深度思考：

1，jwt简单介绍。

jwt即Json web token，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。JWT是由三段信息构成的，第一部分我们称它为头部（header),第二部分我们称其为载荷（payload, 类似于飞机上承载的物品)，第三部分是签证（signature)。

2.拦截器、过滤器、监听器各有什么作用？

拦截器

Interceptor是动态拦截Action调用的对象。它提供了一种机制可以使开发者可以定义在一个Action执行的前后执行的代码，也可以在一个Action执行前阻止其执行 。同时也提供了一种可以提取Action中可重用的部分的方式。

过滤器

Filter是实现了javax.servlet.Filter接口的服务器端程序,主要的用途是过滤字符编码,做一些业务逻辑判断,过滤器随web应用启动而启动,只初始化一次,只有当web应用停止或重新部署才销毁。

监听器

Listener是实现了javax.servlet.ServletContextListener接口的服务器端程序,它也是随web应用的启动而启动,只初始化了一次,随web应用的停止而销毁。

3.什么叫明文，什么叫密文，为什么不允许在数据库里明文保存密码？

明文，即传输或保存为明文的密码。具体是指保存密码或网络传送密码的时候，用的是没有隐藏、直接显示的明文字符，而不是经过加密后的密文。

密文，即对明文进行加密后的报文。

数据库中不允许明文保存密码是为了防止信息泄露。

4.Cookie的失效时间怎么设定？最大允许存放多少字节？

使用cookie.setMaxAge()方法设定，最大字节根据浏览器不同而不同

Firefox和Safari允许cookie多达4097个字节，包括名（name）、值（value）和等号。

Opera允许cookie多达4096个字节，包括：名（name）、值（value）和等号。

Internet Explorer允许cookie多达4095个字节，包括：名（name）、值（value）和等号。

6.什么叫加盐？加盐能解决什么问题？通常的加盐方式有哪些？ 

加盐就是向明文中加入随机数，然后在生成MD5，这样一来即使明文相同，每次生成的MD5码也不同，如此就加大了暴力破解的难度。

加盐是为了应对这么一种情况：如果两个人或多个人的密码相同，那么通过相同的加密算法得到的是相同的结果。这样会造成哪些后果呢？首先，破解一个就有可能是相当于破一片密码。而且加入小明这个用户可以查看后台数据库，那么如果他观察到小红这个用户的密码跟自己的密码是一样的（虽然都是密文），那么，也就代表他们两个人的密码是相同的。所以他就可以用小红的身份进行登录了。

通常加盐方式有MD5加盐和Becrypt加盐。

7.什么叫MD5，MD5通常做什么用处，为什么MD5不可逆，用做密码加密的时候仍然可能会被解密？

MD5信息摘要算法，一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值（hash value），通常用于确保信息传输完整一致。

对于MD5的破解，实际上都属于【碰撞】。比如原文A通过MD5可以生成摘要M，我们并不需要把X还原成A，只需要找到原文B，生成同样的摘要M即可。一般的破解方法主要有：暴力碰撞：穷举法&字典法；时间和空间的折中：哈希链表&彩虹表法；差分攻击等。

8.拦截器是什么？为什么要配置拦截器？拦截器里通常应该校验什么，怎么做到统一配置拦截器，让必须登录才能使用的接口，判断用户未登录时，返回错误信息？

拦截器类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。开发者可以自己定义一些拦截器来实现特定的功能。拦截器通常用来校验用户登录信息，以及接口校验，通过在拦截器中判断是否携带token来判断用户是否登录。

10.什么是对称加密，什么是非对称加密？分别适用于什么场景？

对称加密与算法的加密和解密密钥相同，算法速度快，但在密钥交换环节容易出现泄密，主要用在大量文档主体的加密；

非对称加密与算法的加密和解密密钥不同，加解密的计算量大，但不存在密钥的交换问题，安全性好，主要用在数字签名，对称密钥的加密、数字封装等方面。

11.Token的构造规则是什么，怎么确认用户身份的，怎么保证Token被偷窃的问题？

当客户端请求页面时，服务器会生成一个随机数Token，并且将Token放置到session当中，然后将Token发给客户端（一般通过构造hidden表单）。下次客户端提交请求时，Token会随着表单一起提交到服务器端。在存储的时候把 token 进行对称加密存储，用时解开。将请求 URL、时间戳、token 三者进行合并加盐签名，服务端校验有效性。HTTPS 对 URL 进行判断。

12.Cookie是在Http的什么位置存放，Cookie里的键可以重复吗？

Cookie存放在Http的请求头中，Cookie里的键不能重复。

13.什么是session？什么是cookie？session和cookie有什么区别？什么场景适用于session？什么场景适用于cookie？

Session是另一种记录客户状态的机制，保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。

Cookie是由服务器端生成，发送给User-Agent,浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器。

cookie和session的区别如下：

1、session保存在服务器，客户端不知道其中的信息；cookie保存在客户端，服务器能够知道其中的信息。

2、session中保存的是对象，cookie中保存的是字符串。

3、session不能区分路径，同一个用户在访问一个网站期间，所有的session在任何一个地方都可以访问到。而cookie中如果设置了路径参数，那么同一个网站中不同路径下的cookie互相是访问不到的。

4、session需要借助cookie才能正常工作。如果客户端完全禁止cookie，session将失效。

应用场景如下：

1.session就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，

2.persistent cookies和session cookie的区别了，网上那些关于两者安全性的讨论也就一目了然了，session cookie针对某一次会话而言，会话结束session cookie也就随着消失了，而persistent cookie只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击，自然不如 session cookie安全了。

3.通常session cookie是不能跨窗口使用的，当新开了一个浏览器窗口进入相同页面时，系统会赋予一个新的sessionid，这样信息共享的目的就达不到了，可以先把sessionid保存在persistent cookie中，然后在新窗口中读出来，就可以得到上一个窗口SessionID了，这样通过session cookie和persistent cookie的结合就实现了跨窗口的session tracking（会话跟踪）。

明天计划完成的事情：开始任务六