当前位置: 首页 > 面试经验 >

众安保险二面

优质
小牛编辑
92浏览
2023-06-09

众安保险二面

当晚出结果 挂了

自我介绍

1.使用RabbitMQ延时队列实现未付款订单, 超过一定时间后, 系统自动取消订单并解锁库存;

订单取消时,付款成功怎么办?

2.使用redis+lua脚本防止重复提交攻击, 解决了用户利用浏览器刷新和回退重复提交订单的问题

为什么要用lua

3.Semaphore信号量实现秒杀和一人一单功能, 通过逐步改进分布式锁的方案, 解决在多线程情况下用户重复提交订单的幂等性问题;

key是怎么保证唯一性的?

userId + sessionId + skuId

4.OAuth2.0有几种授权模式?(不会)

OAuth(Open Authorization)是一种开放标准,用于授权第三方应用访问用户资源。OAuth 定义了四种授权模式,分别为:

  1. 授权码模式(Authorization Code Grant):该模式是最常用的授权模式,适用于第三方应用在服务器端访问用户资源的场景。该模式通过授权服务器颁发授权码,再通过授权码获取访问令牌,从而实现访问用户资源。
  2. 隐式授权模式(Implicit Grant):该模式适用于第三方应用在客户端(如浏览器)访问用户资源的场景。该模式通过直接颁发访问令牌,从而实现访问用户资源。
  3. 密码模式(Resource Owner Password Credentials Grant):该模式适用于用户信任第三方应用,直接将用户名和密码等凭证信息传递给第三方应用,从而实现访问用户资源。
  4. 客户端模式(Client Credentials Grant):该模式适用于第三方应用访问自己的资源,而非用户资源。该模式通过客户端直接向授权服务器获取访问令牌,从而实现访问自己的资源。

需要根据具体的业务需求和安全要求选择合适的授权模式,以保证系统的安全性和用户的隐私。

5.JWT认证做了什么改正相比于传统session?(没答上)

传统的session认证有如下的问题:

每个用户的登录信息都会保存到服务器的session中,随着用户的增多,服务器开销会明显增大

由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效。虽然可以将session统一保存到Redis中,但是这样做无疑增加了系统的复杂性,对于不需要redis的应用也会白白多引入一个缓存中间件

对于非浏览器的客户端、手机移动端等不适用,因为session依赖于cookie,而移动端经常没有cookie

因为session认证本质基于cookie,所以如果cookie被截获,用户很容易收到跨站请求伪造攻击。并且如果浏览器禁用了cookie,这种方式也会失效

前后端分离系统中更加不适用,后端部署复杂,前端发送的请求往往经过多个中间件到达后端,cookie中关于session的信息会转发多次

由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用

2.2 JWT认证的优势

对比传统的session认证方式,JWT的优势是:

简洁:JWT Token数据量小,传输速度也很快

因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持

不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务

单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话, token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题

适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要 Cookie 保存 SessionId),所以不适合移动端

6.es倒排索引

全文检索

这种实现方式实际会存在很多问题:

  • 无法使用数据库索引,需要全表扫描,性能差
  • 搜索效果差,只能首尾位模糊匹配,无法实现复杂的搜索需求
  • 无法得到文档与搜索条件的相关性
  • 正排索引:是以文档对象的唯一 ID 作为索引,以文档内容作为记录的结构。
  • 倒排索引:Inverted index,指的是将文档内容中的单词作为索引,将包含该词的文档 ID 作为记录的结构。

评分机制

Elasticsearch使用的是 term frequency/inverse document frequency算法,简称为TF/IDF算法。TF词频(Term Frequency),IDF逆向文件频率(Inverse Document Frequency)

Term frequency:搜索文本中的各个词条在field文本中出现了多少次,出现次数越多,就越相关。

Inverse document frequency:搜索文本中的各个词条在整个索引的所有文档中出现了多少次,出现的次数越多,就越不相关.

Field-length norm:field长度,field越长,相关度越弱

7.前后端是如何联调的?restful规范?

RESTful 是一种基于 HTTP 协议的 Web 应用程序的设计风格,其核心思想是将 Web 应用程序的功能和资源抽象为一组资源,并通过 HTTP 协议提供统一的接口进行访问和操作。以下是 RESTful 的规范:

  1. 使用 HTTP 方法(GET、POST、PUT、DELETE 等)来表示对资源的操作。GET 方法用于获取资源,POST 方法用于创建资源,PUT 方法用于更新资源,DELETE 方法用于删除资源。
  2. 使用 URI(Uniform Resource Identifier)来表示资源,URI 应该是唯一的,且能够识别资源的类型和位置。URI 应该使用名词而不是动词,如 /users 表示用户资源,而不是 /getUsers。
  3. 使用 HTTP 状态码来表示操作结果,如 200 表示成功,201 表示创建成功,404 表示资源不存在,500 表示服务器错误等。
  4. 使用 JSON 或 XML 格式来表示资源的表现形式,客户端可以通过 HTTP 头信息 Accept 来指定期望的资源表现形式。
  5. 使用 HATEOAS(Hypermedia As The Engine Of Application State)来表示资源之间的关系,即资源应该包含链接信息,客户端通过链接信息来发现和访问相关资源。
  6. 遵循单一职责原则,每个资源应该只有一个 URI,且每个 URI 只能表示一个资源。
  7. 遵循无状态原则,即客户端每次请求都应该包含足够的信息,服务端不应该保存客户端的状态信息。

以上是 RESTful 的规范,遵循这些规范可以使 Web 应用程序具有良好的可读性、可维护性和可扩展性。

hr面

 类似资料: