

7.13 一面 35分钟 （面试官很温柔，就像同龄人一样和你做技术上的探讨）

自我介绍（学校里学习的知识、框架、参与过的项目及其亮点）

balabala讲了一些学校的课程比如计网、数据库、数据结构以及自己获得的一些奖项

Q：希望能够着重讲一下项目经历以及扮演的角色

A：具体讲了一下自己做的一个微服务项目，有xxx功能，从GateWay到Sentinel以及Redis和MQ等技术，讲了讲如何在网关层面通过Token鉴权（同时穿插自己对技术选型的考量）

Q：OK，那我们一个一个技术点聊，首先讲讲token的技术原理吧？

A：在项目中用到的Token是通过JJWT生成的，然后讲了讲PayLoad以及相关内容，最后讲Token防篡改等好处

Q：如果Token被第三方截获了怎么办？

A：使用HTTPS，以下省略八股文若干

Q：假设一个场景：用户的Token被从某js插件直接截获并拿到别的机器上访问你的接口，怎么办？

A：（对于这个问题有点懵，因为你浏览器里存的内容都能被拿了那似乎也没有什么特别好的方法处理了，但是后来想了想可以把用户ip或者mac地址放进去，但我感觉还是治标不治本，希望有大佬能帮我解答一下）思考了一下然后说把token的有效时间缩短（给自己埋了坑）

Q：那如果用户在写文章，写了半个小时，你缩减了token的有效时间，用户的体验会变差很多，这种情况怎么办？

A：讲了讲token过期如何延期（把自己更加带进坑里了）

Q：那你又要缩短token有效时间，又要延期这不是很矛盾吗？况且你延期的话导致接口的风险也会逐渐增加呢？

A：我真不知道了呜呜呜！（其实感觉这里该讲讲如何判断用户活跃的，用户活跃再进行延期，不过第一次面大厂真的被问懵了）

Q：没关系这只是作为开放性探讨的问题而已（被安慰一下还是挺好的）

Q：你说你用GateWay对微服务进行转发，那如果某个接口的访