今天完成的事情:

因为今天身体不适,学习的时间不多

看师兄的日报学习了一波token和拦截器

token:

   HTTP 是一种没有状态的协议，也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端，客户端使用用户名还有密码通过了身份验证，不过下回这个客户端再发送请求时候，还得再验证一下。

解决的方法就是，当用户请求登录的时候，如果没有问题，我们在服务端生成一条记录，这个记录里可以说明一下登录的用户是谁，然后把这条记录的 ID 号发送给客户端，客户端收到以后把这个 ID 号存储在 Cookie 里，下次这个用户再向服务端发送请求的时候，可以带着这个 Cookie ，这样服务端会验证一个这个 Cookie 里的信息，看看能不能在服务端这里找到对应的记录，如果可以，说明用户已经通过了身份验证，就把用户请求的数据返回给客户端。

上面说的就是 Session，我们需要在服务端存储为登录的用户生成的 Session ，这些 Session 可能会存储在内存，磁盘，或者数据库里。我们可能需要在服务端定期的去清理过期的 Session 。

基于 Token 的身份验证方法

使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：

客户端使用用户名跟密码请求登录

服务端收到请求，去验证用户名与密码

验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端

客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里

客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

拦截器:

SpringMVC的拦截器不同于spring的拦截器，SpringMVC具有统一的入口DispatcherServlet，所有的请求都通过DispatcherServlet，所以只需要在DispatcherServlet上做文章即可，DispatcherServlet也没有代理，同时SpringMVC管理的Controller也不有代理。

一、Servlet Filter与Spring interceptor的执行顺序

Filter有顺序吗？我们怎么控制filter的执行顺序。通过Tomcat的代码分析，servlet在Filter执行完成后才调用，如有多个filter怎么控制执行顺序，首先会想到在web.xml配置某个参数，例如order之类的，但查找一下一番，servlet并没有这个参数。试试filter Mapping的配置的先后顺序，果然有效，原来filter的执行顺序就考filter mapping在web.xml中的顺序。

spring interceptor也是这样的执行顺序，不过interceptor多一个配置参数order通过他也可以来实现interceptor的执行顺序。很多应用场景中，执行顺序还是重要的，比如cache和transaction interceptor的执行顺序，很显然cache应该在transaction之前，这样发现命中了就不用打开事务，如果transaction在前，每次都打开事务即使cache命中，这是一个无谓东动作。

二、利用springMVC的interceptor实现页面性能监控(Filter亦可)

调优第一步，找出耗时比较长的页面进行优化。利用interceptor能轻易搞定。interceptor提供了preHandle和postHandle以及afterCompletion三个方法。preHandle调用controller具体方法之前调用，postHandle完成具体方法之后调用，afterCompletion完成对页面的render以后调用，至此整个页面渲染完成。也就是说我们在preHandle记录开始的时间，在afterCompletion记录结束的时间，就可或者整个页面生成的时间。Spring自带StopWatch工具类来实现时间跟踪，关键一点interceptor不是线程安全的。我们需要借助threadlocal来实现线程安全。

三、SpringMVC 拦截器实现分析

SpringMVC的拦截器不同于Spring的拦截器，SpringMVC具有统一的入口DispatcherServlet，所有的请求都通过DispatcherServlet，所以只需要在DispatcherServlet上做文章即可，DispatcherServlet也没有代理，同时SpringMVC管理的Controller也不有代理。哪不难想到我们在执行controller之前做某些动作，执行完毕做某些动作，render完成做某些动作。SpringMVC的拦截器对应提供了三个preHandle，postHandle，afterCompletion方法。

明天计划的事情:

如果可以 希望能够改掉那个困扰了我5天的bug

然后开始尝试使用des对用户id进行加密

遇到的问题:

在学习token之后还是在看之前出bug的例子,其他的问题都解决了,但是@Autowired还是无法注入,明天打算向老大请教.....怼我吧.....

@Autowired
private UserService userService;

不知道DES如何生成token

收获:

学习了token与拦截器