03.04 如何使用開放標準 JWT 來保護你的Spring Web應用安全？

2020-03-04 18:43:04 牛旦教育IT課堂

juejin.im/post/5902ca705c497d005829ed6f

關鍵詞

Spring Boot、OAuth 2.0、JWT、Spring Security、SSO、UAA

寫在前面

這幾天有人問我Spring Boot結合Spring Security實現OAuth認證的問題，寫了個Demo，順便分享下。Spring 2之後就沒再用過Java，主要是xml太麻煩，就投入了Node.js的懷抱，現在Java倒是好過之前很多，無論是執行效率還是其他什麼。感謝Pivotal團隊在Spring boot上的努力，感謝Josh Long，一個有意思的攻城獅。

我又搞Java也是為了去折騰微服務，因為目前看國內就Java程序猿最好找，雖然水平好的難找，但是至少能找到，不像其他編程語言，找個會世界上最好的編程語言PHP的人真的不易。

Spring Boot

有了Spring Boot這樣的神器，可以很簡單的使用強大的Spring框架。你需要關心的事兒只是創建應用，不必再配置了，“Just run!”，這可是Josh Long每次演講必說的，他的另一句必須說的就是“make jar not war”，這意味著，不用太關心是Tomcat還是Jetty或者Undertow了。專心解決邏輯問題，這當然是個好事兒，部署簡單了很多。

創建Spring Boot應用

有很多方法去創建Spring Boot項目，官方也推薦用：

Spring Boot在線項目創建http://start.spring.io/CLI 工具https://docs.spring.io/spring-boot/docs/current/reference/html/cli-using-the-cli.html

start.spring.io可以方便選擇你要用的組件，命令行工具當然也可以。目前Spring Boot已經到了1.53，我是懶得去更新依賴，繼續用1.52版本。雖然阿里也有了中央庫的國內版本不知道是否穩定。

如果你感興趣，可以自己嘗試下。你可以選Maven或者Gradle成為你項目的構建工具，Gradle優雅一些，使用了Groovy語言進行描述。

打開start.spring.io，創建的項目只需要一個Dependency，也就是Web，然後下載項目，用IntellJ IDEA打開。我的Java版本是1.8。

這裡看下整個項目的pom.xml文件中的依賴部分:

<code><dependencies>
    <dependency>
        <groupid>org.springframework.boot/<groupid>
        <artifactid>spring-boot-starter-web/<artifactid>
    /<dependency>

    <dependency>
        <groupid>org.springframework.boot/<groupid>
        <artifactid>spring-boot-starter-test/<artifactid>
        <scope>test/<scope>
    /<dependency>
/<dependencies>/<code>

所有Spring Boot相關的依賴都是以starter形式出現，這樣你無需關心版本和相關的依賴，所以這樣大大簡化了開發過程。

當你在pom文件中集成了spring-boot-maven-plugin插件後你可以使用Maven相關的命令來run你的應用。例如mvn spring-boot:run，這樣會啟動一個嵌入式的Tomcat，並運行在8080端口，直接訪問你當然會獲得一個Whitelabel Error Page，這說明Tomcat已經啟動了。

創建一個Web 應用

這還是一篇關於Web安全的文章，但是也得先有個簡單的HTTP請求響應。我們先弄一個可以返回JSON的Controller。修改程序的入口文件：

<code>@SpringBootApplication
@RestController
@EnableAutoConfiguration
public class DemoApplication {

    // main函數，Spring Boot程序入口
    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    // 根目錄映射 Get訪問方式 直接返回一個字符串
    @RequestMapping("/")
    Map<string> hello() {
      // 返回map會變成JSON key value方式
      Map<string> map=new HashMap<string>();
      map.put("content", "hello freewolf~");
      return map;
    }
}/<string>/<string>/<string>/<code>

這裡我儘量的寫清楚，讓不瞭解Spring Security的人通過這個例子可以瞭解這個東西，很多人都覺得它很複雜，而投向了Apache Shiro，其實這個並不難懂。知道主要的處理流程，和這個流程中哪些類都起了哪些作用就好了。

Spring Boot對於開發人員最大的好處在於可以對Spring應用進行自動配置。Spring Boot會根據應用中聲明的第三方依賴來自動配置Spring框架，而不需要進行顯式的聲明。

Spring Boot推薦採用基於Java註解的配置方式，而不是傳統的XML。只需要在主配置 Java 類上添加@EnableAutoConfiguration註解就可以啟用自動配置。Spring Boot的自動配置功能是沒有侵入性的，只是作為一種基本的默認實現。

這個入口類我們添加@RestController和@EnableAutoConfiguration兩個註解。@RestController註解相當於@ResponseBody和@Controller合在一起的作用。

run整個項目。訪問http://localhost:8080/就能看到這個JSON的輸出。使用Chrome瀏覽器可以裝JSON Formatter這個插件，顯示更PL一些。

<code>{
  "content": "hello freewolf~"
}/<code>

為了顯示統一的JSON返回，這裡建立一個JSONResult類進行，簡單的處理。首先修改pom.xml，加入org.json相關依賴。

<code><dependency>
    <groupid>org.json/<groupid>
    <artifactid>json/<artifactid>
/<dependency>/<code>

然後在我們的代碼中加入一個新的類，裡面只有一個結果集處理方法，因為只是個Demo，所有這裡都放在一個文件中。這個類只是讓返回的JSON結果變為三部分：

status - 返回狀態碼 0 代表正常返回，其他都是錯誤
message - 一般顯示錯誤信息
result - 結果集

<code>class JSONResult{
    public static String fillResultString(Integer status, String message, Object result){
        JSONObject jsonObject = new JSONObject(){{
            put("status", status);
            put("message", message);
            put("result", result);
        }};
        return jsonObject.toString();
    }
}/<code>

然後我們引入一個新的@RestController並返回一些簡單的結果，後面我們將對這些內容進行訪問控制，這裡用到了上面的結果集處理類。這裡多放兩個方法，後面我們來測試權限和角色的驗證用。

<code>@RestController
class UserController {

    // 路由映射到/users
    @RequestMapping(value = "/users", produces="application/json;charset=UTF-8")
    public String usersList() {

        ArrayList<string> users =  new ArrayList<string>(){{
            add("freewolf");
            add("tom");
            add("jerry");
        }};

        return JSONResult.fillResultString(0, "", users);
    } 


    @RequestMapping(value = "/hello", produces="application/json;charset=UTF-8")
    public String hello() {
        ArrayList<string> users =  new ArrayList<string>(){{ add("hello"); }};
        return JSONResult.fillResultString(0, "", users);
    }

    @RequestMapping(value = "/world", produces="application/json;charset=UTF-8")
    public String world() {
        ArrayList<string> users =  new ArrayList<string>(){{ add("world"); }};
        return JSONResult.fillResultString(0, "", users);
    }
}/<string>/<string>/<string>/<string>/<string>/<string>/<code>

重新run這個文件，訪問http://localhost:8080/users就看到了下面的結果:

<code>{
  "result": [
    "freewolf",
    "tom",
    "jerry"
  ],
  "message": "",
  "status": 0
}/<code>

如果你細心，你會發現這裡的JSON返回時，Chrome的格式化插件好像並沒有識別？這是為什麼呢？我們藉助curl分別看一下我們寫的兩個方法的Header信息.

<code>curl -I http://127.0.0.1:8080/
curl -I http://127.0.0.1:8080/users/<code>

可以看到第一個方法hello，由於返回值是Map，Spring已經有相關的機制自動處理成JSON:

<code>Content-Type: application/json;charset=UTF-8/<code>

第二個方法usersList由於返回時String，由於是@RestControler已經含有了@ResponseBody也就是直接返回內容，並不模板。

所以就是：

<code>Content-Type: text/plain;charset=UTF-8/<code>

那怎麼才能讓它變成JSON呢，其實也很簡單隻需要補充一下相關注解：

<code>@RequestMapping(value = "/users", produces="application/json;charset=UTF-8")/<code>

這樣就好了。

使用JWT保護你的Spring Boot應用

終於我們開始介紹正題，這裡我們會對/users進行訪問控制，先通過申請一個JWT(JSON Web Token讀jot)，然後通過這個訪問/users，才能拿到數據。

關於JWT(Json Web Tokens) ，這裡簡單說下，它是一個開放標準(RFC 7519)，它定義了一種簡潔，自包含，JSON 對象形式的安全傳遞信息的方法。JWT常用在 Web 應用或者移動應用上，Token是令牌的意思，表示只有拿著令牌才具有一些權限。JWT的聲明（Claim）一般被用來在身份提供者和服務提供者間傳遞身份驗證信息，也可以增加一些額外的其它業務邏輯所必須的聲明信息。更多信息，請出門奔向以下內容，這些不在本文討論範圍內:

https://tools.ietf.org/html/rfc7519https://jwt.io/

JWT很大程度上還是個新技術，通過使用HMAC(Hash-based Message Authentication Code)計算信息摘要，也可以用RSA公私鑰中的私鑰進行簽名。這個根據業務場景進行選擇。更多：SpringBoot內容聚合

添加Spring Security

根據上文我們說過我們要對/users進行訪問控制，讓用戶在/login進行登錄並獲得Token。這裡我們需要將spring-boot-starter-security加入pom.xml。加入後，我們的Spring Boot項目將需要提供身份驗證，相關的pom.xml如下:

<code><dependency>
    <groupid>org.springframework.boot/<groupid>
    <artifactid>spring-boot-starter-security/<artifactid>
/<dependency>
<dependency>
    <groupid>io.jsonwebtoken/<groupid>
    <artifactid>jjwt/<artifactid>
    <version>0.7.0/<version>
/<dependency>/<code>

至此我們之前所有的路由都需要身份驗證。我們將引入一個安全設置類WebSecurityConfig，這個類需要從WebSecurityConfigurerAdapter類繼承。

<code>@Configuration
@EnableWebSecurity
class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    // 設置 HTTP 驗證規則
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 關閉csrf驗證
        http.csrf().disable()
                // 對請求進行認證
                .authorizeRequests()
                // 所有 / 的所有請求 都放行
                .antMatchers("/").permitAll()
                // 所有 /login 的POST請求 都放行
                .antMatchers(HttpMethod.POST, "/login").permitAll()
                // 權限檢查
                .antMatchers("/hello").hasAuthority("AUTH_WRITE")
                // 角色檢查 

                .antMatchers("/world").hasRole("ADMIN")
                // 所有請求需要身份認證
                .anyRequest().authenticated()
            .and()
                // 添加一個過濾器 所有訪問 /login 的請求交給 JWTLoginFilter 來處理 這個類處理所有的JWT相關內容
                .addFilterBefore(new JWTLoginFilter("/login", authenticationManager()),
                        UsernamePasswordAuthenticationFilter.class)
                // 添加一個過濾器驗證其他請求的Token是否合法
                .addFilterBefore(new JWTAuthenticationFilter(),
                        UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用自定義身份驗證組件
        auth.authenticationProvider(new CustomAuthenticationProvider());

    }
}/<code>

先放兩個基本類，一個負責存儲用戶名密碼，另一個是一個權限類型，負責存儲權限和角色。

<code>class AccountCredentials {

    private String username;
    private String password;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }
 

    public void setPassword(String password) {
        this.password = password;
    }
}

class GrantedAuthorityImpl implements GrantedAuthority{
    private String authority;

    public GrantedAuthorityImpl(String authority) {
        this.authority = authority;
    }

    public void setAuthority(String authority) {
        this.authority = authority;
    }

    @Override
    public String getAuthority() {
        return this.authority;
    }
}/<code>

在上面的安全設置類中，我們設置所有人都能訪問/和POST方式訪問/login，其他的任何路由都需要進行認證。然後將所有訪問/login的請求，都交給JWTLoginFilter過濾器來處理。

稍後我們會創建這個過濾器和其他這裡需要的JWTAuthenticationFilter和CustomAuthenticationProvider兩個類。

先建立一個JWT生成，和驗籤的類

<code>class TokenAuthenticationService {
    static final long EXPIRATIONTIME = 432_000_000;     // 5天
    static final String SECRET = "P@ssw02d";            // JWT密碼
    static final String TOKEN_PREFIX = "Bearer";        // Token前綴
    static final String HEADER_STRING = "Authorization";// 存放Token的Header Key

  // JWT生成方法
    static void addAuthentication(HttpServletResponse response, String username) {

    // 生成JWT
        String JWT = Jwts.builder() 

                // 保存權限（角色）
                .claim("authorities", "ROLE_ADMIN,AUTH_WRITE")
                // 用戶名寫入標題
                .setSubject(username)
                // 有效期設置
                        .setExpiration(new Date(System.currentTimeMillis() + EXPIRATIONTIME))
                // 簽名設置
                        .signWith(SignatureAlgorithm.HS512, SECRET)
                        .compact();

        // 將 JWT 寫入 body
        try {
            response.setContentType("application/json");
            response.setStatus(HttpServletResponse.SC_OK);
            response.getOutputStream().println(JSONResult.fillResultString(0, "", JWT));
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

  // JWT驗證方法
    static Authentication getAuthentication(HttpServletRequest request) {
        // 從Header中拿到token
        String token = request.getHeader(HEADER_STRING);

        if (token != null) {
            // 解析 Token
            Claims claims = Jwts.parser()
                    // 驗籤
                    .setSigningKey(SECRET)
                    // 去掉 Bearer
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();

            // 拿用戶名
            String user = claims.getSubject();

            // 得到 權限（角色）
            List<grantedauthority> authorities =  AuthorityUtils.commaSeparatedStringToAuthorityList((String) claims.get("authorities"));

            // 返回驗證令牌
            return user != null ?
                    new UsernamePasswordAuthenticationToken(user, null, authorities) :
                    null;
        } 

        return null;
    }
}/<grantedauthority>/<code>

這個類就兩個static方法，一個負責生成JWT，一個負責認證JWT最後生成驗證令牌。註釋已經寫得很清楚了，這裡不多說了。

下面來看自定義驗證組件，這裡簡單寫了，這個類就是提供密碼驗證功能，在實際使用時換成自己相應的驗證邏輯，從數據庫中取出、比對、賦予用戶相應權限。

<code>// 自定義身份認證驗證組件
class CustomAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        // 獲取認證的用戶名 & 密碼
        String name = authentication.getName();
        String password = authentication.getCredentials().toString();

        // 認證邏輯
        if (name.equals("admin") && password.equals("123456")) {

            // 這裡設置權限和角色
            ArrayList<grantedauthority> authorities = new ArrayList<>();
            authorities.add( new GrantedAuthorityImpl("ROLE_ADMIN") );
            authorities.add( new GrantedAuthorityImpl("AUTH_WRITE") );
            // 生成令牌
            Authentication auth = new UsernamePasswordAuthenticationToken(name, password, authorities);
            return auth;
        }else {
            throw new BadCredentialsException("密碼錯誤~");
        }
    }

    // 是否可以提供輸入類型的認證服務 

    @Override
    public boolean supports(Class> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}/<grantedauthority>/<code>

下面實現JWTLoginFilter 這個Filter比較簡單，除了構造函數需要重寫三個方法。

attemptAuthentication - 登錄時需要驗證時候調用
successfulAuthentication - 驗證成功後調用
unsuccessfulAuthentication - 驗證失敗後調用，這裡直接灌入500錯誤返回，由於同一JSON返回，HTTP就都返回200了

<code>class JWTLoginFilter extends AbstractAuthenticationProcessingFilter {

    public JWTLoginFilter(String url, AuthenticationManager authManager) {
        super(new AntPathRequestMatcher(url));
        setAuthenticationManager(authManager);
    }

    @Override
    public Authentication attemptAuthentication(
            HttpServletRequest req, HttpServletResponse res)
            throws AuthenticationException, IOException, ServletException {

        // JSON反序列化成 AccountCredentials
        AccountCredentials creds = new ObjectMapper().readValue(req.getInputStream(), AccountCredentials.class);

        // 返回一個驗證令牌
        return getAuthenticationManager().authenticate(
                new UsernamePasswordAuthenticationToken(
                        creds.getUsername(),
                        creds.getPassword() 

                )
        );
    }

    @Override
    protected void successfulAuthentication(
            HttpServletRequest req,
            HttpServletResponse res, FilterChain chain,
            Authentication auth) throws IOException, ServletException {

        TokenAuthenticationService.addAuthentication(res, auth.getName());
    }


    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {

        response.setContentType("application/json");
        response.setStatus(HttpServletResponse.SC_OK);
        response.getOutputStream().println(JSONResult.fillResultString(500, "Internal Server Error!!!", JSONObject.NULL));
    }
}/<code>

再完成最後一個類JWTAuthenticationFilter，這也是個攔截器，它攔截所有需要JWT的請求，然後調用TokenAuthenticationService類的靜態方法去做JWT驗證。

<code>class JWTAuthenticationFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request,
                         ServletResponse response,
                         FilterChain filterChain)
            throws IOException, ServletException {
        Authentication authentication = TokenAuthenticationService
                .getAuthentication((HttpServletRequest)request);

        SecurityContextHolder.getContext()
                .setAuthentication(authentication);
        filterChain.doFilter(request,response);
    }
}/<code>

現在代碼就寫完了，整個Spring Security結合JWT基本就差不多了，下面我們來測試下，並說下整體流程。擴展：圖解JWT如何用於單點登錄

開始測試，先運行整個項目，這裡介紹下過程：

先程序啟動 - main函數
註冊驗證組件 - WebSecurityConfig 類 configure(AuthenticationManagerBuilder auth)方法，這裡我們註冊了自定義驗證組件
設置驗證規則 - WebSecurityConfig 類 configure(HttpSecurity http)方法，這裡設置了各種路由訪問規則
初始化過濾組件 - JWTLoginFilter 和 JWTAuthenticationFilter 類會初始化

首先測試獲取Token，這裡使用CURL命令行工具來測試。

<code>curl -H "Content-Type: application/json" -X POST -d '{"username":"admin","password":"123456"}'  http://127.0.0.1:8080/login/<code>

結果：

<code>{
  "result": "eyJhbGciOiJIUzUxMiJ9.eyJhdXRob3JpdGllcyI6IlJPTEVfQURNSU4sQVVUSF9XUklURSIsInN1YiI6ImFkbWluIiwiZXhwIjoxNDkzNzgyMjQwfQ.HNfV1CU2CdAnBTH682C5-KOfr2P71xr9PYLaLpDVhOw8KWWSJ0lBo0BCq4LoNwsK_Y3-W3avgbJb0jW9FNYDRQ",
  "message": "",
  "status": 0
}/<code>

這裡我們得到了相關的JWT，反Base64之後,就是下面的內容，標準JWT。

<code>{"alg":"HS512"}{"authorities":"ROLE_ADMIN,AUTH_WRITE","sub":"admin","exp":1493782240}ͽ]BS`pS6~hCVH%
ܬ)֝ଖoE5р/<code>

整個過程如下：

拿到傳入JSON，解析用戶名密碼 - JWTLoginFilter 類 attemptAuthentication 方法
自定義身份認證驗證組件，進行身份認證 - CustomAuthenticationProvider 類 authenticate 方法
鹽城成功 - JWTLoginFilter 類 successfulAuthentication 方法
生成JWT - TokenAuthenticationService 類 addAuthentication方法

再測試一個訪問資源的：

<code>curl -H "Content-Type: application/json" -H "Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJhdXRob3JpdGllcyI6IlJPTEVfQURNSU4sQVVUSF9XUklURSIsInN1YiI6ImFkbWluIiwiZXhwIjoxNDkzNzgyMjQwfQ.HNfV1CU2CdAnBTH682C5-KOfr2P71xr9PYLaLpDVhOw8KWWSJ0lBo0BCq4LoNwsK_Y3-W3avgbJb0jW9FNYDRQ"  http://127.0.0.1:8080/users/<code>

結果：

<code>{
  "result":["freewolf","tom","jerry"],
  "message":"",
  "status":0
}/<code>

說明我們的Token生效可以正常訪問。其他的結果您可以自己去測試。再回到處理流程：

接到請求進行攔截 - JWTAuthenticationFilter 中的方法
驗證JWT - TokenAuthenticationService 類 getAuthentication 方法
訪問Controller

這樣本文的主要流程就結束了，本文主要介紹了，如何用Spring Security結合JWT保護你的Spring Boot應用。

如何使用Role和Authority，這裡多說一句其實在Spring Security中，對於GrantedAuthority接口實現類來說是不區分是Role還是Authority，二者區別就是如果是hasAuthority判斷，就是判斷整個字符串，判斷hasRole時，系統自動加上ROLE_到判斷的Role字符串上，也就是說hasRole("CREATE")和hasAuthority('ROLE_CREATE')是相同的。利用這些可以搭建完整的RBAC體系。

本文到此，你應該已經會用了本文介紹的知識點。

代碼

https://github.com/freew01f/securing-spring-boot-with-jwts

參考

https://docs.spring.io/spring-security/site/docs/current/reference/html/jc.htmlhttp://ryanjbaxter.com/2015/01/06/securing-rest-apis-with-spring-boot/http://www.ekiras.com/2015/01/spring-security-create-custom-authentication-filter-in-grails.htmlhttps://auth0.com/blog/securing-spring-boot-with-jwts/http://www.jwt.io/

分享到:

閱讀更多 牛旦教育IT課堂 的文章

關鍵字: JSON Tomcat

剛剛工作的畢業生，一個月只有2000多，是不是太少了？

剛剛:剛剛工作的畢業生，一個月只有2000多，是不是太少了？根據你城市消費水平來看啊，還有你從事的工作，假如你在二三線城市做一份事業單位或者是編制類的工作，薪資水平是隨著你工作年限逐年增長的，而且在年終也有很多福利補貼待遇等等，算下來收入也是可觀的，再舉一個例:-畢業生 2000

為什麼只有edg賺錢？

電競行業作為一個新興產業，這幾年發展勢頭越來越好，IG戰隊，FPX戰隊先後奪得了s8-s9世界賽的冠軍，據俱樂部知情人士透露，除了國內的幾家豪門俱樂部之外，其他俱樂部基本都是虧錢在做的，當然EDG也是:-edg 賺錢:為什麼只有edg賺錢？

網上羅馬仕充電寶20000毫安的，參數怎麼很多樣？哪個是真的？

20000:網上羅馬仕充電寶20000毫安的，參數怎麼很多樣？哪個是真的？天貓旗艦店，或者淘寶旗艦店，或者京東旗艦店肯定包真，質量好，再說可以官方驗證啊，不能圖那十塊五塊的便宜，畢竟一個充電寶要用好久呢，一兩年沒問題的。:-羅馬仕馬仕毫安

我們買的新商品房還沒有拿到房產證，怎麼轉賣最好？

沒有取得房抄產證的房子可以轉讓。但如果確定無法取得房產證的，房產轉讓不受法律保襲護。一般情況下，只有取得房產證的房屋才能確定房屋產權人，才具有轉讓的條件。但如果房屋是合法取得的，以百後可以依法辦理度房:-轉賣房產證商品房拿到:我們買的新商品房還沒有拿到房產證，怎麼轉賣最好？

為什麼突厥人可以成功復國？是大唐的刀不鋒利了麼？

鋒利突厥人你這樣說只能說明你對歷史非常不瞭解，我先用一句話概括突厥被大唐雄兵打的有多慘：三次滅國，背井離鄉，遠赴西亞，打不過，俺躲著你還不行嗎？突厥的意思是中間慫起的頭盔。其來歷已經不可靠，可能有著匈奴、鮮卑或:-復國大唐:為什麼突厥人可以成功復國？是大唐的刀不鋒利了麼？

小高層16層高樓間距60米哪一層比較好？

小高層 60:小高層16層高樓間距60米哪一層比較好？首先需要明白，選擇層數居住與樓間距毫無關係，住在哪一層，肉眼看對面樓的距離，是相差不大的。設定樓間距60米，純粹是混淆視聽。其實，一幢樓的樓層總數確定的情況下，到底哪一層最佳？很簡單，取總層數乘以黃金:-樓間距層高

金銀花盆栽好養嗎？怎麼養？

金銀花可以盆栽，很好養的！金銀花，是忍冬科的常綠纏繞灌木，枝條柔韌修長，多攀爬或匍匐生長。金銀花生性強健，在我國的很多南方省份野外很多地區都能看到它的身影，葉子常年翠綠，到夏季開花，飄香四溢。所以，有:-金銀花盆栽:金銀花盆栽好養嗎？怎麼養？

長城對於抵禦古代匈奴和蒙古人起到了多大作用？

長城真的無用嗎？在今天許多人認為長城無用，古代國家舉國之力建造的長城不過只是文物，就連康熙都曾作詩諷刺，原文如下：萬里經營到海涯，紛紛調發逐浮誇。當時用盡生民力，天下何曾屬爾家。-康熙但真的如此嗎？小:-匈奴抵禦長城:長城對於抵禦古代匈奴和蒙古人起到了多大作用？蒙古人

什麼樹可以嫁接臘梅？

臘梅只能嫁接在不同品種的臘梅上，其他的樹種不行！臘梅的繁殖可以用播種，壓條，嫁接，分株等繁殖方法。播種法因不易保持花卉的原有優良特性，且播種的優點是在於大量繁殖，而臘梅大都只需培植少量幾株，故一般都不:-臘梅嫁接:什麼樹可以嫁接臘梅？

行情堪憂，還有多少教育機構的老師們五一假期有課上的？課時量多不多？

堪憂五一假期:行情堪憂，還有多少教育機構的老師們五一假期有課上的？課時量多不多？事實上，因為教育培訓都是預收費用的模式。但凡有一點點規模的培訓機構老師。在上半年，帶課量是可以得到保證。:-課時量

在農村“立夏節”都有哪些民間習俗？

民間習俗農村:在農村“立夏節”都有哪些民間習俗？在農村“立夏節”都有哪些民間習俗一、農村立夏常見的習俗風俗活動：1、吃雞蛋“立夏吃蛋”習俗由來已久，俗話說“立夏吃了蛋，夏天不疰夏”。據說立夏開始天氣越來越熱，村裡小孩兒會有身體疲勞四肢無力的感覺，吃:-立夏節

男朋友失望分手，但對我還有感覺，答應我兩個月之後可以在一起，我應該怎麼做，才能改變之前他對我的看法？

失望分手看法:男朋友失望分手，但對我還有感覺，答應我兩個月之後可以在一起，我應該怎麼做，才能改變之前他對我的看法？你的這個問題特別的有趣，我覺得你先不要看你要怎麼做才讓他才能讓他對你的印象有所改變，你要去看為什麼是兩個月之後可以在一起，這兩個月他會用來做什麼，為什麼會有這兩個月？例如他的身體碰到了什麼樣的問題嗎？:-答應我

工程分包乙方人員傷殘誰承擔？

承擔:工程分包乙方人員傷殘誰承擔？分包乙方分包致人傷殘責任誰承擔？嚴格來說，需要了解更多傷殘原因才能區分的，作為非專業人士，自己發表一點淺見供題主參考：1、如果甲方是央企的話，他們合同中的責任、義務等條款內已經將自己的責任全部撇開了，更會:-乙方傷殘

有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫？

實際上:有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫？歷史人物聯繫這個詞貌似太寬泛了，就好像有一個調皮的答案說的，胡亥和溥儀相隔2000多年，牽強的找，也有聯繫：都是亡國之君不是。我想題主的意思是兩個看起來應該風馬牛不相及的人物，在歷史上居然是熟悉或是一個時代的:-毫不相關

13年雪鐵龍世嘉自動擋7萬多公里，沒有水泡事故，多少錢能買？

法系車不保值，如果準備常開可以入手，性價比高，價格應該在二至三萬之間，二手車一車一況，一況一價，居體價格看車況。:-錢能水泡:13年雪鐵龍世嘉自動擋7萬多公里，沒有水泡事故，多少錢能買？世嘉自動擋

22+吃土少女17年就有駕駛證了，今年才開始開車，想買個二手昂克賽拉，或者有什麼好建議嗎？

17年駕駛證二手:22+吃土少女17年就有駕駛證了，今年才開始開車，想買個二手昂克賽拉，或者有什麼好建議嗎？建議買日系二手車，開順了賣了，買新車，昂克賽拉無法再次出手時獲得好價格，而且也不省油，開完日系車直接換德系:-昂克賽拉

如何騎車去臺灣騎行？

騎車在臺灣沒有迴歸內地前，最好不要去臺灣，一是國內政策不允許你去臺灣，因為已停止了臺灣個人遊。二是你偷著去臺灣旅遊，安全沒有保障，偷渡客在哪裡也沒有安全保障的。以後內地政策允許個人去臺灣旅遊了，建議那時再:-騎行臺灣:如何騎車去臺灣騎行？

本人預算5萬左右，想買一輛二手法系車！求推薦？

預算:本人預算5萬左右，想買一輛二手法系車！求推薦？ 5萬預算5萬元左右，想買一輛二手法系車？推薦東風標緻老款308車型。1 5萬元可以買標緻308車況好的，沒大事故呢，年限15年左右，公里數3萬左右，手動檔車型。2 標緻308車型，底盤調教紮實，跑高速穩定:-法系二手

14年進口馬自達5PK進口10年道奇酷威買哪個划算？

道奇你好，好高興回答你的問題！14年進口馬自達5和10年月道奇酷威個人感覺馬自達5比較划算。新車價馬5報價29.99萬，酷威19.38萬兩款車都是原裝進口，馬5屬於日系，酷威屬於美系。兩款車不屬於同類車型:-酷威馬自達 14年:14年進口馬自達5PK進口10年道奇酷威買哪個划算？

2020年，河南教育行業國務院特殊津貼推薦，河南大學並列第三，大家怎麼看？

特殊津貼高校人才就要重視，河南省高校人才更要重視，這個人才不是評出了的，而是推薦出來的，沒有推薦，連參評的資格都沒有。國務院特殊津貼人員推薦，不推薦是百分百沒希望，推薦了希望就非常，那麼是什麼是國務院特殊津貼:-河南大學並列 2020年:2020年，河南教育行業國務院特殊津貼推薦，河南大學並列第三，大家怎麼看？

本田CRV2019款1.5T舒適版油耗高嗎？

李老貓說車為你非專業解答各種選車用車問題本田crv定位於一款緊湊級suv產品，主要對飈豐田榮放，日產奇駿，這款車整體市場表現非常突出，2019年全年累計銷量為18.44萬臺，平均月銷1.5萬以上，其深:-舒適版本田油耗:本田CRV2019款1.5T舒適版油耗高嗎？

國外疫情如果沒有得到有效控制，世界會發生什麼事情？頭腦風暴？

1.世界經濟遭到重創疫情影響之下，各行各業基本屬於停工停產的狀態，在世界經濟趨於一體化的今天，停工停產勢必會造成一系列的連鎖反應，最後導致的結果可能會引發金融危機。2.世界格局可能發生改變美國仍是世界:-頭腦風暴控制:國外疫情如果沒有得到有效控制，世界會發生什麼事情？頭腦風暴？疫情國外

本田XRV這款車的整體表現怎麼樣？我想買1.5T自動豪華版，全款多少錢？

如果有15萬元的預算，讓你選擇一臺空間和動力都很不錯的小型SUV，我覺得很多的讀者都會想到本田XRV這款車型。因為本田XRV確實太出色了，和同級別的其他盒子SUV車型相比，這款車在空間和動力上都有優勢:-xrv 自動:本田XRV這款車的整體表現怎麼樣？我想買1.5T自動豪華版，全款多少錢？本田豪華版

現在存款有14萬，借了5萬還沒收回來，該做什麼好？

何去何從:現在存款有14萬，借了5萬還沒收回來，該做什麼好？續租存款利息率較低，可以投資較高收益的項目，比如投資基金，一般情況下可獲得6%一10%的回報。如果行情好可達到50%以上收益，去年不少基金超過這目標。目前受疫情影響，股市在低位震盪，也是基金投資的機會。一:-存款 2300

2070super和5700xt買哪個比較好？

如果是玩遊戲毫無疑問選擇n卡，也就是2070 suep。如果追求性價比可以選擇a卡，也就是5700xt. 為什麼遊戲選n卡呢？首先遊戲廠商針對n卡優化比較多，然後就是功耗小，然後N卡架構執行效率極高，:-:2070super和5700xt買哪個比較好？

生完二胎後，感覺自己有點抑鬱，總是想發火，特別煩躁，怎麼辦？

二胎我是兩個孩子的媽媽，曾經的我和你一樣，生完寶寶我也抑鬱了，我知道抑鬱症真的很痛苦，產後的那段日子我整天都不開心，做什麼事也沒積極性，誰也不想搭理，別人給我說話我就覺得很煩。忍不住衝家人發脾氣。每當一個:-生完抑鬱:生完二胎後，感覺自己有點抑鬱，總是想發火，特別煩躁，怎麼辦？發火

人這一生遇到的人和事為什麼感覺都像是必然的經歷？

感覺:人這一生遇到的人和事為什麼感覺都像是必然的經歷？正所謂有因必有果，所以你今天的因，就會產生明天的果。所以這一切你就會覺得是必然的。生活中大部分是普通人大家的生活規律，生活方式，大致相同。當你看到別人家庭的果，自己家也產生同樣的果，你就會覺得這一切是:-人和經歷

現在校內校外到底教的是美式英語還是英式英語還是混搭英語？

校內:現在校內校外到底教的是美式英語還是英式英語還是混搭英語？校外英式答案肯定是不唯一的！美式英語現在是主流，少量英式發音也個別存在！但對於孩子來說，肯定是混搭英語，因為孩子肯定不是一直一位老師教下去，肯定會換老師！而老師的發音肯定是既有英式的，也有美式的！就連一些英語:-美式英語

上有老下有小，我們真的跳不出這個人生循環了嗎？

上有老魔咒:上有老下有小，我們真的跳不出這個人生循環了嗎？的確如此，儘管現在不結婚，晚婚的人很多，但是從人類繁洐生息的歷史和大多數人來看，成家立業，生兒育女，家庭仍是主流，一個人的生理，心理和生存需求決定了生存狀態，生兒育女，瞻養父母即是義務責任，也是生活動:-下有小

如果外面正在下小雨，你會突然想起了誰？

想起:如果外面正在下小雨，你會突然想起了誰？我最不忘，還是秋日的雨夜，天又涼了幾分，已經需要披上一件薄薄的外套了。臨窗而望，眼見窗臺上的幾株小植物，葉片上沾了幾滴小雨珠，我總喜歡，用小手電去照它們，這樣的小水滴看起來晶瑩晶瑩的，有一種清清涼涼的:-小雨

初中同學許久未見大學期間突然聯繫請吃飯，態度還良好，我給推了，會不會讓人很煩？

初中同學:初中同學許久未見大學期間突然聯繫請吃飯，態度還良好，我給推了，會不會讓人很煩？吃飯許久未見，意思就是交情不怎麼樣，無功不受祿，人家憑什麼那麼熱情，難道真的是多年一來忘不了咱們之間的同學情誼，倍感想念了嗎，不是請幫忙、做業務、就是借錢，十有八九十借錢。我建議還是不要去的好，大家都很忙:-許久未見

現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心，我愛你更說不出口，好惡心，是什麼心理？

出口心理:現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心，我愛你更說不出口，好惡心，是什麼心理？愛你更多的是心裡問題，可能對方還沒有優秀到你滿意的程度，更沒有到那種離不開的地步！愛情最終還是要回歸生活，而生活離不開兩個人的相處，父母終究會老，孩子終究會飛，所以選擇自己的伴侶尤為重要，你現在覺得噁心更:-喜歡你

劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢？

再見王瀝川好看:劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢？《遇見王瀝川》吧，高以翔的王瀝川太招人稀罕了。長相，身材，家世，人品，才能樣樣好，簡直完美，挑不出任何毛病，實在要說一個缺點的話，那就是太tm完美，天妒英才、才讓他飽受病魔折磨。偶像劇、深情帥氣的男主:-何以笙簫默

計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎？是否還需要繼續讀研？

學歷是求職必備條件。有了工作不能停止對知識的探索。更高的學歷，可以讓你有更專業的技術能力和學習能力，可以讓你拓展自己的交際圈，可以讓你更知名。總之，活到老，學到老，學習對人總是有好處的，技多不壓身嘛！:-字節跳動:計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎？是否還需要繼續讀研？讀研計算機專業

生完二胎的你們，現在有什麼感想？

二胎家庭日常是什麼樣的？是不是覺得家裡多了一個小人兒，溫馨多了？不存在的！生二胎根本是媽媽們的渡劫磨礪！以前週末睡到自然醒，現在全年無休，時刻警醒著，能睡一次懶覺跟過年似的，黑眼圈不說，頭髮呼啦啦地掉:-生完二胎感想:生完二胎的你們，現在有什麼感想？

華北適合種植蠶豆嗎？

華北適合種植蠶豆，種蠶豆的面積大，在西北，華北，都在種植蠶豆，蠶豆莖稈根部有根瘤菌是種植其它農作物的好茬地，特別是土壤培養和防病蟲害起到作用。:-蠶豆種植適合:華北適合種植蠶豆嗎？華北

華為手機更新EMUI10.1系統後效果咋樣？

大家知道現在智能手機的性能不僅僅跟智能手機的硬件有關，還跟智能手機的系統軟件息息相關，在國產智能手機操作系統裡，小米的MIUI系統跟華為的EMUI系統都是比較優秀的操作系統。最近小米推出了小米MIUI:-咋樣華為華為手機更新:華為手機更新EMUI10.1系統後效果咋樣？

大熱天蜜蜂老是爬到箱外結群正常嗎？

蜜蜂爬到:大熱天蜜蜂老是爬到箱外結群正常嗎？盜蜂現在正是夏季，很多地方蜜源稀少，蜂群中可能缺蜜，也是胡蜂猖獗的時間，所以蜂群中是非常容易發生盜蜂的。在蜂群中發生盜蜂的時候，蜂群守衛蜂會增多，但是這種情況引發的蜜蜂在蜂箱外一般不會結團，只是蜜蜂來:-大熱天

辣椒正是生長最佳期，偏偏有的辣椒苗蔫，不是病蟲害是咋回事？

最佳期霧都山客來回答您的問題。最近山客家鄉的村民正在進行辣椒移栽，確實有像題主提到的情形，辣椒苗移栽前長勢蔥蔥，嫩綠喜人，但是移栽後幾天內就出現萎蔫現象，細心觀察也不是被病蟲害危害。那究竟是什麼原因導致辣椒:-苗蔫辣椒咋回事:辣椒正是生長最佳期，偏偏有的辣椒苗蔫，不是病蟲害是咋回事？

手機相機發展的最終形態會是怎樣的？

最近這幾年手機在電子產品行業裡可謂是發展速度非常快，蘋果和華為兩大公司可以說也是，明爭暗鬥，產品一次比一次有賣點，前一段時間華為和蘋果還都推出了手機新品，兩家都在大力宣傳強調著拍照功能，像iPhone:-形態相機手機最終:手機相機發展的最終形態會是怎樣的？

華為為什麼不出一款5寸全面屏手機呢？我想應該會有很多人支持吧？

5寸手機支持:華為為什麼不出一款5寸全面屏手機呢？我想應該會有很多人支持吧？很高興回答你的問題，刷頭條刷出來的問題，看到很多人回答，感覺還有一些觀點沒有寫出，所以我來回答一下。首先，華為為什麼不出小尺寸全面屏手機？其實並不只有華為一家沒有出小屏手機，放眼近期各大手機廠商發佈的:-華為

生吃山芋，生吃胡蘿蔔，還有哪些蔬菜可以生吃呢？

胡蘿蔔蔬菜:生吃山芋，生吃胡蘿蔔，還有哪些蔬菜可以生吃呢？第一種，黃瓜。這個瓜，可不是菜市場中堆放滿滿的青瓜。各位可要睜大眼睛看清楚了，這個黃瓜，青中帶黃，品種屬以前鄉下農戶少量種植的，形態上面來看這種瓜矮、短、圓，表面覆蓋有比較淡的細毛，經水輕輕沖洗之後整:-山芋

為什麼馬鈴薯不宜過早過遲播種？

不宜:為什麼馬鈴薯不宜過早過遲播種？播種過早為什麼馬鈴薯不宜過早過遲播種？馬鈴薯的種植主要是由於氣候條件的限制，過早出苗後容易遇到低溫被凍死，種植晚了容易遇到乾旱和高溫，影響產量。馬鈴薯種植時間的早晚必須根據種植地方的氣候條件來確定。馬鈴薯生長:-馬鈴薯

疫情愈發嚴重，原油為何反而大漲？

原油愈發:疫情愈發嚴重，原油為何反而大漲？疫情愈發嚴重和原油大漲沒有必然關係。但是資金總是從高處流向低處，原油價格跌的越多，投資價值越明顯，相對於其他產業更有投資價值。舉個例子：深圳南山房價均價大約6萬左右，寶安均價5萬左右，如果南山房價漲到:-疫情

生菜球很好吃，怎麼種植才能高產呢？

種植:生菜球很好吃，怎麼種植才能高產呢？高產對環境條件的要求、1.溫度生菜球為喜冷涼、忌高溫作物，種子在4度以上可發芽、以15～20度為發芽適溫。幼苗能耐較低溫度，日平均溫度12度時生長壯健，葉球生長最適溫度為13～16度。不過目前有些結球生菜:-生菜

裝修高手來幫忙看下144平，套內122平，怎麼三房改四房？？

看下這個戶型三房改四房，改一個小房間，應該沒有問題。△原戶型圖這個戶型改四房，能改的方案比較多，但是修改以後是否好用，是一件值得考慮的事情。一、主臥室變為兩個臥室可以將主臥室改為兩個臥室，但是這樣的改動佔:-房改 122:裝修高手來幫忙看下144平，套內122平，怎麼三房改四房？？ 144

大家幫忙看看這個房子如果要砸牆的話，怎麼改比較好？

房子:大家幫忙看看這個房子如果要砸牆的話，怎麼改比較好？這個戶型砸牆，當然可以砸牆，但是在砸牆之前，要搞清楚為什麼要砸牆，砸牆以後有什麼優劣。△原戶型原戶型圖上的白色牆體部分不是承重牆，理論上說否可以砸掉。但是外牆和與旁邊戶型或者是公共區域的共用牆體和圖上:-幫忙

意蜂夏季喝什麼水降溫？

降溫意蜂夏季喝什麼水降溫？氣溫高，蜂巢溫度高的情況下，蜜蜂是通過採水的辦法掛在蜂箱的四壁來蒸發帶走熱量，降低蜂巢溫度同時也能幫助蜂群維持正常的溼度。在平常的情況下，蜜蜂是在室外採自然水的。夏季消耗的水量:-意蜂夏季:意蜂夏季喝什麼水降溫？

黃瓜種子催芽後種植需要打底水嗎？

黃瓜種子:黃瓜種子催芽後種植需要打底水嗎？你好很高興回答這個問題。答案：不用。1-2天可出芽。黃瓜種子催芽：選用飽滿的種子，用30℃水浸泡4小時後催芽。也可用100倍福爾馬林溶液浸泡種子10-20分鐘，洗淨後清水浸種3-4小時，然後於25-3:-催芽黃瓜打底

書友們展示一下自我感覺發揮較好的作品，一起學習？

自我較好這幅作品是參賽的，色彩的搭配，紙張的拼接都是自己設計完成的，一如既往的清新淡雅感覺。書體用的魏碑中楷書，增加了書寫的趣味性。:-書友展示:書友們展示一下自我感覺發揮較好的作品，一起學習？