暗夜御林 – 第2页

移动端列表页操作优化

大纲如下
方案一：PHP ＋ ajax方式
tab切换使用PHP判断
第一页数据PHP获取，输出
当前页面滚动到底部，ajax加载后续数据

方案二：纯ajax方式
tab切换也使用加载
默认加载第一页数据
滚动到屏幕底部，加载下一页

方案三：本地存储缓存列表
同纯ajax加载方式
点击详情页的时候，保存当前状态
屏幕滚动位置
当前列表页数据
当前页码
初始化时，如果本地存储有数据
恢复相应数据（列表页、滚动位置、页码等）
删除本地存储数据

对比总结

优化方案
纯ajax处理
每次ajax请求的时候，将请求参数附加到当前URL上
window.location.replaceState
点击内页，本地存储中存储当前滚动条滚动位置
初始化的时候，读取url中的请求参数进行请求
page如果不是第一页，则合并请求，修改limit
读取本地存储中的滚动位置，js滚动

常见JS写法问题
PHP和JS代码混合
列表页数据统一，不要一部分PHP，一部分JS
在JS中，到处有PHP输出的内容
污染全局，各种变量，函数定义
到处有监听事件的代码，同一个事件可能都有几个地方
JS使用样式定义的class或者ID
代码耦合严重，全都堆积在一起
JS文件未压缩

如何配置测试环境，支持多分支开发

标签：运维测试环境搭建 apache

编写：袁亮
时间：2016-09-05
说明：如何配置测试环境，支持多分支开发

一、目的

1、业务开发，多人合作的时候，需要开启多个分支
2、每个分支的开发、调试、访问需要能跟其他分支独立

二、分支独立需要考虑如下问题

1、需要配置独立的访问规则，来支持各个分支
    要求：访问规格更改不需要改动程序
2、配置文件，每个分支可以自行配置，也可以使用通用的
    包含配置：
        数据库、缓存、静态文件等等
    解决方案：
        SetEnv CI_ENV development
        development配置目录不要放在svn里，通过svn ignore忽略
3、图片、文件上传
    解决办法：所有上传，走统一的接口，返回上传之后的地址即可，各个分支一样
4、api接口
    解决办法：在各自分支里，调用不同的api分支

三、访问规则配置方案

1、方案一：
    实施：将分支名以目录的形式放在测试hosts之后，比如shopdev的配置
    优点：新建分支很简单，在相应目录下建个分支目录即可
    缺点：因为多了一层目录，会导致整个的访问规则都不一样了，代码中需要做相应的兼容判断，比如出现这种：
        http://shopdev.ci123.com/svn/yungou/webroot/index_yiqigou.php/item-5287.html?store_id=120&share_uid=406259
        或者直接/目录开头的访问等等

2、方案二：
    实施：将分支名以泛域名解析的形式，隐藏到hosts里
    优点：对程序不用做任何改动，访问规则完全兼容（ps:代码里写死了绝路路径的这种自己挖坑的另算）
    缺点：测试域名一般不是实际解析的域名，也意味着没有走DNS解析的过程，只能通过hosts来实现
        而hosts并不具备解析功能，隐藏泛解析这种hosts是做不了的，只能每个分支自己加hosts
        ps：如果嫌加hosts麻烦，可以考虑将测试域名做实际解析
            或者在公司内部自建DNS（bind），缓存非测试域名，测试域名自己做解析
            比较麻烦，没太大意义，暂时不考虑
    其他:
        直接使用nginx+fastcgi会更简单，只是我们使用的apache为主，因此是配置的nginx+apache的方式

四、方案二实施

1、nginx 配置泛域名解析
    server_name通配符即可

2、apache支持泛域名解析（rewrite方式）
    1.1 ServerAlias 通配符实现泛解析
    1.2 rewrite 实现将分支名转为相应的目录名
    1.3 框架本身的rewrite重写
    1.4 静态文件rewrite重写

3、hosts 处理
    需要使用的分支，自行添加hosts

五、yungou.ws测试机最终使用

1、svn 创建分支，checkout到/opt/ci123/www/html/seller_shop下
    ps：分支名只支持大小写字母、数组、_组成的字符串
2、本地添加hosts
    192.168.0.249 分支名.yungou.ws
3、浏览器访问 （一些老旧浏览器需要强刷或者重启）
    分支名.yungou.ws

六、apache rewrite 概述

RewriteEngine On

# 将所有非static静态文件的请求，全部达到webroot的index中，框架本身的rewrite要求，将分支名嵌入进去
RewriteCond %{HTTP_HOST} [\w_]+.yungou.ws
RewriteCond %{REQUEST_URI} !static.*
#将hosts放到rewrite匹配源中，需要其中的分支名作为后续使用 跟下一条规则关联
RewriteRule ^(.+) %{HTTP_HOST}$1 [C] 
RewriteRule ([\w_]+).yungou.ws(.*) /$1/webroot/index.php/$2 [L]

# static 静态文件目录不rewrite，直接访问
RewriteCond %{HTTP_HOST} [\w_]+.yungou.ws
RewriteCond %{REQUEST_URI} static.*
RewriteRule ^(.+) %{HTTP_HOST}$1 [C]
RewriteRule ([\w_]+).yungou.ws(.*) /$1/webroot/$2 [L]

附：参考文档

1、nginx泛解析域名实现多级域名多个同时绑定
2、nginx泛域名解析实现二级域名多域名
3、Apache 2.2 + Tomcat 泛域名解析动态二级域名
4、使apache解析域名到目录的方法
5、Apache的Rewrite规则详细介绍
6、Apache Module mod_rewrite
7、解析无限个二级域名的方法

如何使用CasperJs抓取商品数据

标签：爬虫 casperjs phantomjs

编写：袁亮
时间：2016-08-30
说明：如何使用CasperJs抓取商品数据

一、目的

抓取天猫、淘宝、京东的相应商品数据
抓取商品名、价格、轮播图、详情、产品属性等数据

二、方案选择

1、情况分析
    1.1 对应的页面数据很多都是后加载的
    1.2 页面请求很多，想找到其对应的ajax请求比较麻烦
    1.3 ajax请求的地址是服务端生成的，不能通过简单的拼接来生成
    1.4 对正则水平要求较高，很多请求地址是写在js里的

2、可选方案
    2.1 php等语言，直接发钱http请求，然后通过正则匹配等方式，找到响应数据源
        curl、phpquery、Snopy等等 
    2.2 使用浏览器实际访问，然后获取浏览器的最终结果数据
        phantomJS
        casperJS + phantomJS
        python + selenium + phantomJS
3、选用方案 casperJS + phantomJS
    3.1 纯JS，方便前后端使用
    3.2 Casper封装的比较友好、文档齐全，比较好用
        特别是针对后加载的元素，之间waitForSelector的方法非常方便
        可以引入jquery等自己的js文件，方便dom操作
    3.3 获取数据，只需要在浏览器打开的时候，找到对应的节点选择器即可
    3.4 安装部署方便

三、简单例子

var casper = require('casper').create();
casper.start('http://casperjs.org/', function() {
    this.echo(this.getTitle());
});

casper.thenOpen('http://phantomjs.org', function() {
    this.echo(this.getTitle());
});
casper.run();

四、环境部署（非源码安装）

1、安装phantomjs
    1.1 下载安装
        wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-x86_64.tar.bz2
    1.2 解压
        tar jxvf phantomjs-2.1.1-linux-x86_64.tar.bz2
    1.3 做软连接，放在环境变量里，比如(注意权限问题，如果需要apache调用，更要注意)
        ln -s /opt/ci123/phantomjs/bin/phantomjs /usr/local/sbin/
    1.4 测试运行
        phantomjs --version

2、安装casperjs
    2.1 选择相应版本下载
        wget https://github.com/casperjs/casperjs/archive/1.1.3.zip
    2.2 解压
        unzip 1.1.3.zip 
    2.3 做软连接，放在环境变量里，比如(注意权限问题，如果需要apache调用，更要注意)
        ln -s /opt/ci123/casper/bin/casperjs /usr/bin/casperjs
    2.4 测试是否正常
        casperjs --version

五、实际使用

1、apache调用php
2、php根据url调用不同的CasperJS，传入要抓取的url
3、Casper输出json数据
4、php使用exec调用，并获取casper的输出
5、php将相应的json输出返回apache或者存入数据库等等
演示代码：
    192.168.0.249 
    /opt/ci123/www/html/yuanliang/casper/fetch

六、踩过的坑

1、抓取https的时候，249上一直失败
    原因：
        249上的ssl配置应该问题，导致抓取部分https网站的时候，一直报错
    解决办法：
        a:CasperJS需要较高版本才能用
            casperjs --ignore-ssl-errors=yes --ssl-protocol=any xxx.js
            phantomjs --ssl-protocol=any xxx.js
        b:升级249上的ca证书或者openssl版本

2、抓取速度太慢
    原因：
        这个工具本质是一个无界面的浏览器，因此里面的所有资源都跟浏览器一样，会去加载，图片等资源较多的时候会卡
    解决办法：
        设置不加载图片 loadImages:false
3、clientScripts 注入远程jquery文件无效
    原因：
        只能加载本地的js文件，不能加载远程的js文件
    解决办法：
        可以下载到本地，或者使用remoteScripts来加载，这个可以使用远程文件
        不过使用本地文件比较好，少一次http请求，速度会快很多
4、淘宝的后加载数据一直获取不到
    原因：
        之前https的出问题的时候，以为是ua有问题，所以设置了一个chrome的ua，但是实际上内核不一样
        导致淘宝本身的js执行失败，数据加载不出来
    解决办法：
        去掉ua设置即可
5、天猫的后加载数据（详情）一直加载不出来，报语法错误
    原因：
        天猫的代码中，如何屏幕大小超过1260，会执行一段JS，这段JS会出错
    解决办法：
        设置屏幕宽度小于1260即可
6、waitForSelector获取某个数据，超时，导致后面都不执行了
    原因：
        默认的timeout处理函数，会直接将整个进程中止，后面的所有代码都不执行
    解决办法：
        如果可以接受部分字段抓取不到，则可以在waitForSelector中自行设置timeout处理函数，不中止
        如果需要全部抓取才算结束，可以在timeout的时候触发一个报警等来通知
7、根据浏览器的元素定位，返回不了相应的数据
    原因：
        浏览器最终呈现的元素，有些跟phantomJs返回的不一样
        比如图片后加载，这是在页面滚动到一定位置之后才会触发的
    解决办法：
        如图片后加载这种，数据其实已经返回了，只是存在其他地方，可以返回对应的html，然后看数据存储在哪个字段上
        如果有些是点击、滚动等之后，从服务端获取的数据，那就需要模拟浏览器的点击滚动等事件，然后获取，比较少见
8、执行获取页面数据的时候，失败报错
    原因：
        页面代码执行在不同的沙箱中，在CasperJS本身是读取不到的
    解决办法：
        均在this.evaluate函数中执行，在内部可用操作所有的DOM，跟页面执行JS效果一样
9、天猫商品详情图片一直抓取不对
    原因：
        图片本身是后加载的，之前数据是放在data-ks-lazyload中，后加载执行之后，这个data被干掉了
        直接取src也会有问题，因为有的时候取数据的时候，后加载js还没执行到
        所以导致一会好一会坏
    解决办法：
        先取data-ks-lazyload，如果没有，则去src数据

七、注意事项

1、debug的时候，可用通过将当前页面截图出来，方便查看加载到什么情况了
    也可以将完整的html输出到文件里查看
2、打印json数据，方便跟php等交互
    打印数据
    casper.then(function(){
        require('utils').dump(data);
    });
3、注意很多异步操作，很多时候，执行效果会跟预期不一样
4、当Casper运行结果跟预期不一样的时候，可以考虑直接写相应的phantomJs做对应小块功能来调试
5、淘宝url等在命令行传参会出错，需要用单引号包含起来

八、参考资料

1、CasperJS 官方文档
    http://docs.casperjs.org/en/latest/index.html
2、phantomJS 文档
    http://phantomjs.org/documentation/
3、PhantomJS基础及示例
    http://imweb.io/topic/560b402ac2317a8c3e08621c
4、casperjs模拟登陆https页面获取当前面地址后发现为about:blank问题排查
    http://www.bubuko.com/infodetail-1018663.html
5、 Linux使用curl访问https站点时报错汇总
    http://www.ipcpu.com/2014/12/curl-https-error/

关于ip的那些事


编	写：袁	亮
时	间：2014-05-20
说	明：关于ip的那些事

一、ip传递过程
	1、【真实客户端】 ==> [多级代理服务器] ==> [CDN加速] ==> [前端代理nginx|squid] ==> 【apache】==> 【PHP】
	2、中文括号的是必然会经过的，英文括号是可能经过的
	3、标准的ip传递是REMOTE_ADDR和HTTP_X_FORWARDED_FOR，前一个跟当前服务连接的真实ip，后一个是请求到前一个ip之前，经过了哪些代理
	4、REMOTE_ADDR是不可伪造的，HTTP_X_FORWARDED_FOR是可以任意修改的
	5、按标准，每传递到下一层，都会将上一层的实际ip地址加入到HTTP_X_FORWARDED_FOR中，继续传递
	6、对每一层来说，只有上一层的时间地址是可信的(REMOTE_ADDR)，HTTP_X_FORWARDED_FOR均有风险
	7、真实情况中，到了cdn或者前端代理之后，ip传递都是可信的(我们自己可控制)，之前的都有篡改的危险

二、各服务的真实ip传递情况
	1、CDN 快网的cdn会将用户的实际地址或者代理服务器地址传递到后面的服务中
		$_SERVER["HTTP_USER_IP"]	【不用快网的时候可伪造】
		$_SERVER["HTTP_FW_ADDR"]	【不用快网的时候可伪造】
		测试了一个新的cdn测试，没有传递真实ip过来

	2、nginx代理的情况下，可以使用x_real_ip来获取真实ip（有cdn的时候，该值获取的是cdn的ip地址）
		$_SERVER["HTTP_X_REAL_IP"]	【不用nginx的时候可伪造】

	3、$_SERVER["HTTP_CLIENT_IP"] :代理服务器发送的客户端真实ip【可伪造】

三、现在使用的获取ip函数
	a、如果有HTTP_CLIENT_IP，则该ip为用户ip（可被伪造）
	b、如果有HTTP_X_FORWARDED_FOR，则将HTTP_CLIENT_IP也加入到HTTP_X_FORWARDED_FOR，判断HTTP_X_FORWARDED_FOR中的ip是否是内网的，取第一个非内网的ip为客户端真实ip
	c、经过以上两步还没有取到ip的话，则根据REMOTE_ADDR取用户的ip
	ps:该函数的问题在于，前面两个的ip都是可以被任意伪造改写，从而导致获取不到用户的真实ip情况

四、附：（线上使用的获取ip函数）
function getIp(){//获取IP函数
        $ip = false;
        if(!empty($_SERVER["HTTP_CLIENT_IP"])){
                $ip = $_SERVER["HTTP_CLIENT_IP"];
        }
        if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
                $ips = explode (", ", $_SERVER['HTTP_X_FORWARDED_FOR']);
                if ($ip) {
                        array_unshift($ips, $ip);
                        $ip = FALSE;
                }
                for ($i = 0; $i < count($ips); $i++) {
                        if (!preg_match("/^(10|172\.16|192\.168)\./", $ips[$i])) { // 判断是否内网的IP
                                $ip = $ips[$i];
                                break;
                        }
                }
        }
        return ($ip ? $ip : $_SERVER['REMOTE_ADDR']);
}

实习生须知

1、记下我手机号 15850657245
2、把你们的手机号发送给我
3、加入我们微信群
   不知道的找我
4、每周必须发周报，周报要求见：http://blog.geekman.vip/archives/59
5、临时请假必须提前通知我，回来补假条，平时请假需要找我说明，并填写请假单找我签字

http 1.1 和 http1.0 主要区别


编	写：袁	亮
时	间：2016-01-12
说	明：http 1.1 和 http1.0 主要区别

一、持久链接keep-alive
	1、标准的1.0版本中，每次请求都必须重新建立连接、传输数据、关闭连接
		但有些http服务和浏览器也实现了Connection: Keep-Alive的功能
	2、在1.1版本，默认就是Connection: Keep-Alive
		可以在同一次TCP连接中，多次传输数据
		减少了重新建立连接的开销，特别是当一个网页中有很多图片、js、css等的时候会非常有用
		但这也有可能会导致TCP一直不释放，从而影响性能，需要权衡设置
		
二、增加了HOST
	1、在1.0版本中，不支持HOST，同一ip同一端口，只能供一个服务使用
	2、1.1版本中，支持HOST来创建虚拟主机

三、带宽优化
	1、1.1版本中，增加了RANGE头来实现断点续传，从而防止下载中断之后又要全部重新上传
	2、增加压缩，通过Accept-Encoding头来实现，减少数据传输

四、其他
	1、缓存策略
	2、新增http状态码
	3、身份认证、状态管理
	4、我们服务器上有些apache还是返回http 1.0，感觉不大正常
	
		
附：参考文档
1、http://blog.csdn.net/elifefly/article/details/3964766
2、http://www.cnblogs.com/qqzy168/p/3141849.html
3、http://www.cnblogs.com/huangfox/archive/2012/03/31/2426341.html
4、http://www.360doc.com/content/14/0730/09/1073512_398058058.shtml

xhprof实际使用过程中的一些注意事项


编	写：袁	亮
时	间：2016-01-12
说	明：xhprof实际使用过程中的一些注意事项

一、扩展安装
	1、前置说明
		1.1 这个组件作为性能分析工具，测试环境有时候不能重现问题
		1.2 直接在生产环境安装，容易导致当前服务受影响或者不可用
		1.3 开启对性能也有一定影响，特别是大流量的情况下，直接全部开始，那就悲剧了
	2、分流开启（成本适中、危险性低）
		2.1 采用nginx分流，使一小部分流量请求发送到安装了xhprof的服务上
		2.2 安装的那台服务器，可用开启监控，并跟生产环境对比
		2.3 既可以达到采集到实际数据，也不影响大部分的用户和业务
	3、流量复制（成本较高，基本无危险）
		3.1 将正式环境的流量复制到测试机上，开启监控查看
		3.2 优点是对原业务几乎无影响，也方便进行流量放大，做压力测试等
		3.3 缺点是之前没做过，略有点麻烦

二、程序开启并记录
	ps:下载http://pecl.php.net/get/xhprof-0.9.2.tgz，参考其中的example/example.php的写法
	
	1、开启监控
		xhprof_enable();
		ps:只在需要的地方开，不要全部开，或者以一定概率开启	
	2、停止监控采集
		$xhprof_data = xhprof_disable();
	3、采集监控数据
		$XHPROF_ROOT = realpath(dirname(__FILE__) .'/..');
		include_once $XHPROF_ROOT . "/xhprof_lib/utils/xhprof_lib.php";
		include_once $XHPROF_ROOT . "/xhprof_lib/utils/xhprof_runs.php";
		$xhprof_runs = new XHProfRuns_Default('可以保存到自己定义的文件夹中，未设置则采用php中的默认设置');
	4、保存监控数据
		$run_id = $xhprof_runs->save_run($xhprof_data, "保存数据的后缀，作为同一项目的区分用");
		ps:可以将数据保存在一个挂载盘中，这样可以在一台统一的服务器上统一查看调用

	ps:后期也可以考虑自动化，针对慢的请求，直接在php配置中auto_prepend_file增加一段监控程序，按一定比例采样，并汇总分析
	
三、显示性能分析
	1、可以在任意一台能访问存储的监控数据的地方
	2、复制下载文件中的xhprof_html文件夹，并放在可web访问的地方
	3、通过保存时候生成的run_id和自己设置的后缀，即可访问
	4、重点关注callgraph.php，生成的调用链接，主要耗时的调用链有非常明显的颜色标注出来，一眼就能看到性能瓶颈在哪
		ps:这个需要graphviz和graphviz-gd

服务化一般流程

编  写：袁亮
时  间：2015-12-16
说  明：服务化的一般流程

一、理清功能点

    1、找到业务对接人

    2、找同类功能，其他家比较好的是怎么做的

    3、确定功能，可能做什么，哪些不做，后期可能扩展


二、如果在已有的基础上升级

    1、理清原来代码

    2、什么地方，做了什么事

    3、有哪些代码是冗余的

    4、记录文档


三、数据字典设计

    1、根据功能设计数据字典初稿

    2、对照功能点，一个个的过，看是否能实现预期的功能

    3、如果后期要升级，是否好扩展

    4、业务方面能支持的情况下，看是否会有性能瓶颈

    5、是否需要增加冗余字典，查询优化


四、接口列表划分

    1、根据需求，罗列接口列表

    2、重新审查接口列表，是否有重复的

    3、不同接口之间是否有部分做的同样的事，是否需要抽离

    4、重新根据功能进行接口聚合，分类，整理完整列表

    5、拿着接口列表，分别看看需求和现有功能是否能满足

    6、给出完整确认的接口列表


五、定义接口

    1、根据接口列表写注释

    2、需要输入哪些参数，分别代表什么意思

    3、这些参数需要做哪些格式验证

    4、业务方面需要做哪些验证

    5、非查询条件，需要做哪些数据更新操作

    6、接口返回什么


六、根据接口定义写代码

    1、根据接口定义，编写代码

    2、写相应的demo，测试各种情况

    3、监控查看接口返回是否正常

    4、后期做成能自动监控


七、接口文档

    1、编写apidoc需要的注释

    2、生成apidoc文档

    3、更新到文档库

    4、查看文档是否有错误


八、旧项目升级

    1、如果是从旧项目升级，需要将旧数据，写脚本导入写服务中

    2、旧的代码中，所有涉及到这块的，根据之前列的文档，一个个的改成接口调用

    3、改动一处，即进行完整测试，并做相应标记

    4、全部改完之后，整体测试


九、上线

    1、代码上线前，将旧数据转换脚本启动，并跑完

    2、代码通过版本控制器上线，同时转换脚本开启，避免上线过程中产生的新数据未同步

    3、上线测试是否正常，并重点关注error_log

    4、查看旧数据库是否还有数据新增，以及新数据库数据增长是否正常

    5、查看接口监控日志，是否有异常调用

    6、关注用户反馈，自己多测几次正常流程，特别是涉及到改动的地方

php文件包含路径问题


编	写：袁	亮
时	间：2015-12-01
说	明：php文件包含路径问题

一、解决什么问题
	1、在某些项目代码中，会出现包含出错问题
	2、多次include的时候，会发现不知道包含的到底是哪个文件
	3、某些项目代码中，找不到对应include进来的文件

二、前置知识：3种路径
	1、绝对路径
		linux下，以/开头的路径
		window下以盘符开头的，比如c:/
	2、相对路径
		以.或者..开头的路径
	3、不确定路径
		非上述两种情况的都是

三、包含路径include_path
	1、这是一个目录列表
	2、在php查找文件的时候起作用，主要是以下这些函数
		include,require,fopen,file,readfile,file_get_contents
	3、查找文件的时候，会根据include_path中的目录列表一个个去找，找到之后中止返回
	4、功能类似系统中的环境变量
	5、可以通过php.ini或者php代码中进行设置（也可以通过php函数读取）
	6、默认值是. 代表当前工作目录（简单来说就是访问的第一个php文件所在的目录）

四、查找要包含哪个文件
	1、包含的是绝对路径的文件
		与include_path无关，直接引用绝对路径所对应的文件
	2、包含的是相对路径的文件
		跳过include_path，根据工作路径拼接上相对路径，查找文件，如果有则包含，没有则报错
		ps:工作路径即访问的第一个php文件所在的目录
	3、包含的是不确定路径的文件
		3.1 逐个使用include_path中的目录跟不确定路径拼接查找文件，找到则退出
		3.2 如果没有找到，则根据包含语句include所在的文件的目录，拼接上不确定路径查找文件
		3.3 如果还是没有，则报错

五、解决方案
	1、项目的一个公共文件，通过__FILE__，或者__DIR__(php 5.3后)，结合dirname来计算获取项目根目录
	2、所有文件包含，均通过项目根目录进行拼接，得到绝对路径，再包含
	3、使用不确定路径包含文件
		3.1 使用不确定路径，包含当前目录或当前目录的子目录下的文件
		3.2 这种方法性能较差，因为必然是经过多次查找才能得到
		3.3 而且在项目工作目录出现同名文件，则会出现包含到错误文件的情况
		3.4 常见于sdk包，一般情况下少用

参考文档：
1、PHP中require和include路径问题详解
	http://www.cnblogs.com/rainman/p/4177302.html
2、PHP手册
	http://php.net/manual/zh/ini.core.php#ini.include-path
	http://php.net/manual/zh/function.set-include-path.php

使用token来解决用户信息同步问题


编	写：袁	亮
时	间：2015-11-27
说	明：多应用系统用户信息统一安全升级策略

一、问题
	1、post请求之后，后退按钮导致加载失败，提示需要重新提交数据问题的解决
	2、用户信息被抓包，会导致账号泄漏问题
	
二、原因
	1、根据http协议，post请求非幂等，不能缓存，因此有响应头Pragma:no-cache
	2、后退的时候，浏览器会强制提醒用户，确认是否重新输入数据
	3、因此后退会出现白页

三、可能解决思路
	1、post请求换成get请求，绕过限制
		1.1 私密数据不安全，如果链接发给其他人，会导致账号被盗
		1.2 统计代码中，会把这些链接都给存储下来，太危险
	2、对get的数据进行可逆加密并加过期时间
		还是解决不了上面的两个问题
	3、先post发送私密数据过去，然后get跳转
	
四、完整思路
	1、私密数据，必须要走post，不能get
	2、先通过服务器间请求，将私密数据post过去
		2.1 在客户端对数据进行签名及有效期
		2.2 通过post将数据通过服务器与服务器传输
		2.3 服务端返回该数据存储的token(类似session存储)
			为防止服务器返回较慢，导致token丢失，token以客户端传过去的签名为准
		2.4 该数据，只存储一个小时，超过则失效
	3、get形式带上token去请求数据
		3.1 根据token，取到对应的数据
		3.2 用户之后的token要删除，不允许重复使用
		3.3 取出的数据需要验证是否有效期内，并验证签名是否正确
	4、解决了哪些问题
		4.1 没有通过get传输私密数据
		4.2 浏览器没有发起post请求，因此不存在后退刷新的问题
		4.3 私密数据通过服务器间的post请求，因此对用户抓包，并不能获取到这份私密数据
			抓更原始的包那就没办法，虽然不知道原始数据，但还是能登陆到用户账户上
	5、导致的问题及解决办法
		5.1 比之前多了一次http请求，会变的更慢
			在相应的服务器端加host，降低解析时间（同一机房，走内网）
			服务端只做数据存储到内存，不做额外操作降低运行时间
			客户端设置超时，防止卡住
		5.2 memcache存储的数据，存在一定几率丢失
			可以暂时不考虑，概率太低，而且最坏的影响也就是用户某一次可能登陆不上（只有新用户）
		5.3 token丢失或被抓包
			32位的加盐散列，基本可以不考虑被暴力强刷
			token即使丢失，问题也不大，因为token生成之后，用户基本上马上就使用，之后token就失效了

使用范例见附件：build_query