電商項目 的業務邏輯與相關要點

個人博客網：https://wushaopei.github.io/    (你想要這里多有)

綜述：

1、在整個項目中，我們采用的是nginx+tomcat來部署的（面試官可能會問nginx是誰來部署的？如何部署的？nginx的執行流程、優點），nginx一方面做加載靜態資源的服務器，另一方面來做反向代理和負載均衡。因為該項目需要在多個環境中運行，我們利用了nginx的反向代理解決了不同環境同系統訪問地址不統一帶來的問題。

2、因為整個項目實現的功能較多，所以采用分布式的架構設計，整個項目包括后台管理系統、商城首頁系統、搜索系統、商品詳情頁系統、登錄系統、購物車系統、訂單系統等，這樣做的好處是使每個功能模塊獨立出來，降低了各系統之間的耦合度，增刪一個功能不會影響其他功能模塊。

項目介紹：

整個項目采用分布式的架構設計，包括登錄系統、搜索系統、購物車系統、訂單系統、支付系統等。整個項目采用nginx+tomcat來部署，nginx主要用來做反向代理和負載均衡。主要用redis來做登錄信息緩存，mysql做數據庫。自己參與了登錄系統的開發，包括注冊、單點登錄等功能模塊。

一、單點登錄（SSO系統）

• 單點登錄是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

1、單點登陸是使用redis同步機制，原理如下？

在redis中，用戶可以通過執行SLAVEOF命令或者設置slaveof選項，讓一個服務器去復制（replicate）另一個服務器，我們稱呼被復制的服務器為主服務器（master），而對主服務器進行復制的服務器則被稱為從服務器（slave）

2、關於單點登錄加密的辦法？

使用鍵盤鈎子攔截鍵盤輸入內容，防止被其他工具記錄，類似銀行網銀安全輸入控件。

為了保證每次加密的結果的不同（防止跨域提交或截取加密信息偽提交），每次加密的key的一部分由服務器端隨機生成，在頁面加載的時候有服務器端生成通過頁面js腳本傳遞給密碼輸入控件，密碼輸入控件根據控件內置的密碼和傳入的密碼進行加密（如DES），服務器端接受后再進行解密得到原密碼。

使用密碼插件可以有效防止密碼及管件信息在網絡上被截取，導致賬戶密碼丟失，保證服務器至用戶端的安全傳輸。

3、關於單點登錄Session共享的問題

之前實現的登錄和注冊是在同一個tomcat內部完成，而現在系統架構是每一個系統都是由一個團隊進行維護，每個系統都是單獨部署運行一個單獨的tomcat，所以，不能將用戶的登錄信息保存到session中（多個tomcat的session是不能共享的，即session共享問題），所以我們需要一個單獨的系統來維護用戶的登錄信息。

我們是這樣做之后，用戶去登錄頁面登錄，發送含有用戶信息的請求且會攜帶cookie去服務端數據庫查詢是否有該用戶，如果沒有提示用戶，如果有就把用戶信息保存到redis中，並生成一個token保存到cookie中。

注： 當前方式就是搭建共享的Session服務器

4、單點登錄系統的基本流程？

當用戶點擊登錄按鈕的時候，用戶輸入用戶名和密碼，檢驗用戶名是否在數據庫中存在，然后用戶名密碼是否正確。這里的密碼是用了spring的MD5加密技術。當全部成功后，將sessionId（也可以生成一個UUID）寫入cookie中供前端調用，寫入瀏覽器的cookie中，然后存入到redis中（key是sessionId，value是用戶信息），並設置有效期。

　　這里的cookie是設置了共同的name，所以不論是什么系統進行登錄，前端頁面都會存有這個name的cookie，也就實現了所有子系統都可以訪問到cookie。

　　當用戶登錄其他子系統時，先從cookie中獲取token信息（也就是sessionId），根據token信息獲取用戶信息。用戶每次與網站的交互，比如查看產品，則刷新一次redis的時間，重新設置有效期，這個效果是通過攔截器來實現的。

　　攔截器的攔截，在springMVC.xml中設置攔截的名稱。

登錄流程代碼：先寫cookie再寫redis.

 攔截器重置有效期：

web.xml部署攔截器：

登錄的處理流程：

1、登錄頁面提交用戶名密碼。

2、登錄成功后生成token。Token相當於原來的jsessionid，字符串，可以使用uuid。

3、把用戶信息保存到redis。Key就是token，value就是TbUser對象轉換成json。

4、使用String類型保存Session信息。可以使用“前綴:token”為key

5、設置key的過期時間。模擬Session的過期時間。一般半個小時。

6、把token寫入cookie中。

如何判斷是否登錄

1.從cookie中取token

2.取不到未登錄

3.取到token，到redis中查詢token是否過期

4.如果過期，為登錄狀態

5.沒有過期，登錄狀態

5、單點登錄之跨域問題？

將cookie存在一個公共的站點的頁面上就可以了,這里我們管那個站點叫主站S。

　　環境1:a.xxx.com需要跟b.xxx.com實現跨域,這種比較簡單,只需要設置cookie的域名關聯域就可以了 cookie.Domain = "xxx.com",這樣兩個域名間的cookie就可以互相訪問,實現跨域。【項目中使用的這種環境】

　　環境2:a.aaa.com需要跟b.bbb.com實現跨域,這種不同域名的情況下,想要實現就必須換種方式.

　　在這里我將引入第三者,s.sss.com這個站點,就是某個瀏覽器同時打開了這3個站點,我們訪問A站點,先判斷自身是否登錄,如果session為空,就重定向到S站點,判斷S站點上面是否有cookie,如果S站點上面也沒有cookie,則由S站點重定向到A站點的登錄頁.

　　這樣我們就實現了第一步,S站做的的就是隱藏在幕后,子站先判斷自己是否存在session,如果不存在,就重定向到主站S上面去驗證.

　　第二步,驗證登錄信息合法性.這里我引入token(令牌),網上有很多資料,描述token的傳遞,工作方式是這樣,A登錄成功,保存自身的session,重定向到S,S在自己站點保存一個session跟cookie,session保存token對象{tokenID,userName,startTime,endTime},cookie保存tokenID,tokenID是一個Guid,把token對象緩存在集合里面,另起一個線程,根據endTime(過期時間)來定期清理集合列表,重定向到A的時候再將tokenID傳遞過去,拿到tokenID后,進入驗證環節,S站有提供一個接口,根據tokenID獲取token對象,如果獲取到對象,且沒有失效,則tokenID合法,跳入index頁面.情況2,A登錄,直接打開B,這時候B自身沒有session,會主動請求主站,主站會返回cookieID(S站存在客戶端的cookie),這個時候再走驗證環節,如果通過,則B根據token對象創建自身的session,再跳入index。

6、單點登錄具體實現了什么功能？

•     去登陸頁面
•     提交登陸頁面
•     用戶名、密碼、驗證碼的校驗
•     錯誤信息的回顯
•     保存用戶到Session中
•     重定向到登陸之前的訪問頁面
•     Ajax跨域判斷用戶是否登陸

二、后台管理模塊

主要實現商品管理和商品規格參數管理，對商品和商品規格進行CRUD操作。在實現前台調用后台數據時，為了實現系統間的調用，便使用了HttpClient技術來實現此功能，在后台提供了需要調用的接口。（HttpClient介紹、工作原理、優缺點）。如果在后台對商品進行操作，為了使前台數據與后台數據實現同步，我們使用了ActiveMQ消息隊列機制實現商品同步功能（ActiveMQ介紹、工作原理、優缺點）。

三、購物車模塊

我們考慮了會員在未登錄和登錄兩種情況下把商品加入購物車，后台如何該保存商品信息。

【1】購物車實現邏輯

在用戶商品詳情頁點擊加入購物車的時候，我們用了登錄攔截器來判斷用戶是否登錄。如果沒有登錄，將商品信息保存到cookie中，當用戶登錄后，再把商品持久到數據庫中；但是考慮到cookie儲存大小（4k）的問題，還有當cookie儲存的數據越多就會影響響應速度，我們決定使用redis來緩存用戶在未登錄狀態下的商品信息（redis介紹、原理、優缺點），在redis中設置緩存生存時間（如何做到的？），如果用戶在規定時間內沒有登錄，數據便會自動刪除。如果用戶在規定時間內登錄了，便會通過ActiveMQ消息隊列機制將數據同步到數據庫中。

【2】購物車的實現邏輯

• 實現購車商品數據同步

1、要求用戶登錄。

2、把購物車商品列表保存到數據庫中。推薦使用redis。

3、Key：用戶id，value：購車商品列表。推薦使用hash，hash的field：商品id，value：商品信息。

4、在用戶未登錄情況下寫cookie。當用戶登錄后，訪問購物車列表時，

a)把cookie中的數據同步到redis。

b)把cookie中的數據刪除

c)展示購物車列表時以redis為准。

d)如果redis中有數據cookie中也有數據，需要做數據合並。相同商品數量相加，不同商品添加一個新商品。

5、如果用戶登錄狀態，展示購物車列表以redis為准。如果未登錄，以cookie為准。

【3】購物車能放多少數據？

購物車放99件，同一家拍貨最多50件不同物品一單，多出重新拍。主要是為了防止部分買家無限制囤貨以及保障網站的正常運行，以避免對購物車對買家以及網站運行造成不利影響。

四、首頁功能模塊的優化

項目中首頁的大廣告和商品類目這些不需要經常修改的數據，如果用戶每次刷新頁面的時候都要去數據庫中查詢，這樣會浪費資源和增加數據庫的壓力。

像解決思路：

所以我們想當把這些數據添加到一個緩存中，用戶去訪問的時候，先去緩存中命中，如果命中失敗，再去數據庫中查詢，然后把查詢到的數據添加到緩存中。

具體方案：

目前比較主流的緩存技術有Redis和Memcached，單純從緩存命中的角度來說，Memcached要高一些，可Redis和Memcache的差距其實並不大，但Redis提供的功能更加強大一些，讀寫速度也很快。所以我們選用了Redis來緩存數據。

redis把數據以key—value的形式緩存到內存中，並提供了多種數據存儲類型（String、Hash、list、Set、SortedSet），還自身提供了持久化功能（2種：RDB、AOF），還可以把數據備份到磁盤中（redis的SAVE命令用於創建當前 redis數據庫的備份），防止redis宕機時的數據丟失。（會周期性的把更新的數據寫入磁盤或者把修改操作寫入追加的記錄文件，並且在此基礎上實現了master-slave(主從)同步）。我們使用的是spring與redis的java的客戶端jedis進行整合，可以利用jedis做分片式集群，解決了redis內存受限的問題。

五、分布式系統的管理

【1】管理系統的多模塊調用

在后台管理系統中采用了Maven的多模塊化的管理，其中采用了水平切分的方式（垂直與水平划分的區別：垂直：功能模塊明確，層次不夠清晰，代碼重用性差。水平：層次清晰，代碼重用性高，易於獨立維護。），將各層分層開發，這樣做的好處是代碼重用性高，層次清晰，易於獨立維護。系統內部接口調用采用Httpclient（Dubbo），接口提供端采用RESTful風格的接口定義（一種軟件架構風格，設計風格而不是標准，只是提供了一組設計原則和約束條件）

【2】系統之間的服務調用：

系統之間的通知機制采用MQ的方式，使用ActiveMQ的實現，使用了ActiveMQ的消息訂閱模式的消息機；

【3】關於部署：

采用了nginx+tomcat的模式，其中nginx的作用一方面是做反向代理、負載均衡、另一方面是做圖片等靜態資源的服務器。

六、支付模塊

【1】短信支付驗證用到是哪一家的？

使用網易雲信提供的短信發送功能。

【2】支付寶支付有多少種支付？

• 快捷支付  —— 銀行卡支付
• 支付寶余額付款 —— 支付寶的余額支付
• 網點付款 —— 線下合作網點（商店等）付款
• 消費卡付款 —— 手機卡完成付款
• 找人代付 —— 購物后，指定別人完成網上付款

七、跨域請求的問題

1、如何解決了瀏覽器訪問當前頁面去加載后台系統數據出現的跨域問題

因為項目是采用分布式架構設計的，各模塊之間是相互獨立的，而各模塊的訪問路徑又是不同的，所以當跨域請求數據的時候會遇到跨域受限的問題。比如當用戶首次訪問該網站首頁時，首頁頁面會異步請求后台管理系統加載商品的類目，這是就會出現跨域受限的問題，以前開發時，如果在本模塊內，我們是通過ajax異步請求數據的，但ajax不支持跨域，所以用ajax無法解決跨域請求數據的問題。

2、瀏覽器跨域問題的解決方法

跨域是指從一個域名的網頁去請求另一個域名的資源。瀏覽器出於安全的考慮，不允許不同源的請求

JSONP解決AJAX跨域問題：

JSONP是服務器與客戶端跨源通信的常用方法。最大特點就是簡單適用，老式瀏覽器全部支持，服務器改造非常小。

它的基本思想是，網頁通過添加一個<script>元素，向服務器請求JSON數據，這種做法不受同源政策限制；服務器收到請求后，將數據放在一個指定名字的回調函數里傳回來。

我們可以使用jsonp來解決這個問題的。jsonp通過script標簽的src可以跨域請求的特性，加載資源，將加載的資源（通過一個方法名將數據進行包裹）當做是js腳本解析，定義一個回調函數，獲取傳入的數據。我們使用jsonp是因為jsonp的兼容性比較好，並且在請求完畢后可以通過callback的方式回傳結果。但jsonp有一個缺點是只支持get請求而不支持post等其他類型的http請求。

3、其他系統該如何調用后台系統的數據？

我們可以發送http請求來訪問后台數據，我們想到的是使用HttpClient(Dubbo)來解決此問題，因為HttpClient可以使用java代碼模擬瀏覽器發送Http請求。

向外拋出一個接口，執行過程是：

1. 創建HttpClient對象；
2. 構建請求對象post、get請求；
3. 如果有參數，就去構造請求參數，get使用URIBuilder去構造請求參數，post構建表單實體，把表單實體放入到post請求對象中。
4. 執行請求，並且接受響應；
5. 處理響應結果；

釋放連接。無論執行方法是否成功，都必須釋放連接。

 

八、忘記密碼找回密碼的流程？

在注冊的時候會設置找回密碼的問題和答案，在非登錄狀態忘記密碼后，需要通過回答問題和答案找回密碼。

根據用戶名找到用戶設置的問題，然后回答完問題后，生成一個UUID，緩存在redis中設置有效期，並返回這個UUID。

然后前端將這個UUID和新密碼傳入重置密碼的函數，將傳入的UUID和之前緩存在redis中的UUID進行比較，如果相同，則對新密碼進行md5加密后更新到數據庫中。

九、為什么要選用redis？

由於每個系統都單獨部署運行一個單獨的tomcat，所以，不能將用戶的登錄信息保存到session中（多個tomcat的session不共享），所以選用redis來緩存登錄信息，當用戶登錄時，將用戶登錄信息保存到redis中，並生成一個token保存到cookie中

十、前端是怎么訪問圖片呢？是直接訪問圖片服務器？還是訪問后台？

前端是獲取后台傳遞的圖片地址，實現圖片訪問的。只需要知道圖片的網絡地址就可以訪問到圖片了。

十一、七牛雲和fastdfs有什么區別？在集成過程中有什么要注意的嗎？

七牛雲具有 高並發、高可用、易擴展、低成本的優點，而FastDFS的成本相對較高。

·  上傳憑證：上傳文件的時候，需要把uploadToken通過http post傳給七牛服務器才能完成身份驗證。

·  管理：如音視頻轉碼，視頻加水印，持久化處理等操作時，需要在調用api接口是，在http header 里加入Authorization : QBox AccessToken

·  下載：如果空間為私有訪問時，下載文件需要下載憑證，就是在http get url 后面加入token參數

十二 、電商項目中是如何解決高並發和高可用的？

1.頁面靜態化

2.fastDFS圖片服務器

3.數據緩存服務器

4.數據庫集群、庫表散列（數據庫的各種優化、數據庫的拆分）

5.負載均衡