腾讯csig 运营开发 一面(凉)

时间:2024.03.08

流程1:自我介绍

随便介绍了下基本信息+学校+项目经历

流程2:项目八股

1. 讲一下实习项目&实习期间有没有感觉有什么比较难的点

2. 讲一下项目2,springcloudoauth2是怎么去实现单点登陆的

springclouidoauth2配置

3. oauth2具体是怎么回事

OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容

4种模式举例

OAuth 2 有四种授权模式,分别是

  1. 授权码模式(authorization code):端跳转B端的一个输入密码界面,登录后B端再在url中返回一个CODE给A端,A端后续在后端发起请求拿这个CODE去获得授权凭证,然后后续再靠授权凭证去获得数据。这里CODE是短时效且一次性的,所以较为安全
  2. 隐式授权(implicit):A端跳转B端的一个输入密码界面,登录后B端再在url中返回一个授权凭证给A端,A端后续拿这个授权凭证去获得数据,问题就是url中的授权凭证容易泄露
  3. 密码模式(resource owner password credentials):直接向A端输密码,A端拿密码去登录B端,然后拿数据,但是A端可能恶意保存密码信息,只适合各个端都是自己人的情况下
  4. 客户端模式(client credentials):直接让A端访问B端资源,问题就是A端权限过大,想访问啥就访问啥,只适合内部微服务间调用

5. jwt结构原理

头部.载荷.签名

其中签名类似: HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

secret为密钥,HMACSHA256为头部中指定的签名算法

6. jwt能不能被反解析

能,base64编码随便就能解析,所以token中不能放敏感信息。但是因为签名有加密算法的加持,所以不知道密钥的情况下无法伪造token

7. 怎么设计的退出登陆,准备怎么做

8. jwt和redis配合的退出登陆你觉得好不好

没啥问题,能随时踢人下线,监控在线人数,等功能

9. 如果现在有一个需求是,管理员改了某个用户的密码,然后就要马上把他给下线,或者我就是要马上下线某个人,怎么处理

10. 拿jwt放redis你怎么去存储呢,管理员怎么能找到具体那个jwt是现在这个用户的呢

id为key,jwt为value。在springsecurity中,拿到jwt后是能解析载荷中数据并放入springContextHolder的,整个过程中只要载荷中原本存储了用户id,都能知道当前是哪个用户

11. 那你说这样载荷里面还有存储id的必要吗

  1. 自我包含性:JWT的设计理念之一就是自我包含性,这意味着所有的必要信息都应该包含在Token内部。这使得服务端无需查询数据库或其他存储系统就可以验证和处理Token。
  2. 减轻数据库负担:由于JWT包含了必要的用户信息,因此减少了对于数据库或其他持久化存储系统的依赖,降低了每次请求时的延迟。
  3. 状态无感知:由于服务器不保存JWT的状态信息,因此服务器可以在不保持任何会话状态的情况下处理请求。这对于水平扩展非常重要,尤其是在微服务架构中。
  4. 简化认证逻辑:在JWT中包含用户ID可以让认证逻辑更加简单,因为解码JWT即可获取用户身份信息。

12. 你数据库用户密码怎么加密的

哈希加密,使用BcryptPasswordEncode

13. 那你知道BcryptPasswordEncode的原理吗

几乎无法破解,正常比对密码并不是解密数据库中存储的密文密码,而是把用户输入的加密后使用match方法去比对

BcryptPasswordEncoder 是 Spring Security 中用于密码加密的一种工具类,它基于 bcrypt 算法。bcrypt 是一种密码散列函数,特别设计用于密码存储,旨在抵抗暴力攻击和其他密码破解尝试。以下是 BcryptPasswordEncoder 的一些关键原理和特点:

Bcrypt 的原理:

  1. 散列算法:bcrypt 使用 Blowfish 密码算法的一个变种来创建密码散列。Blowfish 是一种块加密算法,但 bcrypt 只使用了 Blowfish 的一部分特性。
  2. 盐(Salt):为了防止彩虹表攻击(预先计算好的散列表),bcrypt 在散列过程中使用了一个随机生成的盐(salt)。盐是附加到原始密码上的随机数据,这样即使两个用户的密码相同,由于盐的不同,它们的散列值也会不同。
  3. 迭代次数(Cost Factor):bcrypt 允许配置迭代次数(也称为成本因子),这增加了计算散列所需的时间。较高的迭代次数可以显著增加攻击者计算散列的成本,从而增加破解难度。
  4. 内存密集型:bcrypt 设计成内存密集型的,这样就难以利用GPU进行并行攻击。

BcryptPasswordEncoder 的使用:

在 Spring Security 中,BcryptPasswordEncoder 提供了一个简便的方式来进行密码的加密和验证。以下是一些基本操作:

  1. 加密密码:使用 encode 方法来加密用户提供的原始密码。
  2. 验证密码:使用 matches 方法来验证用户提交的密码是否与存储的散列值匹配。

Bcrypt 的 matches 方法原理:

  1. 读取存储的加密密码:当调用 matches 方法时,首先会读取存储的加密密码。这个加密密码通常包含以下几部分:版本标识符(如 $2a$)。成本因子(迭代次数,如 $10$)。盐(randomSalt)。密码散列值(hashedPassword)。
  2. 解析元数据:从存储的加密密码中解析出版本标识符、成本因子和盐。这些信息将用于后续的密码验证过程。
  3. 使用相同的盐和迭代次数:使用解析出的盐和迭代次数对用户输入的密码进行加密。这是非常重要的一步,因为不同的盐会导致不同的散列值,即使密码相同。
  4. 比较散列值:将用户输入密码经过相同参数加密后的散列值与存储的加密密码中的散列值进行比较。如果两者完全一致,则说明密码正确;否则,密码错误。

14. 你知道有那些加密方式

15. 怎么加密才能防止密码被破解

16. mysql的innodb用的那种数据结构,为什么

17. 你mysql用的哪个版本

5.7过了就是8.0了

18. 你觉得什么样才算微服务,什么是微服务,说说你的理解

19. 我看你写了Vue,你谈谈你对他的理解,其中响应式怎么回事,知道哪些底层

不该乱写会前端,虽然确实能写前端代码,但是八股是一点没背

20. 你微服务项目都是怎么部署的,部署到哪的(如实回答,我说我宝塔linux部署的,不太熟悉原生linux部署方式。以及说了拆分部署到了多个云服务器上)

应该是这个:docker部署微服务

记个java -jar 得了

流程3:算法

lc300 最长递增子序列

自我总结

个人还是太菜,回答磕磕碰碰,很多只浮于表面没有深入,算法也拉胯。

#面试记录##腾讯面试#
全部评论
算法AC了吗?
2 回复 分享
发布于 2024-03-14 16:12 辽宁
运营开发和后台开发有什么区别啊?
点赞 回复 分享
发布于 2024-03-13 09:17 湖南

相关推荐

2024-12-08 21:10
蚌埠坦克学院 Java
timeline无笔试技术1面 2024.11.25 技术2面 2024.11.26大概过一周oc,已拒 ,两次面试时间都不到30分钟,无算法题,有sql题技术1面1. 自我介绍(名字、学校、专业、项目)2. 项目:第一个项目(从业务 到 技术架构 整体介绍,各个功能使用的技术各自有哪些,哪个技术为了实现哪个场景进行使用。3. 项目:线程池的参数,和具体的使用问题,参数怎么设置比较好4. MySQL一道题:问一个表两列,自增主键和邮箱,邮箱有重复,问怎么能用delete语句把邮箱去重?(我答的是先用distinct去重,然后把去重后的数据生成新表,然后删除旧表,和delete效果是一样的)5. 反问:部门业务(瓜子的中台的开发,主要是给其他部门提供功能api调用,还有工单系统,主要是内部平台的开发) 面试次数(总共2面)出结果技术2面1. 简单自我介绍2. 政府的项目的一个介绍(还有我负责的模块,流媒体、图文模块、权限认证模块、机构模块)3. rpc框架的介绍,主要结合第一个项目来描述。基于第一个项目微服务架构的需求,以及openFeign的底层原理,实现自定义rpc框架, 并且应用到项目中,对远程调用模块进行升级,但是没提交上线。4. 自我介绍(做过的觉得很牛的事情,1. 本科的外卖平台搭建  2. 考研对人生的改变  3. 研究生做的项目 4。 rpc项目的设计与实现,当时参考的东西  4. jvm底层的学习  5. 最难的juc的学习,测试的困难5. 多久能来实习,能干多久,喜欢做哪种工作6. 反问:部门业务 base北京#牛客创作赏金赛##瓜子二手车##北京##我的求职思考##面经##ai智能作图#
查看10道真题和解析 牛客创作赏金赛 我的求职思考
点赞 评论 收藏
分享
2024-12-09 18:06
已编辑
东北大学 Java
测试经历,在百度除了自动化接口测试开发之外还做过什么吗(基本没有)作为测开,你认为在软件生命周期的职责是什么,应该如何保证代码健全然后就开始拷打了你的rpc项目,能聊聊dubbo的架构吗,你的zookeeper拿来干什么的,底层是怎么做的,还实现了哪些东西反射是什么,底层如何实现的栈、堆的区别,哪个更快,为什么,还嫌我栈和堆讲的太简单了,栈、堆都怎么回收垃圾,堆中除了垃圾回收器还能怎么回收,栈怎么回收垃圾类加载的生命周期,双亲委派模型讲讲java的多线程如何实现通信,你说到锁,一般怎么做,一般怎么分(乐观悲观),select加锁吗,你说到synchronized,原理是什么,底层如何实现的,还了解其他锁吗,乐观锁除了cas还能怎么做,synchronized锁一般粒度是多少,锁整个类和方法体对象,锁代码块有什么区别(问的是把关键字放在不同位置,他们锁的对象是啥),synchronized和volatile的区别是啥,volatile是线程安全的吗抽象类和接口的区别,能被实例化吗,里面能加方法体吗,(这里嫌我讲的不够详细,也不够重点)hashmap和hashset底层,哪个更快,为什么,他们都是实现了什么类一题sql,查出学生表中平均成绩大于60的学生数量一题算法,一个字符串,随意拆分子串,一共有多少个子串是回文的最后问我能不能接受养蛊(三个月实习,通过率不详,通过后发offer)。那我当然是同意了挺无语的,感觉是这两周面的最难的一次,啥都问了,最后还得养蛊,本身就是打算面着玩的,没想到这么恶心
查看15道真题和解析
点赞 评论 收藏
分享
评论
10
41
分享

创作者周榜

更多
牛客网
牛客企业服务