redis

缓存穿透：查一个数据  缓存没有  数据库也没有
            下次还是这样   当无数个请求这样会造成很大浪费
解决方法  在缓存中 放入那个key-对应的value 值为空

缓存雪崩 同一时间  大量缓存 突然失效  导致大量的请求倾泻到数据库  
解决方法  TTL+随机值  解决大量缓存不会在同一时刻失效

缓存击穿： 一个高频访问的数据 在缓存中突然没有了  直接倾泻到数据库
    LRU算法
缓存预热：
        最开始缓存是空的  数据命中率低  就会先去数据库中查找 缓存命中慢慢变多
        提前加载缓存

Cookie与Session的区别和联系
1cookie数据存放在客户的浏览器上，session数据放在服务器上；
2cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session；
3session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。考虑到减轻服务器性能方面，应当使用COOKIE；
4单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的COOKIE不能超过3K；

session有一个缺陷：如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失。
Session的使用比Cookie方便，但是过多的Session存储在服务器内存中，会对服务器造成压力。



HTTP协议是无状态的，这种无状态意味着程序需要验证每一次请求，从而辨别客户端的身份。

在这之前，程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。

• 基于服务器验证方式暴露的一些问

1.Seesion：每次认证用户发起请求时，服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时，内存的开销也会不断增加。

2.可扩展性：在服务端的内存中使用Seesion存储登录信息，伴随而来的是可扩展性问题。

3.CORS(跨域资源共享)：当我们需要让数据跨多台移动设备上使用时，跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源，就可以会出现禁止请求的情况。

4.CSRF(跨站请求伪造)：用户在访问银行网站时，他们很容易受到跨站请求伪造的攻击，并且能够被利用其访问其他的网站。

在大多数使用Web API的互联网公司中，tokens 是多用户下处理认证的最佳方式。
以下几点特性会让你在程序中使用基于Token的身份验证
1.无状态、可扩展
2.支持移动设备
3.跨程序调用
4.安全

基于Token的身份验证的过程如下:
1.用户通过用户名和密码发送请求。
2.服务器端程序验证。
3.服务器端程序返回一个带签名的token 给客户端。
4.客户端储存token,并且每次访问API都携带Token到服务器端的。
5.服务端验证token，校验成功则返回请求数据，校验失败则返回错误码。

Tokens的优势
无状态、可扩展
在客户端存储的Tokens是无状态的，并且能够被扩展。基于这种无状态和不存储Session信息，负载负载均衡器能够将用户信息从一个服务传到其他服务器上。
安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token，cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中，让我们少了对session操作。token是有时效的，一段时间之后用户需要重新验证。
可扩展性
Tokens能够创建与其它程序共享权限的程序。
多平台跨域

JWT token 
1  第一步输入用户名和密码  服务端 进行用户名和密码的校验 如果是合法用户  生成一个token给用户
2  下次用户带着token来访问  执行业务逻辑  并校验是否是上次的token是否有效  如果有效 继续操作   如果无效 返回第一步重新登陆
单点登陆 
一个地方登陆了 其他系统不用登陆直接进
在一个点登陆了  其他系统自动退出   一个从服务端理解 一个从客户端理解

1access_token   
2refresh_token
用户第一次登陆的时候 发两个token  1和2  acc_token过期时间是一天  refresh_token过期时间一天1小时     ref 稍微比 acc长一点   多的那一个小时就是给用户免密登陆的机会  若超过时间  需重新获取token
如果在那一个小时内 ref_token 是过期的  但是ref_token 不是过期的  拿着ref_token 去服务端校验  如果ref_token还有效  在重新发送新的acc_token  那么用户就还是免密状态


token 放用户id+二进制权限  登陆权限 1  查订单权限 0   1 为有权限  0 为没权限  user+"1010101..."放入token  解析

验证码防刷  将手机号为key  自增为value  当这个key 的value 值大于3时 进行判断  进制登陆2小时