构建网络知识体系:从 OSI 模型到用户登录全链路解析
构建网络知识体系:从 OSI 模型到用户登录全链路解析
文章目录
-
- HTTPS 与 HTTP 的区别
-
- 🌐 到底什么是 TCP 连接?
-
- OSI七层模型与TCP/IP 四层模型
-
- Cookie、Session、Token 之间有什么区别?
-
- DNS 与 CDN
-
- 从网络角度来看,用户从输入网址到网页显示,期间发生了什么?
-
- SSO与第三方跳转登录
-
文章目录
- HTTPS 与 HTTP 的区别
- 🌐 到底什么是 TCP 连接?
- OSI七层模型与TCP/IP 四层模型
- Cookie、Session、Token 之间有什么区别?
- DNS 与 CDN
- 从网络角度来看,用户从输入网址到网页显示,期间发生了什么?
- SSO与第三方跳转登录
HTTPS 与 HTTP 的区别
这是一个非常经典且必考的面试题!作为后端开发大神,我不仅要告诉你表面的区别,还要带你深入到底层原理、握手流程以及在实际架构中的考量。🚀
🌟 核心区别概览
简单来说,HTTP 是“裸奔”,HTTPS 是“穿防弹衣的裸奔”(加了加密和身份认证)。
| 特性 | HTTP (HyperText Transfer Protocol) | HTTPS (HTTP Secure) |
|---|---|---|
| 安全性 | ❌ 明文传输,易被窃听、篡改、伪造 | ✅ 加密传输 (SSL/TLS),防窃听、防篡改、防冒充 |
| 端口 | 默认 80 |
默认 443 |
| 协议基础 | 基于 TCP | 基于 TCP + SSL/TLS |
| 证书 | 不需要 | 需要 CA 证书 (通常收费,也有免费的如 Let’s Encrypt) |
| 性能 | 较快 (无握手加密开销) | 稍慢 (需握手,但现代优化如 TLS 1.3 已极大改善) |
| SEO 影响 | 谷歌/百度会降低排名 | ✅ 搜索引擎优先收录,浏览器显示“安全”锁标志 🔒 |
🧠 面试回答重点 (进阶版)
在面试中,如果只回答上面的表格,只能拿 60 分。要想拿 Offer,你需要从以下几个维度深入:
1. 加密机制的本质 (对称 + 非对称) 🔐
- 误区:很多人以为全程都是非对称加密。
- 正解:HTTPS 采用了 混合加密 机制。
- 握手阶段:使用 非对称加密 (公钥/私钥) 来协商密钥。因为非对称加密安全但计算慢。
- 传输阶段:使用 对称加密 (会话密钥) 来传输实际数据。因为对称加密速度快。
- 关键点:如何保证对称密钥不被中间人窃取?靠的就是非对称加密的安全交换。
2. 身份认证与 CA 机构 🛡️
- HTTPS 不仅加密,还解决了 “你是谁” 的问题。
- 通过 CA (Certificate Authority) 颁发的数字证书,客户端可以验证服务端的身份,防止 中间人攻击 (MITM)。
- 面试加分项:提到如果证书过期、域名不匹配或颁发机构不受信任,浏览器会拦截并报错。
3. 性能优化 (打破“HTTPS 慢”的刻板印象) ⚡
- 早期 HTTPS 确实慢,但现在:
- TLS 1.3:减少了握手往返次数 (从 2-RTT 降到 1-RTT,甚至 0-RTT)。
- HTTP/2 & HTTP/3:通常强制或推荐在 HTTPS 上运行,利用多路复用解决队头阻塞,性能远超 HTTP/1.1。
- 会话复用 (Session Resumption):避免每次请求都重新握手。
4. 后端开发视角的实操 🛠️
- 负载均衡层处理:通常在 Nginx 或 LB (Load Balancer) 层终止 SSL (SSL Termination),后端服务内部走 HTTP,减轻应用服务器压力。
- 重定向:后端代码或网关配置强制将 80 端口 301 跳转到 443。
📊 HTTPS 握手流程图解 (通俗易懂版)
为了让你更直观地理解,我绘制了一个简化版的 TLS 握手流程。这是面试中画图题的高频考点!
🗣️ 配合流程图的口述逻辑:
- 打招呼:客户端说“我支持这些加密算法”,服务端说“好,我们用这个,这是我的身份证(证书)”。
- 验明正身:客户端找“公安局”(CA 根证书)核实身份证真假。
- 交换密码本:客户端生成一个临时密码(预主密钥),用服务端的公钥锁住发过去。只有服务端有私钥能打开。
- 生成钥匙:双方利用之前的随机数和这个临时密码,算出一把唯一的对称密钥。
- 安全通话:以后所有数据都用这把对称密钥加密,既快又安全。
🚀 进阶提升:面试官可能会追问的“坑”
准备好这些,你就是全场最靓的仔:
-
问:既然 HTTPS 这么安全,为什么内网服务有时候还用 HTTP?
- 答:内网环境相对可信,且为了减少 CPU 消耗(加解密需要算力)和降低延迟。但在微服务架构中,为了零信任安全(Zero Trust),现在趋势是 Service Mesh (如 Istio) 实现服务间自动 mTLS (双向认证)。
-
问:什么是中间人攻击?HTTPS 如何防御?
- 答:攻击者伪造服务端证书。防御依靠 CA 信任链。如果攻击者伪造的证书没有受信任的 CA 签名,浏览器会直接报错。除非用户手动点击“继续访问”或者黑客控制了用户的根证书库(如公司抓包调试)。
-
问:HTTP/2 必须依赖 HTTPS 吗?
- 答:标准上不是必须,但所有主流浏览器(Chrome, Firefox 等)强制要求 HTTP/2 必须在 HTTPS 下运行。
-
问:在 Python (Django/Flask/FastAPI) 中如何配置 HTTPS?
- 答:通常不建议在 Python 应用代码层直接处理 SSL(如直接用
ssl模块跑生产环境)。 - 最佳实践:使用 Gunicorn/uWSGI 作为 WSGI 服务器,前面挡一层 Nginx 或 Traefik 处理 SSL 卸载。
- 代码示例思路:在 Nginx 配置
ssl_certificate和ssl_certificate_key,然后proxy_pass到后端的 8000 端口。
- 答:通常不建议在 Python 应用代码层直接处理 SSL(如直接用
💡 总结一句金句
“HTTP 是为了连通世界,而 HTTPS 是为了在连通的世界里建立信任。作为后端开发者,我们不仅要让服务‘通’,更要让数据‘信’。”
🌐 到底什么是 TCP 连接?
通俗定义:
TCP (Transmission Control Protocol) 是一种面向连接的、可靠的、基于字节流的传输层通信协议。
“连接”的本质:
在网络世界里,并没有一根真实的线连着两台电脑。所谓的“TCP 连接”,其实是通信双方(客户端和服务端)在内存中维护的一组状态信息(如:序列号、窗口大小、超时重传计时器等)。
- 比喻:就像两个人打电话。在说话之前,必须先拨通电话,确认对方在线(握手);说话过程中要确认对方听到了(确认应答);说完要挂断(挥手)。这个“通话状态”就是连接。
❓ TCP 是用来解决什么问题的?
这是面试的核心!你要明白,底层的 IP 协议(网络层)是非常“不可靠”的。
IP 协议只管把数据包扔出去,不保证能到,不保证顺序,也不保证不重复,甚至可能半路丢失。
TCP 就是为了在“不可靠”的 IP 网络上,构建一条“可靠”的数据通道。 它主要解决了以下 4 大痛点:
1. 解决“数据丢失”问题 ➡️ 可靠性 (Reliability)
- 场景:数据包在路上被路由器丢弃了,或者网线断了。
- TCP 方案:确认应答 (ACK) + 超时重传。
- 发送方每发一个包,接收方必须回一个“收到了”(ACK)。
- 如果发送方在一定时间内没收到 ACK,就认为丢了,重新发送。
2. 解决“数据乱序”问题 ➡️ 有序性 (Ordering)
- 场景:包 A、包 B、包 C 同时发出,但包 B 走了小路先到,包 A 走了大路后到。如果不处理,文件就乱了。
- TCP 方案:序列号 (Sequence Number)。
- 每个数据包都有编号(如 1, 2, 3…)。
- 接收方收到乱序的包先缓存起来,等凑齐了,再按编号重组好交给上层应用。
3. 解决“数据重复”问题 ➡️ 去重 (De-duplication)
- 场景:发送方以为包丢了重发了一次,结果原来的包也到了,接收方收到两个一样的包。
- TCP 方案:同样利用序列号。接收方发现序列号相同的包,直接丢弃重复的。
4. 解决“发送太快撑爆接收方”问题 ➡️ 流量控制 (Flow Control)
- 场景:服务器发送速度是 100MB/s,但客户端是个老旧手机,处理速度只有 1MB/s。如果不控制,客户端缓冲区溢出,数据丢失。
- TCP 方案:滑动窗口 (Sliding Window)。
- 接收方在 ACK 包里告诉发送方:“我现在的缓冲区还能容纳多少数据”。
- 发送方根据这个动态调整发送速度。
5. 解决“网络拥堵”问题 ➡️ 拥塞控制 (Congestion Control)
- 场景:不是接收方慢,而是中间的路由器/网络带宽堵死了(像早晚高峰的立交桥)。
- TCP 方案:慢启动、拥塞避免、快重传、快恢复。
- 刚开始慢慢发,探测网络能力;发现丢包(意味着堵车了),立刻大幅降低发送速度。
🔄 核心机制图解:三次握手与四次挥手
这是面试必画图题!不要死记硬背,要理解状态同步的过程。
1. 为什么建立连接要“三次”握手?(Three-Way Handshake) 🤝
目的:确认双方的发送和接收能力都正常,并同步初始序列号。
- 面试坑点:为什么不是两次?
- 答:如果是两次,服务端发出的 SYN+ACK 如果滞留在网络中,后来突然又到了客户端,客户端会误以为服务端发起了新连接,导致资源浪费(服务端傻傻地等着客户端发数据,但客户端根本没想发)。三次握手能防止已失效的连接请求报文段突然又传送到了服务端。
2. 为什么断开连接要“四次”挥手?(Four-Way Wave) 👋
目的:因为 TCP 是全双工的(双向都能独立传输)。关闭连接时,需要分别关闭“客户端->服务端”和“服务端->客户端”两个方向。
- 面试坑点:为什么不能合并成三次?
- 答:因为服务端收到 FIN 时,可能还有业务数据没处理完(比如数据库查询还没返回),不能立即发送 FIN。必须先回个 ACK 稳住客户端,等数据发完了,再主动发 FIN。所以 ACK 和 FIN 分成了两步。
🚀 进阶提升:后端开发视角的深层思考
作为 Python 后端大神,你还需要关注以下几点,这会让面试官眼前一亮:
1. TIME_WAIT 状态是什么鬼?⏳
- 现象:在高并发服务器上,用
netstat看到大量TIME_WAIT连接。 - 原因:主动关闭连接的一方(通常是客户端,或者是短连接的服务端)在发送最后一个 ACK 后,会进入
TIME_WAIT状态,持续 2MSL (最大报文段生存时间,通常约 60-120 秒)。 - 目的:
- 确保最后的 ACK 能到达服务端(如果丢了,服务端会重传 FIN,客户端还能重发 ACK)。
- 让本次连接的所有旧数据包在网络中消失,避免干扰新连接。
- 优化:对于高并发短连接服务(如爬虫、压测),可以通过调整内核参数 (
tcp_tw_reuse) 来复用端口,但严禁在生产环境随意关闭,否则会导致旧包干扰新连接,造成数据错乱。
2. TCP vs UDP:什么时候该用谁?⚖️
- TCP:要求数据绝对准确,顺序不能乱。
- 场景:网页浏览 (HTTP)、文件传输 (FTP)、邮件 (SMTP)、数据库连接、SSH。
- Python 库:
socket.SOCK_STREAM,requests,psycopg2(Postgres).
- UDP:要求速度快,允许少量丢失,实时性第一。
- 场景:视频直播、语音通话 (VoIP)、在线游戏、DNS 查询、实时监控数据上报。
- Python 库:
socket.SOCK_DGRAM.
3. Python 中的 TCP 实践 🐍
在 Python 后端开发中,我们很少直接操作原生 Socket(除非写高性能网关),通常使用框架封装:
- 同步阻塞:
socket模块(简单但并发低)。 - 异步非阻塞:
asyncio库(Python 3.5+ 标配,适合高并发 IO)。 - 框架层面:
- Django/Flask:通常跑在 Gunicorn/uWSGI 上,它们底层处理了 TCP 连接池和多进程复用。
- FastAPI/Tornado:基于
asyncio,天然支持高并发 TCP 连接处理。
💡 总结金句
“IP 协议提供了‘尽力而为’的传输,而 TCP 协议通过复杂的握手、确认、重传和流控机制,在混乱的网络世界中强行构建了一条‘有序且可靠’的虚拟专线。作为后端开发者,理解 TCP 的状态机(特别是 TIME_WAIT),是解决高并发网络瓶颈的关键钥匙。”
OSI七层模型与TCP/IP 四层模型
这是一个网络基础中的“基石”问题!在面试中,面试官问这个通常不是为了考你背诵那七层名字,而是想考察你对网络分层架构的理解,以及能否将理论映射到实际开发场景(比如:我的 Python 代码跑在哪一层?Nginx 又在哪一层?)。
让我们把这两个模型拆解清楚,并找出它们在实战中的对应关系。🏗️
🌐 1. OSI 七层模型 (理论标准)
OSI (Open Systems Interconnection) 是国际标准化组织 (ISO) 提出的一个理想化的理论模型。它把网络通信分得非常细,每一层职责单一。
| 层级 | 名称 | 核心功能 | 典型协议/设备 | 🐍 Python/后端对应 |
|---|---|---|---|---|
| 7 | 应用层 (Application) | 直接为用户应用提供网络服务 | HTTP, HTTPS, FTP, SMTP, DNS | requests, Flask, Django, FastAPI |
| 6 | 表示层 (Presentation) | 数据格式化、加密解密、压缩解压 | SSL/TLS, JPEG, ASCII, JSON | json 库, cryptography, HTTPS 加密逻辑 |
| 5 | 会话层 (Session) | 建立、管理、终止会话 (对话控制) | RPC, SQL, NetBIOS | Session ID 管理, JWT Token 验证 |
| 4 | 传输层 (Transport) | 端到端连接,可靠性 (TCP) 或速度 (UDP) | TCP, UDP | socket (TCP/UDP), 端口号 (80, 443) |
| 3 | 网络层 (Network) | 寻址和路由选择 (IP 地址) | IP, ICMP, Router | IP 地址配置, 路由表, traceroute |
| 2 | 数据链路层 (Data Link) | MAC 地址寻址,帧传输,差错控制 | Ethernet, Wi-Fi, Switch, ARP | 网卡 MAC 地址, 交换机配置 |
| 1 | 物理层 (Physical) | 比特流传输,电压、光信号 | 网线, 光纤, 集线器 (Hub) | 服务器网卡硬件, 网线插口 🔌 |
🛠️ 2. TCP/IP 四层模型 (工业事实标准)
TCP/IP 是互联网实际运行的模型。它更务实,将 OSI 的上三层合并了,所以只有四层。这也是我们后端开发最常接触的模型。
| 层级 | 名称 | 对应 OSI 层级 | 核心协议 | 关键概念 |
|---|---|---|---|---|
| 4 | 应用层 (Application) | OSI 5, 6, 7 | HTTP, DNS, SSH, SMTP | 报文 (Message),处理具体业务逻辑 |
| 3 | 传输层 (Transport) | OSI 4 | TCP, UDP | 段 (Segment),端口号,流量控制 |
| 2 | 网络层 (Internet) | OSI 3 | IP, ICMP, ARP | 包 (Packet),IP 地址,路由选择 |
| 1 | 网络接口层 (Network Interface) | OSI 1, 2 | Ethernet, Wi-Fi, Driver | 帧 (Frame),MAC 地址,物理介质 |
💡 重点对比:
- OSI 的 应用层 + 表示层 + 会话层 = TCP/IP 的 应用层。
- OSI 的 物理层 + 数据链路层 = TCP/IP 的 网络接口层。
📊 数据封装与解封装流程 (面试画图题)
当你在 Python 中调用 requests.get('https://google.com') 时,数据是如何流动的?这是一个层层打包 (封装) 和 层层拆包 (解封装) 的过程。
面试口述逻辑:
- 发送时(封装):数据从上往下走。
- 应用层生成数据。
- 传输层加 TCP 头(为了找到具体的进程/端口)。
- 网络层加 IP 头(为了找到目标机器)。
- 链路层加 MAC 头(为了跳到下一个路由器)。
- 物理层变成 0/1 信号 发出去。
- 接收时(解封装):数据从下往上走。
- 每经过一层,就剥掉对应的头部,检查是否正确,然后交给上一层。
- 最后应用层拿到纯净的数据。
🎯 面试高频追问与“大神”回答策略
❓ 问:既然 OSI 模型这么完美,为什么现在大家都用 TCP/IP?
- 普通回答:因为 TCP/IP 先出来了,占领了市场。
- 大神回答:
- 实用性:OSI 模型制定得太晚,且过于复杂(特别是会话层和表示层在很多场景下功能重叠),实现成本高。
- 灵活性:TCP/IP 模型是在实践中演化出来的,它允许上层协议灵活变化(比如现在的 HTTP/3 基于 QUIC/UDP),不强制严格分层。
- 兼容性:互联网就是基于 TCP/IP 构建的,推倒重来成本不可接受。
- 结论:OSI 是理论参考模型(用来教学和排错思路),TCP/IP 是工业事实标准(用来干活)。
❓ 问:HTTP/2 或 HTTP/3 改变了哪一层?
- 回答:
- HTTP/2:依然在应用层,但优化了数据传输格式(二进制分帧),底层依然依赖 TCP (传输层)。
- HTTP/3:这是一个大变革!它将传输层从 TCP 换成了 QUIC (基于 UDP)。这意味着 HTTP/3 实际上修改了传统栈中传输层的逻辑,解决了 TCP 的队头阻塞问题。🚀
❓ 问:作为后端开发,我最需要关注哪几层?
- 回答:
- 应用层:这是我们的主战场。设计 RESTful API、处理 JSON、管理 Session/Cookie、HTTPS 证书配置。
- 传输层:调优 TCP 参数(如
keepalive,backlog),理解端口占用,排查连接超时 (Timeout) 和 重置 (RST) 问题。 - 网络层:配置子网、路由、防火墙 (iptables/Security Groups),理解内网/外网 IP 映射 (NAT)。
- 注:物理层和链路层通常由运维或云厂商负责,除非你写驱动或搞嵌入式。
🚀 进阶提升:排错思路 (分层诊断法)
当线上服务挂了,利用分层模型进行隔离排查是最高效的手段:
- 物理层/链路层:
ping不通?可能是网线断了、虚拟机网卡挂了、安全组没开。 - 网络层:
ping通 IP 但域名不行?-> DNS 问题 (应用层/网络层交界)。 - 传输层:
telnet IP 端口不通?-> 防火墙拦截、服务没启动、端口监听错误。 - 应用层:端口通了,但返回 500/404?-> 代码逻辑错误、数据库连接失败、配置错误。
示例命令流:
# 1. 物理/网络层连通性
ping www.google.com
# 2. 传输层端口可达性 (模拟 TCP 握手)
telnet www.google.com 443
# 或者
nc -vz www.google.com 443
# 3. 应用层协议交互 (模拟 HTTP 请求)
curl -v https://www.google.com
💡 总结金句
“OSI 七层模型是网络世界的‘地图’,帮我们理清思路;TCP/IP 四层模型是网络世界的‘公路’,承载着我们所有的数据流量。作为后端开发者,我们虽然主要工作在应用层,但只有深入理解底层的传输和网络机制,才能在遇到复杂的网络故障时,像外科医生一样精准定位病灶。”
Cookie、Session、Token 之间有什么区别?
这是一个身份认证与状态管理的终极面试题!在后端开发中,如何识别“你是谁”以及“你是否有权限”是核心问题。
很多候选人容易把这三者混为一谈。作为后端大神,你需要清晰地界定它们的存储位置、工作原理、优缺点以及适用场景。特别是 JWT,它是现代微服务架构的标配,必须深入理解。
🥊 核心区别概览:三足鼎立
| 特性 | Cookie 🍪 | Session 🗄️ | Token (如 JWT) 🎫 |
|---|---|---|---|
| 本质 | 浏览器存储在本地的一小段文本 | 服务端存储在内存/数据库中的会话数据 | 一串加密的字符串(自包含信息) |
| 存储位置 | 客户端 (浏览器) | 服务端 (服务器内存/Redis/DB) | 客户端 (通常存在 LocalStorage 或 Cookie) |
| 依赖关系 | 可独立存在,常配合 Session 使用 | 依赖 Cookie (存 SessionID) 或 URL 重写 | 无状态,不依赖服务端存储会话 |
| 安全性 | 易受 XSS (被脚本读取) 和 CSRF (自动携带) 攻击 | 相对安全 (数据在服务端),但需防 Session 劫持 | 防篡改 (签名),但需注意 XSS (泄露即失效) |
| 性能扩展 | 每次请求自动携带,占用带宽 | 服务端需查库/查缓存,有存储压力 | 服务端无需查库 (解密即可),适合分布式 |
| 有效期 | 可设置过期时间 | 通常有过期时间,可主动销毁 | 固定有效期,难以前台主动注销 (需黑名单) |
| 适用场景 | 保持登录状态、用户偏好设置 | 传统单体应用、对安全性要求极高的银行系统 | 前后端分离、移动端、微服务、单点登录 (SSO) |
🧠 深度解析:它们是如何工作的?
1. Cookie & Session:传统的“牵手”模式 🤝
这是最经典的组合拳。
- 流程:
- 用户登录,服务端验证成功。
- 服务端生成一个唯一的 SessionID,并将用户信息存入服务端(如 Redis),Key 是 SessionID。
- 服务端将 SessionID 写入浏览器的 Cookie 中。
- 下次请求,浏览器自动在 Header 中带上 Cookie (含 SessionID)。
- 服务端拿到 SessionID,去 Redis 查数据,确认用户身份。
- 痛点:
- 扩展性差:集群环境下,需要解决 Session 共享问题(通常用 Redis 集中存储)。
- CSRF 攻击:因为浏览器自动带 Cookie,黑客可以诱导用户点击链接,利用用户的身份发起恶意请求。
- 移动端不支持:原生 App 处理 Cookie 不如浏览器方便。
2. Token (JWT):现代的“通行证”模式 🎫
Token 是一个广义概念,JWT (JSON Web Token) 是目前最流行的一种 Token 实现格式。
- 流程:
- 用户登录,服务端验证成功。
- 服务端利用密钥,将用户信息(User ID, Role, Expire)加密签名,生成一串长长的字符串 (JWT)。
- 服务端将 JWT 返回给前端。
- 前端将 JWT 保存在
LocalStorage或Cookie中。 - 下次请求,前端手动在 Header 中添加
Authorization: Bearer <JWT>。 - 服务端不需要查数据库,直接用密钥解密/验签 JWT。如果签名合法且未过期,则信任该用户。
- 优势:
- 无状态 (Stateless):服务端不存任何会话数据,扩容极其容易。
- 跨域/跨平台:天然支持前后端分离、移动端、多端互通。
- 防篡改:任何对内容的修改都会导致签名验证失败。
🔐 重点深挖:JWT (JSON Web Token)
面试中提到 Token,90% 的情况是在问 JWT。你必须能画出它的结构并解释原理。
1. JWT 的结构 (三段式)
JWT 由三部分组成,用 . 分隔:Header.Payload.Signature
示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE 2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
- Header:声明类型(JWT)和加密算法(如 HS256, RS256)。
- Payload:存放有效信息(Claims)。
- 注册声明:
iss(签发者),exp(过期时间),sub(主题/用户ID)。 - 公共声明:自定义业务数据(注意:不要放密码等敏感信息,因为 Payload 只是 Base64 编码,任何人都能解码查看!)。
- 注册声明:
- Signature:对前两部分进行签名,防止篡改。只有持有私钥/密钥的服务端才能生成合法的签名。
2. 为什么 JWT 适合微服务?🏢
在传统架构中,服务 A 需要查数据库验证 Session。
在微服务架构中:
- 网关 (Gateway) 收到请求,验证 JWT 签名。
- 如果合法,网关可以将解析出的
UserID放入 HTTP Header 透传给下游服务。 - 下游服务完全不需要连接认证中心或数据库,直接信任网关传来的信息。
- 结果:极大地减少了网络 IO 和数据库压力。
⚔️ 安全性大比拼:如何防御攻击?
这是面试官最喜欢挖的坑!
| 攻击类型 | 描述 | Cookie/Session 的弱点 | JWT 的弱点 | ✅ 最佳实践解决方案 |
|---|---|---|---|---|
| XSS (跨站脚本) | 注入 JS 窃取数据 | 如果 Cookie 没设 HttpOnly,JS 可读 |
如果存在 LocalStorage,JS 可读 |
1. Cookie: 设置 HttpOnly (禁止 JS 访问) + Secure (仅 HTTPS)。2. JWT: 尽量存在 HttpOnly Cookie 中,而不是 LocalStorage。 |
| CSRF (跨站请求伪造) | 诱导用户点击,利用自动携带的凭证 | 高危:浏览器自动带 Cookie | 低危:浏览器不会自动带 Header 中的 Token | 1. Cookie: 使用 SameSite=Strict/Lax 属性。2. JWT: 前端手动添加 Header,天然免疫 CSRF。 |
| 重放攻击 | 截获旧 Token 重复使用 | SessionID 可被重用 | 未过期的 JWT 可被重用 | 1. 设置较短的 exp (过期时间)。2. 引入 Refresh Token 机制。3. JWT 中加入 jti (唯一ID) 配合黑名单 (Redis)。 |
💡 进阶方案:Access Token + Refresh Token 双令牌机制
为了解决 JWT“一旦泄露,直到过期前都有效”且“难以主动注销”的问题,现代架构通常采用双令牌:
- Access Token (JWT):有效期短(如 15 分钟),用于访问业务接口。
- Refresh Token:有效期长(如 7 天),存储在更安全的地方(HttpOnly Cookie),专门用来换取新的 Access Token。
- 流程:Access Token 过期 -> 前端拿 Refresh Token 请求刷新接口 -> 后端验证 Refresh Token -> 颁发新 Access Token。
- 注销:只需在服务端将 Refresh Token 加入黑名单(或删除),用户就无法再获取新的 Access Token 了。
🐍 Python 后端实战建议
在 Django/Flask/FastAPI 中如何选择?
-
传统后台管理系统 (Django Admin):
- 👉 推荐:Session + Cookie。
- 理由:Django 自带强大的 Session 框架,安全性高,开发快,不用操心 Token 管理。
-
前后端分离项目 (Vue/React + FastAPI/Django REST):
- 👉 推荐:JWT (存放在 HttpOnly Cookie 中)。
- 理由:兼顾了无状态扩展性和安全性(防 XSS+CSRF)。
- 库推荐:
PyJWT,django-rest-framework-simplejwt,fastapi-jwt-auth.
-
微服务/移动端 API:
- 👉 推荐:JWT (Bearer Token)。
- 理由:移动端处理 Cookie 麻烦,且微服务需要无状态认证。
🗣️ 面试回答逻辑总结 (满分模板)
"Cookie、Session 和 Token 都是为了解决 HTTP 无状态带来的身份认证问题。
- Session + Cookie 是传统模式,数据存服务端,安全性好但扩展性差,适合单体应用。
- Token (特别是 JWT) 是现代模式,数据自包含在客户端,服务端无状态,非常适合前后端分离和微服务架构。
- 关于 JWT,它由 Header、Payload、Signature 组成。虽然它解决了扩展性问题,但要注意不能存敏感信息(因为 Payload 可解码),且存在注销困难的问题。
- 在安全方面,为了同时防御 XSS 和 CSRF,我现在的最佳实践是:使用 ‘Access Token + Refresh Token’ 双令牌机制,并将它们存储在
HttpOnly和Secure的 Cookie 中,而不是 LocalStorage。这样既利用了 JWT 的无状态优势,又规避了主流的前端安全风险。"
DNS 与 CDN
这两个概念是互联网基础设施的“左膀右臂”:DNS 是互联网的导航仪(负责找路),CDN 是互联网的物流仓储网(负责送货)。
在面试中,不要只背诵定义,要结合用户访问流程、性能优化和高可用架构来谈。
🌍 第一部分:DNS (Domain Name System) —— 互联网的导航仪
1. 核心定义
DNS 是一个分布式数据库,它的核心作用是将人类易读的域名(如 www.google.com)解析为机器易读的 IP 地址(如 142.250.1.1)。
- 比喻:DNS 就是互联网的“电话簿”或“手机通讯录”。你记不住朋友的手机号(IP),但记得住名字(域名),查一下通讯录就能拨通。
2. DNS 解析流程 (面试必考!) 🔄
当你在浏览器输入 www.example.com 时,发生了什么?这是一个递归查询与迭代查询结合的过程。
关键角色解析:
- 本地 DNS (Recursive Resolver):通常由 ISP (运营商) 或公共 DNS (如 8.8.8.8, 114.114.114.114) 提供。它替用户跑腿,直到拿到结果。
- 根域名服务器 (Root):全球只有 13 组逻辑根服务器,管理所有顶级域名的指向。
- 顶级域名服务器 (TLD):管理
.com,.cn,.org等后缀。 - 权威域名服务器 (Authoritative):真正存储域名和 IP 映射关系的服务器(通常由域名注册商或云厂商如 AWS Route53, 阿里云 DNS 提供)。
3. 后端开发视角的 DNS 考点 ⚡
- TTL (Time To Live):缓存过期时间。
- 场景:你要做服务器迁移(换 IP),必须提前把 TTL 调小(如 60 秒),这样全球 DNS 缓存失效快,切换 IP 时用户受影响最小。迁移完成后可调大 TTL 减少查询压力。
- DNS 负载均衡:
- 一个域名可以对应多个 IP。DNS 服务器可以轮询返回不同的 IP,将流量分摊到不同服务器。
- 局限:DNS 无法感知服务器健康状态(挂了也会返回 IP),且缓存导致切换不实时。
- DNS 污染/劫持:
- 中间人伪造 DNS 响应。解决方案:使用 HTTPS + DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 加密查询。
🚀 第二部分:CDN (Content Delivery Network) —— 互联网的物流仓储网
1. 核心定义
CDN 是通过在网络各处部署边缘节点 (Edge Nodes),将源站的内容(图片、视频、JS/CSS 文件)缓存到离用户最近的节点。
- 目的:解决网络拥塞,提高访问速度,降低源站压力。
- 比喻:
- 没有 CDN:你在北京买一瓶可乐,工厂在广州,快递要跑 2000 公里。
- 有 CDN:可乐提前运到了北京的小区便利店(边缘节点),你下楼就买到了。
2. CDN 工作原理 📦
当用户请求资源时,DNS 会介入进行智能调度。
关键步骤:
- CNAME 解析:域名配置 CDN 后,实际解析到一个 CNAME 地址(如
xxx.cdn.dnsv1.com)。 - GSLB 调度:CDN 的 DNS 根据用户的 IP 地理位置、运营商、节点负载,返回最优边缘节点的 IP。
- 缓存命中 (Cache Hit):边缘节点直接返回数据(极速)。
- 回源 (Cache Miss):边缘节点没有,才去源站拉取,存下来后再给用户(下次就快了)。
3. 后端开发视角的 CDN 考点 ⚡
- 动静分离:
- 静态资源 (图片, CSS, JS, 视频) -> 走 CDN。
- 动态资源 (API 接口, 个人订单数据) -> 走 源站 (或走 CDN 的动态加速链路,但不缓存)。
- 缓存更新策略:
- 版本号法:文件名带 hash (
app.a1b2c3.js),永远不更新文件名,利用浏览器强缓存。 - 主动刷新 (Purge):后台发布新版本时,调用 CDN API 强制清除旧缓存。
- 预热 (Preload):在大促前,主动把热点资源推送到边缘节点,防止瞬间回源打挂服务器。
- 版本号法:文件名带 hash (
- 安全防护:
- CDN 可以隐藏源站真实 IP。
- 提供 DDoS 防护、WAF (Web 应用防火墙),在边缘节点拦截恶意流量。
🤝 DNS 与 CDN 的联动 (面试加分项)
它们是如何配合工作的?
CDN 严重依赖 DNS 来实现“就近接入”。
- 用户请求
static.example.com。 - 本地 DNS 发现这是 CNAME,向 CDN 的权威 DNS 发起请求。
- CDN 的 DNS (GSLB) 此时发挥核心作用:它查看请求者的 IP,判断他是“北京电信”用户。
- GSLB 从北京的电信节点池中,选一个负载最低的节点 IP,返回给本地 DNS。
- 用户最终连接到这个北京节点,获取资源。
一句话总结:DNS 负责把用户指引到最近的 CDN 节点,CDN 负责把内容快速交付给用户。
🎯 面试高频追问与“大神”回答
❓ 问:CDN 缓存更新了,但用户看到的还是旧的,为什么?
- 普通回答:缓存没过期。
- 大神回答:可能是多级缓存问题。
- 浏览器缓存:用户浏览器自己存了(检查
Cache-Control,Expires)。 - CDN 边缘节点缓存:虽然源站变了,但 CDN 还没刷新(TTL 未到)。
- 本地 DNS 缓存:如果做了 IP 切换,DNS 缓存未失效导致连到了旧节点。
- 解决:前端使用文件名 Hash 策略;后端调用 CDN 刷新接口;调整 DNS TTL。
- 浏览器缓存:用户浏览器自己存了(检查
❓ 问:动态内容(如 API 请求)能用 CDN 吗?
- 回答:
- 传统的 CDN 不缓存动态内容(因为每个人看到的不一样)。
- 但是,现代 CDN 提供动态加速 (Dynamic Acceleration) 功能。它不缓存数据,但利用 CDN 优化的骨干网线路(比公网更稳、更快),通过路由优化和协议优化(如 TCP 调优、HTTP/2),加速回源过程。所以,API 也可以走 CDN 加速,只是原理不同。
❓ 问:什么是 DNS 劫持?如何防范?
- 回答:运营商或黑客在 DNS 解析过程中篡改结果,把用户导向广告页或钓鱼网站。
- 防范:
- 全站 HTTPS(即使 DNS 被劫持到错误 IP,证书验证也会失败,浏览器报错)。
- 使用 HTTP DNS(移动端常用):App 直接向 DNS 服务商的 HTTP 接口查询 IP,绕过运营商 Local DNS。
- 推广 DoH/DoT (DNS over HTTPS/TLS)。
💡 总结金句
"DNS 是互联网的寻址系统,解决了‘去哪里’的问题,通过分层递归机制实现了全球域名的解析;CDN 是互联网的分发系统,解决了‘怎么快’的问题,通过边缘缓存和智能调度实现了内容的就近交付。
作为一个后端开发者,理解 DNS 的 TTL 机制能帮我们平滑发布,理解 CDN 的缓存策略能帮我们抗住流量洪峰。两者结合,构成了高性能 Web 架构的基石。"
从网络角度来看,用户从输入网址到网页显示,期间发生了什么?
这是一个全栈开发者的“终极考题”!面试官问这个问题,通常不是为了听你背诵步骤,而是想考察你对整个网络协议栈、浏览器渲染原理、以及后端架构的综合理解。
如果你能条理清晰、层层递进地讲清楚这个过程,并穿插一些性能优化和安全的知识点,绝对能拿到 S 级 评价。🏆
我们将这个过程拆解为 7 个关键阶段:
🗺️ 全景流程图 (The Big Picture)
🔍 详细拆解:每个阶段发生了什么?
1️⃣ 阶段一:URL 解析 (Parsing) 🧐
浏览器首先检查你输入的是什么:
- 是搜索关键词?还是合法的 URL?
- 如果是 URL,提取出:协议 (
http/https)、域名 (www.example.com)、端口 (默认 80/443)、路径 (/path/to/page)。 - 检查缓存:浏览器会先查自己的缓存(强缓存
Cache-Control),如果有且未过期,直接跳过网络请求,秒开!⚡
2️⃣ 阶段二:DNS 解析 (Domain Name Resolution) 🌍
浏览器不知道 www.example.com 在哪,需要知道 IP。
- 查找顺序:
- 浏览器缓存 (最近访问过的)。
- 操作系统缓存 (
hosts文件)。 - 本地 DNS 服务器 (ISP 提供的)。
- 根/顶级/权威 DNS 服务器 (递归迭代查询,见上一题)。
- 结果:拿到目标服务器的 IP 地址 (如
93.184.216.34)。 - 进阶:如果有 CDN,这里会返回离你最近的 CDN 节点 IP。
3️⃣ 阶段三:建立 TCP 连接 (TCP Handshake) 🤝
拿到 IP 后,浏览器需要和服务器建立“电话线”。
- TCP 三次握手:
SYN(我想连你)SYN+ACK(好的,我也想连你)ACK(收到,连接建立)
- TLS/SSL 握手 (如果是 HTTPS) 🔒:
- 协商加密算法,交换证书,生成会话密钥。这步非常耗时,所以有了 HTTP/2 和 HTTP/3 来优化。
- 结果:一条可靠、加密的通道打通了。
4️⃣ 阶段四:发送 HTTP 请求 (Sending Request) 📤
浏览器构建一个 HTTP 报文发过去:
- 请求行:
GET /index.html HTTP/1.1 - 请求头 (Headers):
Host: 域名User-Agent: 浏览器类型Cookie: 关键! 带上用户的登录态 (SessionID/Token)。Accept: 告诉服务器我能接收什么格式 (html, json)。
- 请求体 (Body):如果是 POST 请求,这里放表单数据或 JSON。
5️⃣ 阶段五:服务器处理 (Server Processing) ⚙️
请求到达后端(如 Nginx -> Gunicorn -> Django/FastAPI):
- 负载均衡:Nginx 决定把请求分给哪台应用服务器。
- 业务逻辑:
- 解析 Cookie/Token 验证身份。
- 查询数据库 (MySQL/Redis)。
- 执行 Python 代码,组装数据。
- 生成响应:
- 如果是传统 SSR (服务端渲染):返回完整的 HTML。
- 如果是前后端分离:返回 JSON 数据。
- 返回 HTTP 响应:
- 状态码:
200 OK,301 Moved,404 Not Found,500 Error。 - 响应头:
Content-Type,Set-Cookie,Cache-Control。 - 响应体:HTML 代码或 JSON 数据。
- 状态码:
6️⃣ 阶段六:浏览器渲染 (Rendering) 🎨 (前端核心)
浏览器拿到 HTML 后,开始“画图”:
- 解析 HTML -> 构建 DOM 树 (文档对象模型)。
- 解析 CSS -> 构建 CSSOM 树 (样式对象模型)。
- 注意:遇到
<link>或<style>会阻塞渲染,直到 CSS 解析完。 - 注意:遇到
<script>会暂停 HTML 解析,先执行 JS (除非加了defer或async)。
- 注意:遇到
- 合并 -> 生成 渲染树 (Render Tree) (只包含可见节点)。
- 布局 (Layout/Reflow) -> 计算每个元素在屏幕上的确切位置和大小。
- 绘制 (Paint) -> 将像素画到屏幕上。
- 合成 (Composite) -> 分层绘制,提高滚动性能。
7️⃣ 阶段七:加载子资源与交互 (Sub-resources & Interaction) 🔄
- HTML 中可能还有
<img>,<script>,<link>标签。 - 浏览器会并发发起新的 HTTP 请求去下载这些资源(重复阶段 2-6,但通常利用 Keep-Alive 复用 TCP 连接)。
- JavaScript 执行完毕,绑定事件监听器(点击、滚动等)。
DOMContentLoaded:DOM 树建好了。load:所有资源(图片等)都加载完了,页面彻底显示。
🚀 大神进阶:性能优化与安全 (面试加分项)
在讲完流程后,主动抛出以下观点,展示你的深度:
1. 性能优化 (如何让这个过程更快?) ⚡
- DNS 层面:使用 DNS Prefetch (
<link rel="dns-prefetch">) 提前解析。 - 连接层面:
- Keep-Alive:复用 TCP 连接,避免多次握手。
- HTTP/2:多路复用 (Multiplexing),在一个连接上并行传输多个请求,解决队头阻塞。
- HTTP/3 (QUIC):基于 UDP,彻底解决 TCP 的队头阻塞,弱网环境下更快。
- 传输层面:
- CDN:就近获取资源。
- 压缩:Gzip / Brotli 压缩 HTML/CSS/JS。
- 渲染层面:
- 关键渲染路径 (CRP):内联关键 CSS,异步加载 JS (
defer)。 - 图片优化:WebP 格式,懒加载 (
loading="lazy")。
- 关键渲染路径 (CRP):内联关键 CSS,异步加载 JS (
2. 安全隐患 (在这个过程中哪里会被攻击?) 🛡️
- DNS 劫持:阶段 2,返回假 IP。 -> 解决:HTTPS + HTTP DNS。
- 中间人攻击 (MITM):阶段 3/4,窃听数据。 -> 解决:强制 HTTPS (TLS 加密)。
- XSS (跨站脚本):阶段 6,恶意 JS 注入。 -> 解决:转义输出,CSP (内容安全策略)。
- CSRF (跨站请求伪造):阶段 4,利用 Cookie 自动发送。 -> 解决:SameSite Cookie, Token 验证。
3. 特殊情况处理 🌪️
- 重定向 (301/302):服务器返回 3xx,浏览器会自动发起新的请求(回到阶段 2 或 3)。
- 缓存命中:如果阶段 1 或阶段 2 (DNS) 或阶段 5 (协商缓存
304 Not Modified) 命中,流程会大幅缩短。
🗣️ 满分回答话术模板
“从网络角度看,这个过程是一个典型的客户端 - 服务器交互模型,大致可以分为 DNS 解析、TCP 连接、HTTP 请求响应、浏览器渲染 四个核心阶段。
- 首先,浏览器解析 URL,并通过 DNS 系统(经过本地缓存、LDNS、权威服务器)将域名转换为 IP 地址。如果有 CDN,这里会调度到最近节点。
- 接着,浏览器与服务器进行 TCP 三次握手 建立连接,如果是 HTTPS,还会进行 TLS 握手 协商密钥。
- 连接建立后,浏览器发送 HTTP 请求(携带 Headers、Cookies),服务器后端(如 Nginx+Python 应用)接收请求,处理业务逻辑(查库、计算),并返回 HTTP 响应(状态码、HTML/JSON)。
- 最后,浏览器拿到 HTML,开始 渲染引擎 的工作:构建 DOM 树和 CSSOM 树,生成渲染树,进行布局 (Layout) 和绘制 (Paint)。期间如果遇到 JS、图片等资源,会并发发起新的请求。
在这个流程中,作为后端开发者,我特别关注:
- 利用 HTTP/2 和 Keep-Alive 减少连接开销。
- 配置合理的 Cache-Control 和 ETag 利用浏览器缓存。
- 确保全站 HTTPS 防止中间人攻击。
- 通过 CDN 加速静态资源分发,减轻源站压力。
这一整套流程的顺畅与否,直接决定了用户的首屏加载时间 (FCP) 和体验。”
SSO与第三方跳转登录
这是一个非常敏锐的问题!很多候选人容易把 SSO(单点登录) 和 第三方登录(如微信登录) 混为一谈,因为它们都让用户感觉“只登录了一次”或者“不用输密码”。
但在架构设计和业务逻辑上,它们是完全不同维度的概念。
一句话区分核心本质:
- SSO (Single Sign-On):解决的是 “多系统间的信任” 问题。(我是A系统的用户,去B系统也要认我,账号体系通常是自己管的)。
- 微信登录 (OAuth2):解决的是 “身份源借用” 问题。(我不想注册新账号,直接借用微信的身份,账号体系是腾讯管的)。
🥊 核心区别对比表
| 特性 | SSO (单点登录) 🏢 | 微信/第三方登录 🟢 |
|---|---|---|
| 核心目标 | 一次登录,通行所有内部系统 | 免注册,利用现有社交账号快速接入 |
| 账号归属 | 企业内部。用户数据存在你自己的数据库。 | 第三方平台。用户数据存在微信/QQ/Google 服务器。 |
| 信任关系 | 内部信任。你的系统A信任你的系统B(或统一认证中心)。 | 外部信任。你的系统信任微信(OAuth2 协议)。 |
| 用户感知 | “我在 OA 系统登录了,点进邮箱系统不用再次登录。” | “我不想填表单,直接点‘微信登录’按钮。” |
| 技术协议 | CAS, SAML, OIDC (基于 OAuth2), JWT + 共享 Cookie | OAuth 2.0, OpenID Connect (OIDC) |
| 控制权 | 企业完全控制用户生命周期(入职开通,离职注销)。 | 依赖第三方,用户若封禁微信账号,可能无法登录你的系统。 |
| 典型场景 | 阿里钉钉、公司内部 OA/ERP/CRM 互通、大学教务/图书馆/邮件系统互通。 | 电商网站、小游戏、资讯 App 的快捷登录。 |
🏗️ 深度解析:SSO (单点登录)
1. 什么是 SSO?
SSO 是一种架构解决方案。在一个组织内部,有几十个子系统(OA、HR、财务、邮箱)。如果没有 SSO,员工需要记几十套密码,每进一个系统都要登一次。
有了 SSO,员工只需要在统一认证中心 (Identity Provider, IdP) 登录一次,访问其他所有子系统(Service Provider, SP)时,都会自动被识别为已登录。
2. 工作原理 (以 CAS 或 OIDC 为例)
3. 关键点
- 统一用户中心:所有子系统的用户数据源头是同一个。
- 票据交换:通过 Ticket 或 Token 在认证中心和子系统之间传递信任。
- 注销联动:用户在 SSO 中心退出,所有子系统同时退出(单点登出 SLO)。
🟢 深度解析:微信跳转登录 (OAuth2)
1. 什么是微信登录?
这是一种授权机制。你的系统没有用户的账号,你希望用户用他的微信账号来证明“他是谁”。
这遵循 OAuth 2.0 协议。微信是 Authorization Server (授权服务器),你的系统是 Client (客户端)。
2. 工作原理
3. 关键点
- OpenID 是核心:微信不会给你用户的微信号(隐私),只会给一个针对你应用的唯一标识
OpenID。你需要把这个OpenID和你自己数据库里的用户绑定。 - 第一次 vs 第 N 次:
- 第一次:微信返回 OpenID -> 你系统发现没这个用户 -> 自动注册一个新账号并绑定 -> 登录成功。
- 第 N 次:微信返回 OpenID -> 你系统查到已有账号 -> 直接登录。
- 依赖性强:如果微信接口挂了,或者你的 AppID 被封,用户就无法登录。
🤔 它们能结合使用吗?(高阶场景)
当然可以!而且大厂都是这么做的。
场景:某大型集团内部有 OA、ERP 系统(需要 SSO),同时也开发了面向公众的商城 App(需要微信登录)。
- 内部员工:使用公司域账号,通过 SSO (OIDC/CAS) 登录 OA 和 ERP。
- 外部客户:在商城 App 点击 微信登录。
- 融合架构:
- 商城 App 的后端作为一个 OAuth2 Client 对接微信。
- 同时,商城 App 也是集团 SSO 体系中的一个子系统 (SP)。
- 流程:用户微信登录成功后,商城后端生成一个符合集团 SSO 标准的 JWT/Token,并将其写入浏览器的 SSO 域 Cookie。
- 结果:该用户如果再去访问集团的其他公开服务(如积分查询系统),因为已经有了 SSO 的 Token,也就实现了“微信登录后,通行集团所有公开系统”。
🗣️ 面试回答策略 (满分模板)
“SSO 和微信登录虽然体验上相似(都减少了输入密码的次数),但它们的本质目的和实现原理截然不同。
SSO (单点登录) 是企业内部架构方案。它解决的是‘多个自有系统之间的会话共享’问题。核心是建立一个统一认证中心,用户只需登录一次,通过票据(Ticket)或 Token 的信任传递,就能访问所有子系统。它的账号数据完全掌握在企业自己手中。
微信登录 是第三方授权方案(基于 OAuth2)。它解决的是‘降低用户注册门槛’的问题。核心是借用微信的身份体系,通过
Code换取OpenID,在我们的系统中映射或创建一个本地账号。它的账号源头在腾讯。联系与结合:在实际架构中,两者常共存。例如,一个大型平台内部员工用 SSO 登录管理后台,而 C 端用户用微信登录。甚至可以将微信登录作为 SSO 认证中心的一种‘外部身份源’,用户微信认证成功后,由 SSO 中心颁发统一 Token,从而实现第三方账号也能享受单点登录的便利。
总结来说:SSO 是为了管理效率(内部互通),微信登录是为了用户体验(外部获客)。”
💡 进阶思考题 (面试官可能会追问)
- 问:如果用户先用了微信登录,后来公司要求必须绑定手机号,怎么处理?
- 答:在微信登录回调后,检查本地账号是否绑定了手机。如果没有,拦截请求,跳转到“绑定手机号”页面。用户输入手机号验证码后,将手机号与当前的
OpenID关联,更新数据库,然后再完成登录流程。
- 答:在微信登录回调后,检查本地账号是否绑定了手机。如果没有,拦截请求,跳转到“绑定手机号”页面。用户输入手机号验证码后,将手机号与当前的
- 问:SSO 中,如果认证中心挂了怎么办?
- 答:这是单点故障风险。必须对认证中心做高可用集群(多节点 + 负载均衡 + 共享 Redis Session)。同时,子系统应有一定的降级策略(如对于非敏感操作,允许在短时间内依赖本地缓存的 Token 继续服务,但这会牺牲部分安全性)。
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
7
0- 0
已为社区贡献1条内容
所有评论(0)