项目拷打篇

一.问题概览

你的项目是如何实现短信登录和验证的

我们项目使用短信验证码登录，用户输入手机号后，我们生成验证码存入 Redis，并设置过期时间。用户登录时校验验证码，通过后注册或登录，生成一个 Token，作为用户身份标识。

我们将用户信息以 Token 为 Key 存入 Redis Hash，并设置有效期，前端拿到 Token 后每次请求时放入请求头，后端通过 Token 在 Redis 中获取用户信息并刷新有效期。

这一整套机制就是通过 Redis 替代传统 Session 实现了登录状态的管理，支持无状态、前后端分离的架构设计。

如何解决库存超卖问题

使用redis锁

如何实现安全与权限隔离

我们采用 RBAC 把权限从代码抽到数据，资源粒度落到 Method+URL 模式。登录颁发 JWT，请求经过 JWT 过滤器完成认证，再通过 URL→权限映射做授权决策；同时结合 AOP 注解在方法级做细粒度鉴权与审计，把用户权限从 Redis 缓存获取以保证性能。这样既支持 URL 级接口鉴权，也便于热更新与审计追踪。

订单ID你是怎么生成的

时间戳+序列号+数据库自增