Update SpringInterviewQuestions.md

Snailclimb · Snailclimb · commit 5c4413ae8362 · 2019-09-20T09:16:58.000+08:00
diff --git a/docs/system-design/framework/spring/SpringInterviewQuestions.md b/docs/system-design/framework/spring/SpringInterviewQuestions.md
@@ -1,33 +1,3 @@
-<!-- TOC -->
-
-- [什么是 Spring 框架?](#什么是-spring-框架)
-- [列举一些重要的Spring模块？](#列举一些重要的spring模块)
-- [@RestController vs @Controller](#restcontroller-vs-controller)
-    - [Controller 返回一个页面](#controller-返回一个页面)
-    - [@RestController 返回JSON 或 XML 形式数据](#restcontroller-返回json-或-xml-形式数据)
-    - [@Controller +@ResponseBody 返回JSON 或 XML 形式数据](#controller-responsebody-返回json-或-xml-形式数据)
-- [谈谈自己对于 Spring IoC 和 AOP 的理解](#谈谈自己对于-spring-ioc-和-aop-的理解)
-    - [IoC](#ioc)
-    - [AOP](#aop)
-- [Spring AOP 和 AspectJ AOP 有什么区别？](#spring-aop-和-aspectj-aop-有什么区别)
-- [Spring 中的 bean 的作用域有哪些?](#spring-中的-bean-的作用域有哪些)
-- [Spring 中的单例 bean 的线程安全问题了解吗？](#spring-中的单例-bean-的线程安全问题了解吗)
-- [Spring 中的 bean 生命周期?](#spring-中的-bean-生命周期)
-- [说说自己对于 Spring MVC 了解?](#说说自己对于-spring-mvc-了解)
-- [SpringMVC 工作原理了解吗?](#springmvc-工作原理了解吗)
-- [Spring 框架中用到了哪些设计模式？](#spring-框架中用到了哪些设计模式)
-- [@Component 和 @Bean 的区别是什么？](#component-和-bean-的区别是什么)
-- [将一个类声明为Spring的 bean 的注解有哪些?](#将一个类声明为spring的-bean-的注解有哪些)
-- [Spring 管理事务的方式有几种？](#spring-管理事务的方式有几种)
-- [Spring 事务中的隔离级别有哪几种?](#spring-事务中的隔离级别有哪几种)
-- [Spring 事务中哪几种事务传播行为?](#spring-事务中哪几种事务传播行为)
-- [@Transactional(rollbackFor = Exception.class)注解了解吗？](#transactionalrollbackfor--exceptionclass注解了解吗)
-- [如何使用JPA在数据库中非持久化一个字段？](#如何使用jpa在数据库中非持久化一个字段)
-- [参考](#参考)
-- [公众号](#公众号)
-
-<!-- /TOC -->
-
 这篇文章主要是想通过一些问题，加深大家对于 Spring 的理解，所以不会涉及太多的代码！这篇文章整理了挺长时间，下面的很多问题我自己在使用 Spring 的过程中也并没有注意，自己也是临时查阅了很多资料和书籍补上的。网上也有一些很多关于 Spring 常见问题/面试题整理的文章，我感觉大部分都是互相 copy，而且很多问题也不是很好，有些回答也存在问题。所以，自己花了一周的业余时间整理了一下，希望对大家有帮助。
 
 ## 1. 什么是 Spring 框架?
@@ -374,22 +344,63 @@ String transient4; // not persistent because of @Transient
 
 这两个一般在我们的系统中被结合在一起使用，目的就是为了保护我们系统的安全性。
 
-### Cookie的作用是什么?和Session有什么区别？
+### 10.2 Cookie的作用是什么?和Session有什么区别？
 
 Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式，但是两者的应用场景不太一样。
 
- **Cookie 一般用来保存用户信息** 比如①我们在 Cookie 中保存已经登录过得用户信息，下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了；②一般的网站都会有保持登录也就是说下次你再访问网站的时候就不需要重新登录了，这是因为用户登录的时候我们可以存放了一个 Token 在 Cookie 中，下次登录的时候只需要根据 Token 值来查找用户即可(为了安全考虑，重新登录一般要将 Token 重写)；③登录一次网站后访问网站其他页面不需要重新登录。**Session 的主要作用就是通过服务端记录用户的状态。** 典型的场景是购物车，当你要添加商品到购物车的时候，系统不知道是哪个用户操作的，因为 HTTP 协议是无状态的。服务端给特定的用户创建特定的 Session 之后就可以标识这个用户并且跟踪这个用户了。
+ **Cookie 一般用来保存用户信息**。下面是 Cookie 的一些应用案例：
+
+1. 我们在 Cookie 中保存已经登录过得用户信息，下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了；
+2. 一般的网站都会有保持登录也就是说下次你再访问网站的时候就不需要重新登录了，这是因为用户登录的时候我们可以存放了一个 Token 在 Cookie 中，下次登录的时候只需要根据 Token 值来查找用户即可(为了安全考虑，重新登录一般要将 Token 重写)；
+3. 登录一次网站后访问网站其他页面不需要重新登录。
+
+**Session 的主要作用就是通过服务端记录用户的状态。** 典型的场景是购物车，当你要添加商品到购物车的时候，系统不知道是哪个用户操作的，因为 HTTP 协议是无状态的。服务端给特定的用户创建特定的 Session 之后就可以标识这个用户并且跟踪这个用户了。
+
+很多时候我们都是通过 SessionID 来实现特定的用户，SessionID 一般会选择存放在 Redis 中。举个例子：用户成功登陆系统，然后返回给客户端具有 SessionID 的 Cookie，当用户向后端发起请求的时候会把 SessionID 带上，这样后端就知道你的身份状态了。关于这种认证方式更详细的过程如下：
+
+![Session Based Authentication flow](https://my-blog-to-use.oss-cn-beijing.aliyuncs.com/2019-7/Session-Based-Authentication-flow.png)
+
+1. 用户向服务器发送用户名和密码用于登陆系统。
+2. 服务器验证通过后，服务器为用户创建一个 Session，并将 Session信息存储 起来。
+3. 服务器向用户返回一个 SessionID，写入用户的 Cookie。
+4. 当用户保持登录状态时，Cookie 将与每个后续请求一起被发送出去。
+5. 服务器可以将存储在 Cookie 上的 Session ID 与存储在内存中或者数据库中的 Session 信息进行比较，以验证用户的身份，返回给用户客户端响应信息的时候会附带用户当前的状态。
+
+另外，Spring Session提供了一种跨多个应用程序或实例管理用户会话信息的机制。如果想详细了解可以查看下面几篇很不错的文章：
+
+- [Getting Started with Spring Session](https://codeboje.de/spring-session-tutorial/)
+- [Guide to Spring Session](https://www.baeldung.com/spring-session)
+- [Sticky Sessions with Spring Session & Redis](https://medium.com/@gvnix/sticky-sessions-with-spring-session-redis-bdc6f7438cc3)
 
-Cookie 数据保存在客户端(浏览器端)，Session 数据保存在服务器端。
+Cookie 数据保存在客户端(浏览器端)，Session 数据保存在服务器端。相对来说 Session 安全性更高。如果使用 Cookie 的一些敏感信息不要写入 Cookie 中，最好能将 Cookie 信息加密然后使用到的时候再去服务器端解密。
+
+### 10.3 什么是JWT?
+
+我们在上一个问题中探讨了使用 Session 来鉴别用户的身份，并且给出了几个 Spring Session 的案例分享。 我们知道 Session  信息需要保存一份在服务器端。这种方式会带来一些麻烦，比如需要我们保证保存  Session  信息服务器的可用性、不适合移动端（依赖Cookie）等等。
+
+有没有一种不需要自己存放 Session  信息就能实现身份验证的方式呢？当然！JWT （JSON Web Token） 就是一个很不错的解决办法。通过这种方式服务器端就不需要保存 Session 数据了，扩展性得到提升。
+
+在基于 Token 进行身份验证的的应用程序中，服务器通过有效负载（`payload`）和一个密钥(`secret`)创建 令牌（`Token`）并将 `Token` 发送给客户端，客户端将 `Token` 保存在 Cookie 或者 localStorage 里面，以后客户端发出的所有请求都会携带这个令牌。你可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP  Header 的 Authorization字段中：` Authorization: Bearer Token`。
+
+![Token Based Authentication flow](https://my-blog-to-use.oss-cn-beijing.aliyuncs.com/2019-7/Token-Based-Authentication.png)
+
+1. 用户向服务器发送用户名和密码用于登陆系统。
+2. 身份验证服务响应并返回了签名的 JWT，上面包含了用户是谁的内容。
+3. 用户以后每次向后端发请求都在Header中带上 JWT。
+4. 服务端检查 JWT 并从中获取用户相关信息。
 
-Cookie 存储在客户端中，而Session存储在服务器上，相对来说 Session 安全性更高。如果使用 Cookie 的一些敏感信息不要写入 Cookie 中，最好能将 Cookie 信息加密然后使用到的时候再去服务器端解密。
 
-### 什么是JWT?
 
 > JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or integrity protected with a Message Authentication Code (MAC) and/or encrypted.    ——[JSON Web Token (JWT)](https://tools.ietf.org/html/rfc7519)
 
 
 
+推荐阅读：
+
+- [JWT (JSON Web Tokens) Are Better Than Session Cookies](https://dzone.com/articles/jwtjson-web-tokens-are-better-than-session-cookies)
+- [JSON Web Tokens (JWT) 与 Sessions](https://juejin.im/entry/577b7b56a3413100618c2938)
+- [JSON Web Token 入门教程](https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html)
+
 ## 参考
 
 - 《Spring 技术内幕》
