Javaweb

　　一、原生jdbc操作数据库流程
　　第一步：Class。forName（）加载数据库连接驱动；
　　第二步：DriverManager。getConnection（）获取数据连接对象；
　　第三步：根据SQL获取sql会话对象，有2种方式Statement、PreparedStatement；
　　第四步：执行SQL处理结果集，执行SQL前如果有参数值就设置参数值setXXX（）；
　　第五步：关闭结果集、关闭会话、关闭连接
　　二、为什么要使用PreparedStatement
　　1、PreparedStatement接口继承Statement，PreparedStatement实例包含已编译的SQL语句，所以其执行速度要快于Statement对象。
　　2、作为Statement的子类，PreparedStatement继承了Statement的所有功能。三种方
　　法execute、executeQuery和executeUpdate已被更改以使之不再需要参数。
　　3、在JDBC应用中，在任何时候都不要使用Statement，原因如下：
　　一、代码的可读性和可维护性。Statement需要不断地拼接，而PreparedStatement不会。
　　二、PreparedStatement尽最大可能提高性能。DB有缓存机制，相同的预编译语句再次被调用不会再次需要编译。
　　三、最重要的一点是极大地提高了安全性。Statement容易被SQL注入，而PreparedStatementc传入的内容不会和sql语句发生任何匹配关系。
　　三、关系数据库中连接池的机制是什么
　　前提：为数据库连接建立一个缓冲池。
　　1：从连接池获取或创建可用连接
　　2：使用完毕之后，把连接返回给连接池
　　3：在系统关闭前，断开所有连接并释放连接占用的系统资源
　　4：能够处理无效连接，限制连接池中的连接总数不低于或者不超过某个限定值。
　　其中有几个概念需要大家理解：
　　最小连接数是连接池一直保持的数据连接。如果应用程序对数据库连接的使用量不大，将会有大量的数据库连接资源被浪费掉。
　　最大连接数是连接池能申请的最大连接数。如果数据连接请求超过此数，后面的数据连接请求将被加入到等待队列中，这会影响之后的数据库操作。
　　如果最小连接数与最大连接数相差太大，那么，最先的连接请求将会获利，之后超过最小连接数量的连接请求等价于建立一个新的数据库连接。不过，这些大于最小连接数的数据库连接在使用完不会马上被释放，它将被放到连接池中等待重复使用或是空闲超时后被释放。
　　上面的解释，可以这样理解：数据库池连接数量一直保持一个不少于最小连接数的数量，当数量不够时，数据库会创建一些连接，直到一个最大连接数，之后连接数据库就会等待。
　　四、http的长连接和短连接
　　HTTP协议有HTTP1。0版本和HTTP1。1版本。HTTP1。1默认保持长连接（HTTPpersistentconnection，也翻译为持久连接），数据传输完成了保持TCP连接不断开（不发RST包、不四次握手），等待在同域名下继续用这个通道传输数据；相反的就是短连接。
　　在HTTP1。0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，任务结束就中断连接。从HTTP1。1起，默认使用的是长连接，用以保持连接特性。
　　五、HTTP1。1与HTTP1。0的区别
　　可扩展性
　　a）HTTP1。1在消息中增加版本号，用于兼容性判断。
　　b）HTTP1。1增加了OPTIONS方法，它允许客户端获取一个服务器支持的方法列表。
　　c）为了与未来的协议规范兼容，HTTP1。1在请求消息中包含了Upgrade头域，通过该头域，客户端可以让服务器知道它能够支持的其它备用通信协议，服务器可以据此进行协议切换，使用备用协议与客户端进行通信。
　　缓存
　　在HTTP1。0中，使用Expire头域来判断资源的fresh或stale，并使用条件请求（conditionalrequest）来判断资源是否仍有效。HTTP1。1在1。0的基础上加入了一些cache的新特性，当缓存对象的Age超过Expire时变stale对象，cache不需要直接抛弃stale对象，而是与源服务器进行重新激活（revalidation）。
　　带宽优化
　　HTTP1。0中，存在一些浪费带宽的现象，例如客户端只是需要某个对象的一部分，而服务器却将整个对象送过来了。例如，客户端只需要显示一个文档的部分内容，又比如下载大文件时需要支持断点续传功能，而不是在发生断连后不得不重新下载完整的包。HTTP1。1中在请求消息中引入了range头域，它允许只请求资源的某个部分。在响应消息中ContentRange头域声明了返回的这部分对象的偏移值和长度。如果服务器相应地返回了对象所请求范围的内容，则响应码为206（PartialContent），它可以防止Cache将响应误以为是完整的一个对象。另外一种情况是请求消息中如果包含比较大的实体内容，但不确定服务器是否能够接收该请求（如是否有权限），此时若贸然发出带实体的请求，如果被拒绝也会浪费带宽。HTTP1。1加入了一个新的状态码100（Continue）。客户端事先发送一个只带头域的请求，如果服务器因为权限拒绝了请求，就回送响应码401（Unauthorized）；如果服务器接收此请求就回送响应码100，客户端就可以继续发送带实体的完整请求了。注意，HTTP1。0的客户端不支持100响应码。但可以让客户端在请求消息中加入Expect头域，并将它的值设置为100continue。节省带宽资源的一个非常有效的做法就是压缩要传送的数据。ContentEncoding是对消息进行端到端（endtoend）的编码，它可能是资源在服务器上保存的固有格式（如jpeg图片格式）；在请求消息中加入AcceptEncoding头域，它可以告诉服务器客户端能够解码的编码方式
　　长连接
　　HTTP1。0规定浏览器与服务器只保持短暂的连接，浏览器的每次请求都需要与服务器建立一个TCP连接，服务器完成请求处理后立即断开TCP连接，服务器不跟踪每个客户也不记录过去的请求。此外，由于大多数网页的流量都比较小，一次TCP连接很少能通过slowstart区，不利于提高带宽利用率。HTTP1。1支持长连接（PersistentConnection）和请求的流水线（Pipelining）处理，在一个TCP连接上可以传送多个HTTP请求和响应，减少了建立和关闭连接的消耗和延迟。例如：一个包含有许多图像的网页文件的多个请求和应答可以在一个连接中传输，但每个单独的网页文件的请求和应答仍然需要使用各自的连接。
　　HTTP1。1还允许客户端不用等待上一次请求结果返回，就可以发出下一次请求，但服务器端必须按照接收到客户端请求的先后顺序依次回送响应结果，以保证客户端能够区分出每次请求的响应内容，这样也显著地减少了整个下载过程所需要的时间
　　消息传递
　　HTTP消息中可以包含任意长度的实体，通常它们使用ContentLength来给出消息结束标志。但是，对于很多动态产生的响应，只能通过缓冲完整的消息来判断消息的大小，但这样做会加大延迟。如果不使用长连接，还可以通过连接关闭的信号来判定一个消息的结束。HTTP1。1中引入了Chunkedtransfercoding来解决上面这个问题，发送方将消息分割成若干个任意大小的数据块，每个数据块在发送时都会附上块的长度，最后用一个零长度的块作为消息结束的标志。这种方法允许发送方只缓冲消息的一个片段，避免缓冲整个消息带来的过载在HTTP1。0中，有一个ContentMD5的头域，要计算这个头域需要发送方缓冲完整个消息后才能进行。而HTTP1。1中，采用chunked分块传递的消息在最后一个块（零长度）结束之后会再传递一个拖尾（trailer），它包含一个或多个头域，这些头域是发送方在传递完所有块之后再计算出值的。发送方会在消息中包含一个Trailer头域告诉接收方这个拖尾的存在。
　　Host头域
　　在HTTP1。0中认为每台服务器都绑定一个唯一的IP地址，因此，请求消息中的URL并没有传递主机名（hostname）。但随着虚拟主机技术的发展，在一台物理服务器上可以存在多个虚拟主机（MultihomedWebServers），并且它们共享一个IP地址。HTTP1。1的请求消息和响应消息都应支持Host头域，且请求消息中如果没有Host头域会报告一个错误（400BadRequest）。此外，服务器应该接受以绝对路径标记的资源请求。
　　错误提示
　　HTTP1。0中只定义了16个状态响应码，对错误或警告的提示不够具体。HTTP1。1引入了一个Warning头域，增加对错误或警告信息的描述。此外，在HTTP1。1中新增了24个状态响应码，如409（Conict）表示请求的资源与资源的当前状态发生冲突；410（Gone）表示服务器上的某个资源被永久性的删除
　　六、http常见的状态码有哪些
　　200OK客户端请求成功
　　301MovedPermanently（永久移除），请求的URL已移走。Response中应该包含一个LocationURL，说明资源现在所处的位置
　　302found重定向
　　400BadRequest客户端请求有语法错误，不能被服务器所理解
　　401Unauthorized请求未经授权，这个状态代码必须和WWWAuthenticate报头域一起使用
　　403Forbidden服务器收到请求，但是拒绝提供服务
　　404NotFound请求资源不存在，eg：输入了错误的URL
　　500InternalServerError服务器发生不可预期的错误
　　503ServerUnavailable服务器当前不能处理客户端的请求，一段时间后可能恢复正常
　　七、GET和POST的区别
　　从表面现象上面看GET和POST的区别：
　　1。GET请求的数据会附在URL之后（就是把数据放置在HTTP协议头中），以？分割URL和传输数据，参数之间以相连，如：login。action？namezhagnsanpassword123456。POST把提交的数据则放置在是HTTP包的包体中。
　　2。GET方式提交的数据最多只能是1024字节，理论上POST没有限制，可传较大量的数据。其实这样说是错误的，不准确的：GET方式提交的数据最多只能是1024字节，因为GET是通过URL提交数据，那么GET可提交的数据量就跟URL的长度有直接关系了。而实际上，URL不存在参数上限的问题，HTTP协议规范没有对URL长度进行限制。这个限制是特定的浏览器及服务器对它的限制。IE对URL长度的限制是2083字节（2K35）。对于其他浏览器，如Netscape、FireFox等，理论上没有长度限制，其限制取决于操作系统的支持。
　　3。POST的安全性要比GET的安全性高。注意：这里所说的安全性和上面GET提到的安全不是同个概念。上面安全的含义仅仅是不作数据修改，而这里安全的含义是真正的Security的含义，比如：通过GET提交数据，用户名和密码将明文出现在URL上，因为（1）登录页面有可能被浏览器缓存，（2）其他人查看浏览器的历史记录，那么别人就可以拿到你的账号和密码了，除此之外，使用GET提交数据还可能会造成Crosssiterequestforgery攻击。Get是向服务器发索取数据的一种请求，而Post是向服务器提交数据的一种请求，在FORM（表单）中，Method默认为GET，实质上，GET和POST只是发送机制不同，并不是一个取一个发！
　　八、http中重定向和请求转发的区别
　　本质区别：转发是服务器行为，重定向是客户端行为。
　　重定向特点：两次请求，浏览器地址发生变化，可以访问自己web之外的资源，传输的数据会丢失。
　　请求转发特点：一次强求，浏览器地址不变，访问的是自己本身的web资源，传输的数据不会丢失
　　九、Cookie和Session的区别
　　Cookie是web服务器发送给浏览器的一块信息，浏览器会在本地一个文件中给每个web服务器存储cookie。以后浏览器再给特定的web服务器发送请求时，同时会发送所有为该服务器存储的cookie。Session是存储在web服务器端的一块信息。session对象存储特定用户会话所需的属性及配置信息。当用户在应用程序的Web页之间跳转时，存储在Session对象中的变量将不会丢失，而是在整个用户会话中一直存在下。
　　Cookie和session的不同点：
　　1、无论客户端做怎样的设置，session都能够正常工作。当客户端禁用cookie时将无法使用cookie。
　　2、在存储的数据量方面：session能够存储任意的java对象，cookie只能存储String类型的对象
　　十、session共享怎么做的（分布式如何实现session共享）
　　问题描述：一个用户在登录成功以后会把用户信息存储在session当中，这时session所在服务器为server1，那么用户在session失效之前如果再次使用app，那么可能会被路由到server2，这时问题来了，server没有该用户的session，所以需要用户重新登录，这时的用户体验会非常不好，所以我们想如何实现多台server之间共享session，让用户状态得以保存。
　　1、服务器实现的session复制或session共享，这类型的共享session是和服务器紧密相关的，比如webSphere或JBOSS在搭建集群时候可以配置实现session复制或session共享，但是这种方式有一个致命的缺点，就是不好扩展和移植，比如我们更换服务器，那么就要修改服务器配置。
　　2、利用成熟的技术做session复制，比如12306使用的gemre，比如常见的内存数据库如redis或memorycache，这类方案虽然比较普适，但是严重依赖于第三方，这样当第三方服务器出现问题的时候，那么将是应用的灾难。
　　3、将session维护在客户端，很容易想到就是利用cookie，但是客户端存在风险，数据不安全，而且可以存放的数据量比较小，所以将session维护在客户端还要对session中的信息加密。我们实现的方案可以说是第二种方案和第三种方案的合体，可以利用gemre实现session复制共享，还可以将session维护在redis中实现session共享，同时可以将session维护在客户端的cookie中，但是前提是数据要加密。
　　这三种方式可以迅速切换，而不影响应用正常执行。我们在实践中，首选gemre或者redis作为session共享的载体，一旦session不稳定出现问题的时候，可以紧急切换cookie维护session作为备用，不影响应用提供服务。
　　这里主要讲解redis和cookie方案，gemre比较复杂大家可以自行查看gemre工作原理。利用redis做session共享，首先需要与业务逻辑代码解耦，不然session共享将没有意义，其次支持动态切换到客户端cookie模式。redis的方案是，重写服务器中的HttpSession和HttpServletRequest，首先实现HttpSession接口，重写session的所有方法，将session以hash值的方式存在redis中，一个session的key就是sessionID，setAtrribute重写之后就是更新redis中的数据，getAttribute重写之后就是获取redis中的数据，等等需要将HttpSession的接口一一实现实现了HttpSesson，那么我们先将该session类叫做MySession（当然实践中不是这么命名的），当MySession出现之后问题才开始，怎么能在不影响业务逻辑代码的情况下，还能让原本的request。getSession（）获取到的是MySession，而不是服务器原生的session。这里，我决定重写服务器的HttpServletRequet，这里先称为MyRequest，但是这可不是单纯的重写，我需要在原生的request基础上重写，于是我决定在lter中，实现request的偷梁换柱，我的思路是这样的，MyRequest的构建器，必须以request作为参数，于是我在lter中将服务器原生的request（也有可能是框架封装过的request），当做参数new出来一个MyRequest，并且MyRequest也实现了HttpServletRequest接口，其实就是对原生request的一个增强，这里主要重写了几个request的方法，但是最重要的是重写了request。getSession（），写到这里大家应该都明白为什么重写这个方法了吧，当然是为了获取MySession，于是这样就在lter中，偷偷的将原生的request换成MyRequest了，然后再将替换过的request传入chan。doFilter（），这样lter时候的代码都使用的是MyRequest了，同时对业务代码是透明的，业务代码获取session的方法仍然是request。getSession（），但其实获取到的已经是MySession了，这样对session的操作已经变成了对redis的操作。这样实现的好处有两个，第一开发人员不需要对session共享做任何关注，session共享对用户是透明的；第二，lter是可配置的，通过lter的方式可以将session共享做成一项可插拔的功能，没有任何侵入性。这个时候已经实现了一套可插拔的session共享的框架了，但是我们想到如果redis服务出了问题，这时我们该怎么办呢，于是我们延续redis的想法，想到可以将session维护在客户端内（加密的cookie），当然实现方法还是一样的，我们重写HttpSession接口，实现其所有方法，比如setAttribute就是写入cookie，getAttribute就是读取cookie，我们可以将重写的session称作MySession2，这时怎么让开发人员透明的获取到MySession2呢，实现方法还是在lter内偷梁换柱，在MyRequest加一个判断，读取sessionType配置，如果sessionType是redis的，那么getSession的时候获取到的是MySession，如果sessionType是coolie的，那么getSession的时候获取到的是MySession2，以此类推，用同样的方法就可以获取到MySession3，4，5，6等等。这样两种方式都有了，那么我们怎实现两种session共享方式的快速切换呢，刚刚我提到一个sessionType，这是用来决定获取到session的类型的，只要变换sessionType就能实现两种session共享方式的切换，但是sessionType必须对所有的服务器都是一致的，如果不一致那将会出现比较严重的问题，我们目前是将sessionType维护在环境变量里，如果要切换sessionType就要重启每一台服务器，完成session共享的转换，但是当服务器太多的时候将是一种灾难。而且重启服务意味着服务的中断，所以这样的方式只适合服务器规模比较小，而且用户量比较少的情况，当服务器太多的时候，务必需要一种协调技术，能够让服务器能够及时获取切换的通知。基于这样的原因，我们选用zookeeper作为配置平台，每一台服务器都会订阅zookeeper上的配置，当我们切换sessionType之后，所有服务器都会订阅到修改之后的配置，那么切换就会立即生效，当然可能会有短暂的时间延迟，但这是可以接受的。
　　十一、在单点登录中，如果cookie被禁用了怎么办
　　单点登录的原理是后端生成一个sessionID，然后设置到cookie，后面的所有请求浏览器都会带上cookie，然后服务端从cookie里获取sessionID，再查询到用户信息。所以，保持登录的关键不是cookie，而是通过cookie保存和传输的sessionID，其本质是能获取用户信息的数据。除了cookie，还通常使用HTTP请求头来传输。但是这个请求头浏览器不会像cookie一样自动携带，需要手工处理。
　　十二、什么是jsp，什么是Servlet？jsp和Servlet有什么区别
　　jsp本质上就是一个Servlet，它是Servlet的一种特殊形式（由SUN公司推出），每个jsp页面都是一个servlet实例。Servlet是由Java提供用于开发web服务器应用程序的一个组件，运行在服务端，由servlet容器管理，用来生成动态内容。一个servlet实例是实现了特殊接口Servlet的Java类，所有自定义的servlet均必须实现Servlet接口。
　　区别：
　　jsp是html页面中内嵌的Java代码，侧重页面显示；
　　Servlet是html代码和Java代码分离，侧重逻辑控制，mvc设计思想中jsp位于视图层，servlet位于控制层。
　　JVM只能识别Java类，并不能识别jsp代码！web容器收到以。jsp为扩展名的url请求时，会将访问请求交给tomcat中jsp引擎处理，每个jsp页面第一次被访问时，jsp引擎将jsp代码解释为一个servlet源程序，接着编译servlet源程序生成。class文件，再有web容器servlet引擎去装载执行servlet程序，实现页面交互。
　　十三、jsp有哪些域对象和内置对象及他们的作用
　　四大域对象：
　　（1）pageContextpage域指当前页面，在当前jsp页面有效，跳到其它页面失效
　　（2）requestrequest域指一次请求范围内有效，从http请求到服务器处理结束，返回响应的整个过程。在这个过程中使用forward（请求转发）方式跳转多个jsp，在这些页面里你都可以使用这个变量
　　（3）sessionsession域指当前会话有效范围，浏览器从打开到关闭过程中，转发、重定向均可以使用
　　（4）applicationcontext域指只能在同一个web中使用，服务器未关闭或者重启，数据就有效
　　十四、什么是xml，使用xml的优缺点，xml的解析器有哪几种，分别有什么区别
　　xml是一种可扩展性标记语言，支持自定义标签（使用前必须预定义）使用DTD和XMLSchema标准化XML结构
　　优点：用于配置文件，格式统一，符合标准；用于在互不兼容的系统间交互数据，共享数据方便；
　　缺点：xml文件格式复杂，数据传输占流量，服务端和客户端解析xml文件占用大量资源且不易维护
　　Xml常用解析器有2种，分别是：DOM和SAX；
　　主要区别在于它们解析xml文档的方式不同。使用DOM解析，xml文档以DOM树形结构加载入内存，而SAX采用的是事件模型，
　　十五、对ajax的认识
　　Ajax是一种创建交互式网页应用的的网页开发技术；AsynchronousJavaScriptandXML的缩写。
　　Ajax的优势：
　　通过异步模式，提升了用户体验。
　　优化了浏览器和服务器之间的传输，减少不必要的数据往返，减少了带宽占用。
　　Ajax引擎在客户端运行，承担了一部分本来由服务器承担的工作，从而减少了大用户量下的服务器负载。
　　Ajax的最大特点：
　　可以实现局部刷新，在不更新整个页面的前提下维护数据，提升用户体验度。
　　十六、jsonp原理
　　JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中，有一个很重要的安全性限制，被称为SameOriginPolicy（同源策略）。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制，即JavaScript只能访问与包含它的文档在同一域下的内容。JavaScript这个安全策略在进行多iframe或多窗口编程、以及Ajax编程时显得尤为重要。根据这个策略，在baidu。com下的页面中包含的JavaScript代码，不能访问在google。com域名下的页面内容；甚至不同的子域名之间的页面也不能通过JavaScript代码互相访问。对于Ajax的影响在于，通过XMLHttpRequest实现的Ajax请求，不能向不同的域提交请求，例如，在abc。example。com下的页面，不能向def。example。com提交Ajax请求，等等。然而，当进行一些比较深入的前端编程的时候，不可避免地需要进行跨域操作，这时候同源策略就显得过于苛刻。JSONP跨域GET请求是一个常用的解决方案，下面我们来看一下JSONP跨域是如何实现的，并且探讨下JSONP跨域的原理。jsonp的最基本的原理是：动态添加一个标签，使用script标签的src属性没有跨域的限制的特点实现跨域。首先在客户端注册一个callback，然后把callback的名字传给服务器。此时，服务器先生成json数据。然后以javascript语法的方式，生成一个function，function名字就是传递上来的参数jsonp。最后将json数据直接以入参的方式，放置到function中，这样就生成了一段js语法的文档，返回给客户端。客户端浏览器，解析script标签，并执行返回的javascript文档，此时数据作为参数，传入到了客户端预先定义好的callback函数里。
　　十七、谈谈你对restful的理解以及在项目中的使用
　　一种软件架构风格、设计风格，而不是标准，只是提供了一组设计原则和约束条件。它主要用于客户端和服务器交互类的软件。REST指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是RESTful。它结构清晰、符合标准、易于理解、扩展方便，所以正得到越来越多网站的采用。给大家推荐如下一篇博客，该博客从多个维度讲解了什么是Restful并且给了Restful风格样式的API接口。
　　十八、什么是webService
　　WebService是一种跨编程语言和跨操作系统平台的远程调用技术。所谓跨编程语言和跨操作平台，就是说服务端程序采用java编写，客户端程序则可以采用其他编程语言编写，反之亦然！跨操作系统平台则是指服务端程序和户端程序可以在不同的操作系统上。
　　十九、常见的远程调用技术
　　RMI是java语言本身提供的远程通讯协议，稳定高效，是EJB的基础。但它只能用于JAVA程序之间的通讯。Hessian和Burlap是caucho公司提供的开源协议，基于HTTP传输，服务端不用开防火墙端口。协议的规范公开，可以用于任意语言。跨平台有点小问题。Httpinvoker是SpringFramework提供的远程通讯协议，只能用于JAVA程序间的通讯，且服务端和客户端必须使用SpringFramework。Webservice是连接异构系统或异构语言的首选协议，它使用SOAP形式通讯，可以用于任何语言，目前的许多开发工具对其的支持也很好。
　　效率相比：RMIHttpinvokerHessianBurlapwebservice。