随着信息安全的日益受到重视，加密敏感数据在应用程序中变得越来越重要。Jasypt（Java Simplified Encryption）作为一个简化Java应用程序中数据加密的工具，为开发者提供了一种便捷而灵活的加密解决方案。本文将深入解析Jasypt的工作原理，以及如何在Spring Boot项目中集成和使用Jasypt来保护敏感信息。

springboot-jasypt.jpg

Jasypt简介

Jasypt（Java Simplified Encryption）是一个专注于简化Java加密操作的工具。它提供了一种简单而强大的方式来处理数据的加密和解密，使开发者能够轻松地保护应用程序中的敏感信息，如数据库密码、API密钥等。

Jasypt的设计理念是简化加密操作，使其对开发者更加友好。它采用密码学强度的加密算法，支持多种加密算法，从而平衡了性能和安全性。其中，Jasypt的核心思想之一是基于密码的加密（Password Based Encryption，PBE），通过用户提供的密码生成加密密钥，然后使用该密钥对数据进行加密和解密。

该工具还引入了盐（Salt）的概念，通过添加随机生成的盐值，提高了加密的安全性，防止相同的原始数据在不同的加密过程中产生相同的结果，有效抵御彩虹表攻击。

Jasypt与Spring Boot天然契合，可以轻松集成到Spring Boot项目中，为开发者提供了更便捷的数据安全解决方案。通过Jasypt，开发者可以在不深入了解底层加密算法的情况下，轻松实现数据的安全保护，使得应用程序更加可靠和安全。

官网地址： http://www.jasypt.org/

github地址： github.com/ulisesbocch…

Spring Boot 3 集成 Jasypt

添加依赖

在pom文件中添加一下依赖

<dependency>

  <groupId>com.github.ulisesbocchio</groupId>

  <artifactId>jasypt-spring-boot</artifactId>

  <version>3.0.5</version>

</dependency>

添加配置文件

未指定前后缀的话默认格式ENC()括号里面是加密后的密文 然后实现自动解密

spring:

  # 数据源配置

  datasource:

    type: com.alibaba.druid.pool.DruidDataSource

    driver-class-name: com.mysql.cj.jdbc.Driver

    url: jdbc:mysql://192.168.10.106:3306/xj_doc?characterEncoding=utf8&serverTimezone=Asia/Shanghai

    username: root

    password: ENC(BLC3UQBxshlcA9tnMyJL7w==)



# 加密配置

jasypt:

  encryptor:

    # 指定加密密钥，生产环境请放到启动参数里面

    password: 0f7b0a5d-46bc-40fd-b8ed-3181d21d644f

    # 指定解密算法，需要和加密时使用的算法一致

    algorithm: PBEWithMD5AndDES

    

    iv-generator-classname: org.jasypt.iv.NoIvGenerator



#    property:

#      # 算法识别的前后缀，默认ENC()，包含在前后缀的加密信息，会使用指定算法解密

#      prefix: ENC@[

#      suffix: ]

启动类添加注解

在启动类上添加注解@EnableEncryptableProperties注解来开启自动解密

@SpringBootApplication

@MapperScan("cn.xj.xjdoc.**.mapper")

@EnableEncryptableProperties  //开启自动解密功能

public class XjdocApplication {

 public static void main(String[] args) {

  SpringApplication.run(XjdocApplication.class, args);

 }

}

测试类

public class JasyptUtil {



    public static void main(String[] args){

        StandardPBEStringEncryptor standardPBEStringEncryptor =new StandardPBEStringEncryptor();

        /*配置文件中配置如下的算法*/

        standardPBEStringEncryptor.setAlgorithm("PBEWithMD5AndDES");

        /*配置文件中配置的password*/

        standardPBEStringEncryptor.setPassword("0f7b0a5d-46bc-40fd-b8ed-3181d21d644f");

        //加密

        String jasyptPasswordEN =standardPBEStringEncryptor.encrypt("xj2022");

        //解密

        String jasyptPasswordDE =standardPBEStringEncryptor.decrypt(jasyptPasswordEN);

        System.out.println("加密后密码："+jasyptPasswordEN);

        System.out.println("解密后密码："+jasyptPasswordDE);

    }

}

生产环境安全处理

jasypt的password值放在配置文件中在生产环境中是不安全的，我们可以将password值放到启动命令中，删除配置文件中password 的配置行，启动命令如下所示：

java -Djasypt.encryptor.password=password -jar jasypt-spring-boot-demo-0.0.1-SNAPSHOT.jar

或者

java -jar jasypt-spring-boot-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=password

总结

Jasypt作为一个简单而强大的加密工具，为Java应用程序提供了便捷的数据保护方案。通过与Spring Boot的集成，开发者可以在应用程序中轻松地加密和解密敏感信息。在实际项目中，选择合适的加密方式、安全存储密码以及与Spring Security等安全框架的集成，都是保障应用程序安全的关键步骤。希望本文能够帮助读者更深入地了解Jasypt，并在实际项目中合理地运用加密技术。

Springboot3 + SpringSecurity + JWT + OpenApi3 实现双token

目前全网最新的 Spring Security + JWT 实现双 Token 的案例！收藏就对了，欢迎各位看友学习参考。此项目由作者个人创作，可以供大家学习和项目实战使用，创作不易，转载请注明出处！

该项目使用目前最新的 Sprin Boot3 版本，采用目前市面上最主流的 JWT 认证方式，实现双token刷新。

温馨提示：SpringBoot3 版本必须要使用 JDK11 或 JDK19

SpringBoot3 新特性

Spring Boot3 是一个非常重要的版本，将会面临一个新的发展征程！Sprin Boot 3.0 包含了 12 个月以来，151 个人的 5700+ 次 commit 的贡献。这是自 4 年半前发布的 2.0 版本以来的第一次重大修订，这也是第一个支持 Spring Framework 6.0 和 GraaIVM 的 Spring Boot GA 版本。

Spring Boot 3.0 新版本的主要亮点：

为什么采用双 Token刷新？

**场景假设：**星期四小金上班的时候摸鱼，准备在某APP 上面追剧，已经深深的陷入了角色中无法自拔，此时如果 Token 过期了 ，小金就不得不重新返回登录界面，重新进行登录，那么这样小金的一次完整的追剧体验就被打断了，这种设计带给小金的体验并不好，于是就需要使用双 Token 来解决。

**如何使用：**在小金首次登陆 APP 时，APP 会返回两个 Token 给小金，一个 accessToken，一个 refreshToken，其中 accessToken 的过期时间比较短，refreshToken 的时间比较长。当 accessToken 失效后，会通过 refreshToken 去重新获取 accessToken，这样一来就可以在不被察觉的情况下仍然使小金保持登录状态，让小金误以为自己一直是登录的状态。并且每次使用refreshToken 后会刷新，每一次刷新后的 refreshToken 都是不相同的。

**优势说明：**小金能够有一次完整的追剧体验，除非摸鱼时被老板发现了。accessToken 的存在，保证了登录的正常验证，因为 accessToken 的过期时间比较短，所以也可以保证账号的安全性。refreshToken 的存在，保证了小金无需在短时间内反复的登录来保持 Token 的有效性，同时也保证了活跃用户的登录状态可以一直延续而不需要重新登录，反复刷新也防止了某些不怀好意的人获取 refreshToken 后对用户账号进行不良操作。

一图胜千言:

项目准备

项目采用 Spring Boot 3 + Spring Security + JWT + MyBatis-Plus + Lombok 进行搭建。

创建数据库

user 表

token 表

在实际中应该把 token 信息保存到 redis

创建 Spring Boot 项目

创建一个 Spring Boot 3 项目，一定要选择 Java 17 或者 Java 19

引入依赖

<dependency>

    <groupId>org.springframework.bootgroupId>

    <artifactId>spring-boot-starter-securityartifactId>

    <version>3.0.4version>

dependency>



<dependency>

    <groupId>io.jsonwebtokengroupId>

    <artifactId>jjwt-apiartifactId>

    <version>0.11.5version>

dependency>

<dependency>

    <groupId>io.jsonwebtokengroupId>

    <artifactId>jjwt-implartifactId>

    <version>0.11.5version>

dependency>

<dependency>

    <groupId>io.jsonwebtokengroupId>

    <artifactId>jjwt-jacksonartifactId>

    <version>0.11.5version>

dependency>

编写配置文件

server:

    port: 8417

spring:

    application:

      name: Spring Boot 3 + Spring Security + JWT + OpenAPI3

    datasource:

        url: jdbc:mysql://localhost:3306/w_admin

        username: root

        password: jcjl417

mybatis-plus:

    configuration:

      log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

    global-config:

        db-config:

            table-prefix: t_

            id-type: auto

    type-aliases-package: com.record.security.entity

    mapper-locations: classpath:mapper/*.xml

application:

    security:

        jwt:

            secret-key: VUhJT0pJT0hVWUlHRFVGVFdPSVJISVVHWUZHVkRVR0RISVVIREJZI1VJSEZTVUdZR0ZTVVk=

            expiration: 86400000 # 1天

            refresh-token:

                expiration: 604800000 # 7 天

springdoc:

    swagger-ui:

        path: /docs.html

        tags-sorter: alpha

        operations-sorter: alpha

    api-docs:

        path: /v3/api-docs

项目实现

准备项目所需要的一系列代码，如 entity、controller 、service、mapper 等

系统角色 Role

定义一个角色（Role）枚举，详细代码参考文章结尾处的项目源码

public enum Role {



  // 用户

  USER(Collections.emptySet()),

  // 一线人员

  CHASER( ... ),

  // 部门主管

  SUPERVISOR( ... ),

  // 系统管理员

  ADMIN( ... ),

  ;



  @Getter

  private final Set permissions;



  public List getAuthorities() {

    var authorities = getPermissions()

            .stream()

            .map(permission -> new SimpleGrantedAuthority(permission.getPermission()))

            .collect(Collectors.toList());

    authorities.add(new SimpleGrantedAuthority("ROLE_" + this.name()));

    return authorities;

  }

}

User 实现 UserDetails

温馨提示：

由于 Spring Security 源码设计的时候 ，将用户名和密码属性定义为 username 和 password，所以我们看到的大部分教程都会遵循源码中的方式，习惯性的将用户名定义为 username，密码定义为 password。

其实我们大可不必遵守这个规则，在我的系统中使用邮箱登录，也即是将邮箱（email）作为 Security 中的用户名（username），那么我必须要将用户输入的 email 作为 username 来存放，这会使我感到非常的不适，因为我的系统中正真的 username 将会 用另外一个单词来命名。

如何避免登录时的字段必须设置为 username 和 password 呢？

重写 getter方法， 只有你的系统中登录的用户名和密码属性不是 username 和 password 的情况下 ，你进行重写才会看到下面红色框中的提示。

重写 username 和 password 的 getter方法

@Override

public String getUsername() {

    return email;

}



@Override

public String getPassword() {

    return password;

}

Security 配置文件

需要注意的是 WebSecurityConfigurerAdapter 在 Spring Security 中已经被弃用和移除了

下面将采用新的配置文件

@Configuration

@EnableWebSecurity

@RequiredArgsConstructor

@EnableMethodSecurity

public class SecurityConfiguration {



  private final JwtAuthenticationFilter jwtAuthFilter;

  private final AuthenticationProvider authenticationProvider;

  private final LogoutHandler logoutHandler;

  private final RestAuthorizationEntryPoint restAuthorizationEntryPoint;

  private final RestfulAccessDeniedHandler restfulAccessDeniedHandler;



  @Bean

  public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

    http.csrf()

            .disable()

            .authorizeHttpRequests()

            .requestMatchers(

                "/api/v1/auth/**",

                "/api/v1/test/**",

                "/v2/api-docs",

                "/v3/api-docs",

                "/v3/api-docs/**",

                "/swagger-resources",

                "/swagger-resources/**",

                "/configuration/ui",

                "/configuration/security",

                "/swagger-ui/**",

                "/doc.html",

                "/webjars/**",

                "/swagger-ui.html",

                "/favicon.ico"

            ).permitAll()

            .requestMatchers("/api/v1/supervisor/**").hasAnyRole(SUPERVISOR.name(), ADMIN.name())



            .requestMatchers(GET, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_READ.name(), ADMIN_READ.name())

            .requestMatchers(POST, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_CREATE.name(), ADMIN_CREATE.name())

            .requestMatchers(PUT, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_UPDATE.name(), ADMIN_UPDATE.name())

            .requestMatchers(DELETE, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_DELETE.name(), ADMIN_DELETE.name())



            .requestMatchers("/api/v1/chaser/**").hasRole(CHASER.name())



            .requestMatchers(GET, "/api/v1/chaser/**").hasAuthority(CHASER_READ.name())

            .requestMatchers(POST, "/api/v1/chaser/**").hasAuthority(CHASER_CREATE.name())

            .requestMatchers(PUT, "/api/v1/chaser/**").hasAuthority(CHASER_UPDATE.name())

            .requestMatchers(DELETE, "/api/v1/chaser/**").hasAuthority(CHASER_DELETE.name())



            .anyRequest()

            .authenticated()

            .and()

            .sessionManagement()

            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)

            .and()

            .authenticationProvider(authenticationProvider)

            //添加jwt 登录授权过滤器

            .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class)

            .logout()

            .logoutUrl("/api/v1/auth/logout")

            .addLogoutHandler(logoutHandler)

            .logoutSuccessHandler((request, response, authentication) -> SecurityContextHolder.clearContext())



    ;

    //添加自定义未授权和未登录结果返回

    http.exceptionHandling()

            .accessDeniedHandler(restfulAccessDeniedHandler)

            .authenticationEntryPoint(restAuthorizationEntryPoint);



    return http.build();

  }

}

OpenApi 配置文件

OpenApi 依赖

<dependency>

    <groupId>org.springdocgroupId>

    <artifactId>springdoc-openapi-starter-webmvc-uiartifactId>

    <version>2.1.0version>

dependency>

OpenApiConfig 配置

OpenApi3 生成接口文档，主要配置如下

• Api Gr0up（分组）


• Bearer Authorization（认证）


• Customer（自定义请求头等）

@Configuration

public class OpenApiConfig {



    @Bean

    public OpenAPI customOpenAPI(){

        return new OpenAPI()

                .info(info())

                .externalDocs(externalDocs())

                .components(components())

                .addSecurityItem(securityRequirement())

                ;

    }



    private Info info(){

        return new Info()

                .title("京茶吉鹿的 Demo")

                .version("v0.0.1")

                .description("Spring Boot 3 + Spring Security + JWT + OpenAPI3")

                .license(new License()

                        .name("Apache 2.0") // The Apache License, Version 2.0

                        .url("https://www.apache.org/licenses/LICENSE-2.0.html"))

                .contact(new Contact()

                        .name("京茶吉鹿")

                        .url("http://localost:8417")

                        .email("jc.top@qq.com"))

                .termsOfService("http://localhost:8417")

                ;

    }



    private ExternalDocumentation externalDocs() {

        return new ExternalDocumentation()

                .description("京茶吉鹿的开放文档")

                .url("http://localhost:8417/docs");

    }



    private Components components(){

        return new Components()

                .addSecuritySchemes("Bearer Authorization",

                        new SecurityScheme()

                                .name("Bearer 认证")

                                .type(SecurityScheme.Type.HTTP)

                                .scheme("bearer")

                                .bearerFormat("JWT")

                                .in(SecurityScheme.In.HEADER)

                )

                .addSecuritySchemes("Basic Authorization",

                        new SecurityScheme()

                                .name("Basic 认证")

                                .type(SecurityScheme.Type.HTTP)

                                .scheme("basic")

                )

                ;



    }



    private SecurityRequirement securityRequirement() {

        return new SecurityRequirement()

                .addList("Bearer Authorization");

    }



    private List security(Components components) {

        return components.getSecuritySchemes()

                .keySet()

                .stream()

                .map(k -> new SecurityRequirement().addList(k))

                .collect(Collectors.toList());

    }





    /**

     * 通用接口

     * @return

     */

    @Bean

    public Gr0upedOpenApi publicApi(){

        return Gr0upedOpenApi.builder()

                .group("身份认证")

                .pathsToMatch("/api/v1/auth/**")

                // 为指定组设置请求头

                // .addOperationCustomizer(operationCustomizer())

                .build();

    }

    

    /**

     * 一线人员

     * @return

     */

    @Bean

    public Gr0upedOpenApi chaserApi(){

        return Gr0upedOpenApi.builder()

                .group("一线人员")

                .pathsToMatch("/api/v1/chaser/**",

                        "/api/v1/experience/search/**",

                        "/api/v1/log/**",

                        "/api/v1/contact/**",

                        "/api/v1/admin/user/update")

                .pathsToExclude("/api/v1/experience/search/id")

                .build();

    }



    /**

     * 部门主管

     * @return

     */

    @Bean

    public Gr0upedOpenApi supervisorApi(){

        return Gr0upedOpenApi.builder()

                .group("部门主管")

                .pathsToMatch("/api/v1/supervisor/**",

                        "/api/v1/experience/**",

                        "/api/v1/schedule/**",

                        "/api/v1/contact/**",

                        "/api/v1/admin/user/update")

                .build();

    }



    /**

     * 系统管理员

     * @return

     */

    @Bean

    public Gr0upedOpenApi adminApi(){

        return Gr0upedOpenApi.builder()

                .group("系统管理员")

                .pathsToMatch("/api/v1/admin/**")

                // .addOpenApiCustomiser(openApi -> openApi.info(new Info().title("京茶吉鹿接口—Admin")))

                .build();

    }

}

Security 接口赋权的方式

hasRole及hasAuthority的区别?

hasAuthority能通过的身份必须与字符串一模一样，而hasRole能通过的身前缀必须带有ROLE_，同时可以通过两种字符串，一是带有前缀ROLE_，二是不带前缀ROLE_。

通过配置文件

在配置文件中指明访问路径的权限

.requestMatchers("/api/v1/supervisor/**").hasAnyRole(SUPERVISOR.name(), ADMIN.name())

.requestMatchers(GET, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_READ.name(), ADMIN_READ.name())

.requestMatchers(POST, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_CREATE.name(), ADMIN_CREATE.name())

.requestMatchers(PUT, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_UPDATE.name(), ADMIN_UPDATE.name())

.requestMatchers(DELETE, "/api/v1/supervisor/**").hasAnyAuthority(SUPERVISOR_DELETE.name(), ADMIN_DELETE.name())

.requestMatchers("/api/v1/chaser/**").hasRole(CHASER.name())

.requestMatchers(GET, "/api/v1/chaser/**").hasAuthority(CHASER_READ.name())

.requestMatchers(POST, "/api/v1/chaser/**").hasAuthority(CHASER_CREATE.name())

.requestMatchers(PUT, "/api/v1/chaser/**").hasAuthority(CHASER_UPDATE.name())

.requestMatchers(DELETE, "/api/v1/chaser/**").hasAuthority(CHASER_DELETE.name())

通过注解

@RestController

@RequestMapping("/api/v1/admin")

@PreAuthorize("hasRole('ADMIN')")

@Tag(name = "系统管理员权限测试")

public class AdminController {



    @GetMapping

    @PreAuthorize("hasAuthority('admin:read')")

    public String get() {

        return "GET |==| AdminController";

    }





    @PostMapping

    @PreAuthorize("hasAuthority('admin:create')")

    public String post() {

        return "POST |==| AdminController";

    }

}

测试

我们登录认证成功后，系统会为我们返回 access_token 和 refresh_token。

前言

对于后端开发同学来说，访问数据库，是代码中必不可少的一个环节。

系统中收集到用户的核心数据，为了安全性，我们一般会存储到数据库，比如：mysql，oracle等。

后端开发的日常工作，需要不断的建库和建表，来满足业务需求。

通常情况下，建库的频率比建表要低很多，所以，我们这篇文章主要讨论建表相关的内容。

如果我们在建表的时候不注意细节，等后面系统上线之后，表的维护成本变得非常高，而且很容易踩坑。

今天就跟大家一起聊聊，数据库建表的18个小技巧。

文章中介绍的很多细节，我在工作中踩过坑，并且实践过的，非常有借鉴意义，希望对你会有所帮助。

1.名字

建表的时候，给表、字段和索引起个好名字，真的太重要了。

1.1 见名知意

名字就像表、字段和索引的一张脸，可以给人留下第一印象。

好的名字，言简意赅，见名知意，让人心情愉悦，能够提高沟通和维护成本。

坏的名字，模拟两可，不知所云。而且显得杂乱无章，看得让人抓狂。

反例：

用户名称字段定义成：yong_hu_ming、用户_name、name、user_name_123456789

你看了可能会一脸懵逼，这是什么骚操作？

正例：

用户名称字段定义成：user_name

温馨提醒一下，名字也不宜过长，尽量控制在30个字符以内。

1.2 大小写

名字尽量都用小写字母，因为从视觉上，小写字母更容易让人读懂。

反例：

字段名：PRODUCT_NAME、PRODUCT_name

全部大写，看起来有点不太直观。而一部分大写，一部分小写，让人看着更不爽。

正例：

字段名：product_name

名字还是使用全小写字母，看着更舒服。

1.3 分隔符

很多时候，名字为了让人好理解，有可能会包含多个单词。

那么，多个单词间的分隔符该用什么呢？

反例：

字段名：productname、productName、product name、product@name

单词间没有分隔，或者单词间用驼峰标识，或者单词间用空格分隔，或者单词间用@分隔，这几种方式都不太建议。

正例：

字段名：product_name

强烈建议大家在单词间用_分隔。

1.4 表名

对于表名，在言简意赅，见名知意的基础之上，建议带上业务前缀。

如果是订单相关的业务表，可以在表名前面加个前缀：order_。

例如：order_pay、order_pay_detail等。

如果是商品相关的业务表，可以在表名前面加个前缀：product_。

例如：product_spu，product_sku等。

这样做的好处是为了方便归类，把相同业务的表，可以非常快速的聚集到一起。

另外，还有有个好处是，如果哪天有非订单的业务，比如：金融业务，也需要建一个名字叫做pay的表，可以取名：finance_pay，就能非常轻松的区分。

这样就不会出现同名表的情况。

1.5 字段名称

字段名称是开发人员发挥空间最大，但也最容易发生混乱的地方。

比如有些表，使用flag表示状态，另外的表用status表示状态。

可以统一一下，使用status表示状态。

如果一个表使用了另一个表的主键，可以在另一张表的名后面，加_id或_sys_no，例如：

在product_sku表中有个字段，是product_spu表的主键，这时候可以取名：product_spu_id或product_spu_sys_no。

还有创建时间，可以统一成：create_time，修改时间统一成：update_time。

删除状态固定为：delete_status。

其实还有很多公共字段，在不同的表之间，可以使用全局统一的命名规则，定义成相同的名称，以便于大家好理解。

1.6 索引名

在数据库中，索引有很多种，包括：主键、普通索引、唯一索引、联合索引等。

每张表的主键只有一个，一般使用：id或者sys_no命名。

普通索引和联合索引，其实是一类。在建立该类索引时，可以加ix_前缀，比如：ix_product_status。

唯一索引，可以加ux_前缀，比如：ux_product_code。

2.字段类型

在设计表时，我们在选择字段类型时，可发挥空间很大。

时间格式的数据有：date、datetime和timestamp等等可以选择。

字符类型的数据有：varchar、char、text等可以选择。

数字类型的数据有：int、bigint、smallint、tinyint等可以选择。

说实话，选择很多，有时候是一件好事，也可能是一件坏事。

如何选择一个合适的字段类型，变成了我们不得不面对的问题。

如果字段类型选大了，比如：原本只有1-10之间的10个数字，结果选了bigint，它占8个字节。

其实，1-10之间的10个数字，每个数字1个字节就能保存，选择tinyint更为合适。

这样会白白浪费7个字节的空间。

如果字段类型择小了，比如：一个18位的id字段，选择了int类型，最终数据会保存失败。

所以选择一个合适的字段类型，还是非常重要的一件事情。

以下原则可以参考一下：

3.字段长度

前面我们已经定义好了字段名称，选择了合适的字段类型，接下来，需要重点关注的是字段长度了。

比如：varchar(20)，biginit(20)等。

那么问题来了，varchar代表的是字节长度，还是字符长度呢？

答：在mysql中除了varchar和char是代表字符长度之外，其余的类型都是代表字节长度。

biginit(n) 这个n表示什么意思呢？

假如我们定义的字段类型和长度是：bigint(4)，bigint实际长度是8个字节。

现在有个数据a=1，a显示4个字节，所以在不满4个字节时前面填充0（前提是该字段设置了zerofill属性），比如：0001。

当满了4个字节时，比如现在数据是a=123456，它会按照实际的长度显示，比如：123456。

但需要注意的是，有些mysql客户端即使满了4个字节，也可能只显示4个字节的内容，比如会显示成：1234。

所以bigint(4)，这里的4表示显示的长度为4个字节，实际长度还是占8个字节。

4.字段个数

我们在建表的时候，一定要对字段个数做一些限制。

我之前见过有人创建的表，有几十个，甚至上百个字段，表中保存的数据非常大，查询效率很低。

如果真有这种情况，可以将一张大表拆成多张小表，这几张表的主键相同。

建议每表的字段个数，不要超过20个。

5. 主键

在创建表时，一定要创建主键。

因为主键自带了主键索引，相比于其他索引，主键索引的查询效率最高，因为它不需要回表。

此外，主键还是天然的唯一索引，可以根据它来判重。

在单个数据库中，主键可以通过AUTO_INCREMENT，设置成自动增长的。

但在分布式数据库中，特别是做了分库分表的业务库中，主键最好由外部算法(比如：雪花算法）生成，它能够保证生成的id是全局唯一的。

除此之外，主键建议保存跟业务无关的值，减少业务耦合性，方便今后的扩展。

不过我也见过，有些一对一的表关系，比如：用户表和用户扩展表，在保存数据时是一对一的关系。

这样，用户扩展表的主键，可以直接保存用户表的主键。

6.存储引擎

在mysql8以前的版本，默认的存储引擎是myisam，而mysql8以后的版本，默认的存储引擎变成了innodb。

之前我们还在创建表时，还一直纠结要选哪种存储引擎？

myisam的索引和数据分开存储，而有利于查询，但它不支持事务和外键等功能。

而innodb虽说查询性能，稍微弱一点，但它支持事务和外键等，功能更强大一些。

以前的建议是：读多写少的表，用myisam存储引擎。而写多读多的表，用innodb。

但虽说mysql对innodb存储引擎性能的不断优化，现在myisam和innodb查询性能相差已经越来越小。

所以，建议我们在使用mysql8以后的版本时，直接使用默认的innodb存储引擎即可，无需额外修改存储引擎。

7. NOT NULL

在创建字段时，需要选择该字段是否允许为NULL。

我们在定义字段时，应该尽可能明确该字段NOT NULL。

为什么呢？

我们主要以innodb存储引擎为例，myisam存储引擎没啥好说的。

主要有以下原因：

因此，建议我们在定义字段时，能定义成NOT NULL，就定义成NOT NULL。

但如果某个字段直接定义成NOT NULL，万一有些地方忘了给该字段写值，就会insert不了数据。

这也算合理的情况。

但有一种情况是，系统有新功能上线，新增了字段。上线时一般会先执行sql脚本，再部署代码。

由于老代码中，不会给新字段赋值，则insert数据时，也会报错。

由此，非常有必要给NOT NULL的字段设置默认值，特别是后面新增的字段。

例如：

alter table product_sku add column  brand_id int(10) not null default 0;

8.外键

在mysql中，是存在外键的。

外键存在的主要作用是：保证数据的一致性和完整性。

例如：

create table class (

  id int(10) primary key auto_increment,

  cname varchar(15)

);

有个班级表class。

然后有个student表：

create table student(

  id int(10) primary key auto_increment,

  name varchar(15) not null,

  gender varchar(10) not null,

  cid int,

  foreign key(cid) references class(id)

);

其中student表中的cid字段，保存的class表的id，这时通过foreign key增加了一个外键。

这时，如果你直接通过student表的id删除数据，会报异常：

a foreign key constraint fails

必须要先删除class表对于的cid那条数据，再删除student表的数据才行，这样能够保证数据的一致性和完整性。

顺便说一句：只有存储引擎是innodb时，才能使用外键。

如果只有两张表的关联还好，但如果有十几张表都建了外键关联，每删除一次主表，都需要同步删除十几张子表，很显然性能会非常差。

因此，互联网系统中，一般建议不使用外键。因为这类系统更多的是为了性能考虑，宁可牺牲一点数据一致性和完整性。

除了外键之外，存储过程和触发器也不太建议使用，他们都会影响性能。

9. 索引

在建表时，除了指定主键索引之外，还需要创建一些普通索引。

例如：

create table product_sku(

  id int(10) primary key auto_increment,

  spu_id int(10) not null,

  brand_id int(10) not null,

  name varchar(15) not null

);

在创建商品表时，使用spu_id（商品组表）和brand_id（品牌表）的id。

像这类保存其他表id的情况，可以增加普通索引：

create table product_sku (

  id int(10) primary key auto_increment,

  spu_id int(10) not null,

  brand_id int(10) not null,

  name varchar(15) not null,

  KEY `ix_spu_id` (`spu_id`) USING BTREE,

  KEY `ix_brand_id` (`brand_id`) USING BTREE

);

后面查表的时候，效率更高。

但索引字段也不能建的太多，可能会影响保存数据的效率，因为索引需要额外的存储空间。

建议单表的索引个数不要超过：5个。

如果在建表时，发现索引个数超过5个了，可以删除部分普通索引，改成联合索引。

顺便说一句：在创建联合索引的时候，需要使用注意最左匹配原则，不然，建的联合索引效率可能不高。

对于数据重复率非常高的字段，比如：状态，不建议单独创建普通索引。因为即使加了索引，如果mysql发现全表扫描效率更高，可能会导致索引失效。

如果你对索引失效问题比较感兴趣，可以看看我的另一篇文章《聊聊索引失效的10种场景，太坑了》，里面有非常详细的介绍。

10.时间字段

时间字段的类型，我们可以选择的范围还是比较多的，目前mysql支持：date、datetime、timestamp、varchar等。

varchar类型可能是为了跟接口保持一致，接口中的时间类型是String。

但如果哪天我们要通过时间范围查询数据，效率会非常低，因为这种情况没法走索引。

date类型主要是为了保存日期，比如：2020-08-20，不适合保存日期和时间，比如：2020-08-20 12:12:20。

而datetime和timestamp类型更适合我们保存日期和时间。

但它们有略微区别。

• timestamp：用4个字节来保存数据，它的取值范围为1970-01-01 00:00:01 UTC ~ 2038-01-19 03:14:07。此外，它还跟时区有关。


• datetime：用8个字节来保存数据，它的取值范围为1000-01-01 00:00:00 ~ 9999-12-31 23:59:59。它跟时区无关。

优先推荐使用datetime类型保存日期和时间，可以保存的时间范围更大一些。

温馨提醒一下，在给时间字段设置默认值是，建议不要设置成：0000-00-00 00:00:00，不然查询表时可能会因为转换不了，而直接报错。

11.金额字段

mysql中有多个字段可以表示浮点数：float、double、decimal等。

而float和double可能会丢失精度，因此推荐大家使用decimal类型保存金额。

一般我们是这样定义浮点数的：decimal(m,n)。

其中n是指小数的长度，而m是指整数加小数的总长度。

假如我们定义的金额类型是这样的：decimal(10,2)，则表示整数长度是8位，并且保留2位小数。

12. json字段

我们在设计表结构时，经常会遇到某个字段保存的数据值不固定的需求。

举个例子，比如：做异步excel导出功能时，需要在异步任务表中加一个字段，保存用户通过前端页面选择的查询条件，每个用户的查询条件可能都不一样。

这种业务场景，使用传统的数据库字段，不太好实现。

这时候就可以使用MySQL的json字段类型了，可以保存json格式的结构化数据。

保存和查询数据都是非常方便的。

MySQL还支持按字段名称或者字段值，查询json中的数据。

13.唯一索引

唯一索引在我们实际工作中，使用频率相当高。

你可以给单个字段，加唯一索引，比如：组织机构code。

也可以给多个字段，加一个联合的唯一索引，比如：分类编号、单位、规格等。

单个的唯一索引还好，但如果是联合的唯一索引，字段值出现null时，则唯一性约束可能会失效。

关于唯一索引失效的问题，感兴趣的小伙伴可以看看我的另一篇文章《明明加了唯一索引，为什么还是产生重复数据？》。

创建唯一索引时，相关字段一定不能包含null值，否则唯一性会失效。

14.字符集

mysql中支持的字符集有很多，常用的有：latin1、utf-8、utf8mb4、GBK等。

这4种字符集情况如下：

latin1容易出现乱码问题，在实际项目中使用比较少。

而GBK支持中文，但不支持国际通用字符，在实际项目中使用也不多。

从目前来看，mysql的字符集使用最多的还是：utf-8和utf8mb4。

其中utf-8占用3个字节，比utf8mb4的4个字节，占用更小的存储空间。

但utf-8有个问题：即无法存储emoji表情，因为emoji表情一般需要4个字节。

由此，使用utf-8字符集，保存emoji表情时，数据库会直接报错。

所以，建议在建表时字符集设置成：utf8mb4，会省去很多不必要的麻烦。

15. 排序规则

不知道，你关注过没，在mysql中创建表时，有个COLLATE参数可以设置。

例如：

CREATE TABLE `order` (

  `id` bigint NOT NULL AUTO_INCREMENT,

  `code` varchar(20) COLLATE utf8mb4_bin NOT NULL,

  `name` varchar(30) COLLATE utf8mb4_bin NOT NULL,

  PRIMARY KEY (`id`),

  UNIQUE KEY `un_code` (`code`),

  KEY `un_code_name` (`code`,`name`) USING BTREE,

  KEY `idx_name` (`name`)

) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin

它是用来设置排序规则的。

字符排序规则跟字符集有关，比如：字符集如果是utf8mb4，则字符排序规则也是以：utf8mb4_开头的，常用的有：utf8mb4_general_ci、utf8mb4_bin等。

其中utf8mb4_general_ci排序规则，对字母的大小写不敏感。说得更直白一点，就是不区分大小写。

而utf8mb4_bin排序规则，对字符大小写敏感，也就是区分大小写。

说实话，这一点还是非常重要的。

假如order表中现在有一条记录，name的值是大写的YOYO，但我们用小写的yoyo去查，例如：

select * from order where name='yoyo';

如果字符排序规则是utf8mb4_general_ci，则可以查出大写的YOYO的那条数据。

如果字符排序规则是utf8mb4_bin，则查不出来。

由此，字符排序规则一定要根据实际的业务场景选择，否则容易出现问题。

最近就业形式比较困难，为了感谢各位小伙伴对苏三一直以来的支持，我特地创建了一些工作内推群， 看看能不能帮助到大家。

你可以在群里发布招聘信息，也可以内推工作，也可以在群里投递简历找工作，也可以在群里交流面试或者工作的话题。

进群方式

添加苏三的私人微信：su_san_java，备注：掘金+所在城市，即可加入。

16.大字段

我们在创建表时，对一些特殊字段，要额外关注，比如：大字段，即占用较多存储空间的字段。

比如：用户的评论，这就属于一个大字段，但这个字段可长可短。

但一般会对评论的总长度做限制，比如：最多允许输入500个字符。

如果直接定义成text类型，可能会浪费存储空间，所以建议将这类字段定义成varchar类型的存储效率更高。

当然，我还见过更大的字段，即该字段直接保存合同数据。

一个合同可能会占几Mb。

在mysql中保存这种数据，从系统设计的角度来说，本身就不太合理。

像合同这种非常大的数据，可以保存到mongodb中，然后在mysql的业务表中，保存mongodb表的id。

17.冗余字段

我们在设计表的时候，为了性能考虑，提升查询速度，有时可以冗余一些字段。

举个例子，比如：订单表中一般会有userId字段，用来记录用户的唯一标识。

但很多订单的查询页面，或者订单的明细页面，除了需要显示订单信息之外，还需要显示用户ID和用户名称。

如果订单表和用户表的数据量不多，我们可以直接用userId，将这两张表join起来，查询出用户名称。

但如果订单表和用户表的数据量都非常多，这样join是比较消耗查询性能的。

这时候我们可以通过冗余字段的方案，来解决性能问题。

我们可以在订单表中，可以再加一个userName字段，在系统创建订单时，将userId和userName同时写值。

当然订单表中历史数据的userName是空的，可以刷一下历史数据。

这样调整之后，后面只需要查询订单表，即可查询出我们所需要的数据。

不过冗余字段的方案，有利也有弊。

对查询性能有利。

但需要额外的存储空间，还可能会有数据不一致的情况，比如用户名称修改了。

我们在实际业务场景中，需要综合评估，冗余字段方案不适用于所有业务场景。

18.注释

我们在做表设计的时候，一定要把表和相关字段的注释加好。

例如下面这样的：

CREATE TABLE `sys_dept` (

  `id` bigint NOT NULL AUTO_INCREMENT COMMENT 'ID',

  `name` varchar(30) NOT NULL COMMENT '名称',

  `pid` bigint NOT NULL COMMENT '上级部门',

  `valid_status` tinyint(1) NOT NULL DEFAULT 1 COMMENT '有效状态 1:有效 0:无效',

  `create_user_id` bigint NOT NULL COMMENT '创建人ID',

  `create_user_name` varchar(30) NOT NULL COMMENT '创建人名称',

  `create_time` datetime(3) DEFAULT NULL COMMENT '创建日期',

  `update_user_id` bigint DEFAULT NULL COMMENT '修改人ID',

  `update_user_name` varchar(30)  DEFAULT NULL COMMENT '修改人名称',

  `update_time` datetime(3) DEFAULT NULL COMMENT '修改时间',

  `is_del` tinyint(1) DEFAULT '0' COMMENT '是否删除 1：已删除 0：未删除',

  PRIMARY KEY (`id`) USING BTREE,

  KEY `index_pid` (`pid`) USING BTREE

) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4 COMMENT='部门';

表和字段的注释，都列举的非常详细。

特别是有些状态类型的字段，比如：valid_status字段，该字段表示有效状态， 1:有效 0:无效。

让人可以一目了然，表和字段是干什么用的，字段的值可能有哪些。

最怕的情况是，你在表中创建了很多status字段，每个字段都有1、2、3、4、5、6、7、8、9等多个值。

没有写什么注释。

谁都不知道1代表什么含义，2代表什么含义，3代表什么含义。

可能刚开始你还记得。

但系统上线使用一年半载之后，可能连你自己也忘记了这些status字段，每个值的具体含义了，埋下了一个巨坑。

由此，我们在做表设计时，一定要写好相关的注释，并且经常需要更新这些注释。

文章首发于微信公众号：云舒编程

关注公众号获取：
1、大厂项目分享
2、各种技术原理分享
3、部门内推

背景

       最近组里的小伙伴在开发一个更新功能时踩了MySQL的一个类型转换的坑，差点造成线上故障。

本来是一个很简单的逻辑，就是根据唯一的id去更新对应的MySQL数据，代码简化后如下：

​var updates []*model.Goods

for id, newGoods := range update {

 if err := model.GetDB().Model(&model.Goods{}).Where("id = ?", id).Updates(map[string]interface{}{

  "selling_price":  newGoods.SellingPrice,

  "sell_type":      newGoods.SellType,

  "status":         newGoods.Status,

  "category_id":    newGoods.CategoryID,

 }).Error; err != nil {

  return nil, err

 }

}

很明显，$\color{red}{updates []*model.Goods}$本来应该是想声明为 $\color{red}{map[string]*model.Goods}$类型的，然后key是唯一id。这样下面的更新逻辑才是对的，否则拿到的id其实是数组的下标。

但是code review由于跟着一堆代码一起评审了，并且这段更新很简单，同时测试的时候也测试过了(能测试通过也是“机缘巧合”)，所以没有发现这段异常。

发到线上后，进行了灰度集群的测试，这个时候发现只要调用了这个接口，灰度集群的数据全部都变成了一样，回滚后正常。

分析

       回滚后在本地进行复现，由于本地环境是开启了SQL打印的，于是看到了这么一条SQL：很明显是拿数组的下标去比较了

update db_name set selling_price = xx,sell_type = xx where id = 0;

       由于我们的id是全部是通过uuid生成的，所以下意识的认为这条sql应该啥也不会更新才对，但是本地的确只执行了这条sql，没有别的sql，并且db中的数据全部都被修改了。

这个时候想起福尔摩斯的名言$\color{blue}{“排除一切不可能的，剩下的即使再不可能，那也是真相”}$ ，于是抱着试一试的心态直接拿这条sql去db控制台执行了一遍，发现果然所有的数据又都被修改了。

也就是 $\color{red}{where id = 0}$  这个条件对于所有的记录都是恒为true，就会导致所有记录都被更新。在这个时候，想起曾经看到过MySQL对于不同类型的比较会有 $\color{red}{【隐式转换】}$，难道是这个原因导致的？

隐式转换规则

在MySQL官网找到了不同类型比较的规则：



最后一段的意思是：对于其他情况，将按照浮点(双精度)数进行比较。例如，字符串和数字的比较就按照浮点数规则进行比较。

也就是id会首先被转换成浮点数，然后再跟0进行比较。

MySQL字符转为浮点数时会按照如下规则进行：

1.如果字符串的第一个字符就是非数字的字符，那么转换结果就是0；

2.如果字符串以数字开头：

(1)如果字符串都是数字，转换结果就是整个字符串对应的数字；

(2)如果字符串中存在非数字，转换结果就是开头的那些数字对应的值；

举例说明：

"test" -> 0

"1test" -> 1

"12test12" -> 12

由于我们生成的uuid没有数字开头的字符串，于是都会转变成0。那么这条SQL就变成了：

update db_name set selling_price = xx,sell_type = xx where 0 = 0;

就恒为true了。

修复就很简单了，把取id的逻辑改成正确的就行。

为什么测试环境没有发现

       前面有提到这段代码在测试环境是测试通过了的，这是因为开发和测试同学的环境里都只有一条记录，每次更新他发现都能正常更新就认为是正常的了。同时由于逻辑太简单了，所以都没有重视这块的回归测试。

幸好在灰度集群就发现了这个问题，及时进行了回滚，如果发到了线上影响了用户数据，可能就一年白干了。

最后

代码无小事，事事需谨慎啊。一般致命问题往往是一行小小的修改导致的。

各位朋友听我一句劝，写代码提供方法给别人调用时，不管是内部系统调用，还是外部系统调用，还是被动触发调用（比如MQ消费、回调执行等），一定要加上必要的条件校验。千万别信某些同事说的这个条件肯定会传、肯定有值、肯定不为空等等。这不，临过年了我就被坑了一波，弄了个生产事故，年终奖基本是凉了半截。

为了保障系统的高可用和稳定，我发誓以后只认代码不认人。文末总结了几个小教训，希望对你有帮助。

一、事发经过

我的业务场景是：业务A有改动时，发送MQ，然后应用自身接受到MQ后，再组合一些数据写入到Elasticsearch。以下是事发经过：

SELECT xxx,xxx,xxx,xxx FROM 一张大表

6. 立马Kill掉几个慢会话之后，发现系统仍然没有完全恢复，为啥呢？现在数据库已经正常了，怎么还没完全恢复呢？又继续看了应用监控，发现用户中心的10个Pod里有2个Pod异常了，CPU和内存都爆了。难怪使用时出现偶发性的异常呢。于是赶紧重启Pod，先把应用恢复。


7. 问题找到了，接下来就继续排查为什么用户中心的Pod挂掉了。从以下几个怀疑点开始分析：
   
   
   
   
   1. 同步数据到Elasticsearch的代码是不是有问题，怎么会出现连不上Redis的情况呢？
   
   
   2. 会不会是异常过多，导致发送异常告警消息的线程池队列满了，然后就OOM？
   
   
   3. 哪里会对那张业务A的大表做不带条件的全表查询呢？
   
   
   
   


8. 继续排查怀疑点a，刚开始以为：是拿不到Redis链接，导致异常进到了线程池队列，然后队列撑爆，导致OOM了。按照这个设想，修改了代码，升级，继续观察，依旧出现同样的慢SQL 和 用户中心被干爆的情况。因为没有异常了，所以怀疑点b也可以被排除了。


9. 此时基本可以肯定是怀疑点c了，是哪里调用了业务A的大表的全表查询，然后导致用户中心的内存过大，JVM来不及回收，然后直接干爆了CPU。同时也是因为全表数据太大，导致查询时的元数据锁时间过长造成了连接不能够及时释放，最终几乎被耗尽。


10. 于是修改了查询业务A的大表必要校验条件，重新部署上线观察。最终定位出了问题。

C: “嗨，B，我是A。给我你的公钥”

3. B回应A的消息，并附上了他的公钥：

B -> B 的公钥 -> C

4. C用自己的密钥替换了消息中B的密钥，并将消息转发给A，声称这是B的公钥：

C -> C 的公钥 -> A

5. A 用它以为是 B的公钥，加密了以为只有 B 能看到的消息

A -> xxx -> C

6. C 用 B 的密钥进行修改

C -> zzz -> B

这就是整个中间人攻击的流程。

中间人攻击怎么作用到 HTTPS 中？

首先让我来回顾一下 HTTPS 的整个流程：

回顾 HTTPS 过程

这是 HTTPS 原本的流程，但是当我们有了 中间人服务器之后，整个流程就变成了下面这个样子。

这个流程建议动手画个图，便于理解

注意！在这个时候 HTTPS 就可能出现问题了。客户端会询问你：“此网站的证书存在问题，你确定要信任这个证书么。”所以从这个角度来说，其实 HTTPS 的整个流程还是没有什么问题，主要问题还是客户端不够安全。

6. 客户端验证证书的合法性，从证书拿到公钥
7. 客户端生成一个随机数，用公钥加密，发送给服务器，中间人服务器截获
8. 中间人服务器用私钥加密后，得到随机数，然后用随机数根据算法，生成堆成加密密钥，客户端和中间人服务器根据对称加密密钥进行加密。
9. 中间人服务器用服务端给的证书公钥加密，在发送给服务器时
10. 服务器得到信息，进行解密，然后用随机数根据算法，生成对称加密算法

如何预防？

刚才我们说到这里的问题主要在于客户端选择信任了，所以主要是使用者要放亮眼睛，保持警惕

参考文章：

前言

最近接手了公司另一个项目，熟悉业务和代码苦不堪言。

我接手一个新项目，有个习惯，就是看结构，看数据库，搜代码。

其中搜代码是我个人这些年不知不觉形成的癖好，我下面给大家展示下这个小癖好。

正文

我面对一个到手的新项目，会主动去搜索一些关键词，让我对这个项目有个整体健康的认识。

1、直接打印堆栈

比如搜索了printStackTrace()，目的是为了看这个项目中有多少地方直接打印了堆栈。

不搜还好，一搜，沃日，这滚动条，是奏响我悲痛的序章，竟然到处都是这种打印，而且是release分支。

我抽点了一些，看看具体是怎么写的，比如下面这样。

再比如下面这样，我反正长见识了，也可能只是我不会。

2、堆栈+log

比较典型的可能是下面这样，我以前就见过不少次，堆栈和log混合双打。

还无意间发现了这样的打印方式，log、堆栈、throw，纵享丝滑，一气呵成，让我们一起摇摆，哎，一起摇摆哎~

3、log+Json

最后这种，我怀疑是正在看文章的很多人就干过的，入参打印JSON，舒爽的做法，极致的坑爹。

我公司这个更酸爽，用的还是FastJson。

4、小插曲

写到这里，我可以告诉大家我写这篇文章的初衷不是我想教大家学习，因为这就是常识的东西。

我是因为今天的一件事感到意外。

我同组的工作了12年的Java工程师，做过非常多的项目，也确实很有经验且有责任心的同事。

他也写过这样的代码，因为我用IDEA查看了提交人，其中就有他的贡献。

另外，我有把上面log+堆栈+throw的写法给他看看，他的回答非常理所当然。

“这有问题吗，没报错啊”

我当场石化了，然后尴尬的笑笑就聊别的话题了。

讲这个小插曲的原因是什么，一叶知秋，从他身上我能断定，这样的工程师比比皆是。

干了这么多年，连个基本的日志规范都没有概念，哪怕不看什么阿里编码规范，至少对基础性的东西有个了解吧。

5、日志规范

所以，我专程又把以前分享过给大家的阿里巴巴《Java开发手册（黄山版）》掏出来，找出了里面日志规范着重说明的这部分。

正确的打印日志方式如下：

再看这个，第8条，禁止直接打印堆栈。

第9条，正确的打印异常日志的规范，我本人也一直都是第9条这种方式打印的。

另外，第10条说的很清楚，为什么不要在log里面用JSON转换工具，说简单点就是可能会报错，然后导致业务不走了。

一个日志打印本来是辅助排查问题用的，结果影响了正常业务流程，你说这是不是隐患。

而且，还告诉你了要如何打印入参，就是用toString()方法就行。

看看，写得多好，但是有多少人真的看了，都像你买的网课一样存在那里摆烂了吧。

总结

希望大家认真看一看，虽然简单，可很多程序员就差这么点意思，还是要养成好习惯哦。

⏰ : 全文字数：5500+

🥅 : 内容关键字：LiveData数据倒灌

数据倒灌现象

对于LiveData“数据倒灌”的问题，我相信很多人已经都了解了，这里提一下。所谓的“数据倒灌”：其实是类似粘性广播那样，当新的观察者开始注册观察时，会把上次发的最后一次的历史数据传递给当前注册的观察者。

比如在在下面的例子代码中：

val testViewModel = ViewModelProvider(this)[TestViewModel::class.java]

testViewModel.updateData("第一次发送数据")

testViewModel.testLiveData.observe(this,object :Observer{

    override fun onChanged(value: String) {

        println("==============$value")

    }

})

updateData方法发送了一次数据，当下面调用LiveData的observe方法时，会立即打印==============第一次发送数据，这就是上面说的“数据倒灌”现象。

发生原因

原因其实也很简单，其实就是 LiveData内部有一个mVersion字段，记录版本，其初始的 mVersion 是-1，当我们调用了其 setValue 或者 postValue，其 mVersion 会+1；对于每一个观察者的封装 ObserverWrapper，其初始 mLastVersion 也为-1，也就是说，每一个新注册的观察者，其 mLastVersion 为-1；当 LiveData 设置这个 ObserverWrapper 的时候，如果 LiveData 的 mVersion 大于 ObserverWrapper 的 mLastVersion，LiveData 就会强制把当前 value 推送给 Observer。

也就是下面这段代码

    private void considerNotify(ObserverWrapper observer) {

        if (!observer.mActive) {

            return;

        }



        if (!observer.shouldBeActive()) {

            observer.activeStateChanged(false);

            return;

        }

        // 判断observer的版本是否大于LiveData的版本mVersion

        if (observer.mLastVersion >= mVersion) {

            return;

        }

        observer.mLastVersion = mVersion;

        observer.mObserver.onChanged((T) mData);

    }

所以要解决这个问题，思路上有两种方式：

• 通过改变每个ObserverWrapper的版本号的值


• 通过某种方式，保证第一次分发不响应

解决方法

目前网络上可以看到有三种解决方式

每次只响应一次

public class SingleLiveData<T> extends MutableLiveData<T> {

    private final AtomicBoolean mPending = new AtomicBoolean(false);



    public SingleLiveData() {

    }



    public void observe(@NonNull LifecycleOwner owner, @NonNull Observersuper T> observer) {

        super.observe(owner, (t) -> {

            if (this.mPending.compareAndSet(true, false)) {

                observer.onChanged(t);

            }



        });

    }



    @MainThread

    public void setValue(@Nullable T t) {

        this.mPending.set(true);

        super.setValue(t);

    }



    @MainThread

    public void call() {

        this.setValue((Object)null);

    }

}

这个方法能解决历史数据往回发的问题，但是对于多Observe监听就不行了，只能单个监听，如果是多个监听，只有一个能正常收到，其他的就无法正常工作

反射

这种方式就是每次注册观察者时，通过反射获取LiveData的版本号，然后又通过反射修改当前Observer的版本号值。这种方式的优点是：

• 能够多 Observer 监听


• 解决粘性问题

但是也有缺点：

• 每次注册 observer 的时候，都需要反射更新版本，耗时有性能问题

UnPeekLiveData

public class UnPeekLiveData extends LiveData {



    protected boolean isAllowNullValue;



    private final HashMap observers = new HashMap();



    public void observeInActivity(@NonNull AppCompatActivity activity, @NonNull Observer super T> observer) {

        LifecycleOwner owner = activity;

        Integer storeId = System.identityHashCode(observer);

        observe(storeId, owner, observer);

    }



    private void observe(@NonNull Integer storeId,

                         @NonNull LifecycleOwner owner,

                         @NonNull Observer super T> observer) {



        if (observers.get(storeId) == null) {

            observers.put(storeId, true);

        }



        super.observe(owner, t -> {

            if (!observers.get(storeId)) {

                observers.put(storeId, true);

                if (t != null || isAllowNullValue) {

                    observer.onChanged(t);

                }

            }

        });

    }



    @Override

    protected void setValue(T value) {

        if (value != null || isAllowNullValue) {

            for (Map.Entry entry : observers.entrySet()) {

                entry.setValue(false);

            }

            super.setValue(value);

        }

    }



    protected void clear() {

        super.setValue(null);

    }

}

这个其实就是上面 SingleLiveData 的升级版，SingleLiveData 是用一个变量控制所有的 Observer，而上面采用的每个 Observer 都采用一个控制标识进行控制。
每次 setValue 的时候，就打开所有 Observer 的开关，表示可以接受分发。分发后，关闭当前执行的 Observer 开关，即不能对其第二次执行了，除非你重新 setValue。
这种方式基本上是比价完美了，除了内部多一个用HashMap存放每个Observer的标识，如果Observer比较多的话，会有一定的内存消耗。

新的思路

我们先看下LiveData获取版本号方法：

int getVersion() {

    return mVersion;

}

这个方法是一个包访问权限的方法，如果我新建一个和LiveData同包名的类，是不是就可以不需要反射就能获取这个值呢？其实这是可行的

// 跟LiveData同包名

package androidx.lifecycle



open class SafeLiveData<T> : MutableLiveData<T>() {



    override fun observe(owner: LifecycleOwner, observer: Observer<in T>) {

        // 直接可以通过this.version获取到版本号

        val pictorialObserver = PictorialObserver(observer, this.version > START_VERSION)

        super.observe(owner, pictorialObserver)

    }



    class PictorialObserver<T>(private val realObserver: Observer<in T>, private var preventDispatch: Boolean = false) :

        Observer {



        override fun onChanged(value: T) {

            // 如果版本有差异，第一次不处理

            if (preventDispatch) {

                preventDispatch = false

                return

            }

            realObserver.onChanged(value)

        }



    }

}

这种取巧的方式的思路就是：

• 利用同包名访问权限可以获取版本号，不需要通过反射获取


• 判断LiveData和Observer是否有版本差异，如果有，第一次不响应，否则就响应

我个人是偏向这种方式，也应用到了实际的开发中。这种方式的优点是：改动小，不需要反射，也不需要用HashMap存储等，缺点是：有一定的侵入性，假如后面这个方法的访问权限修改或者包名变动，就无效了，但是我认为这种可能性是比较小，毕竟androidx库迭代了这么多版本，算是比较稳定了。

一、前言

大家好！我是sum墨，一个一线的底层码农，平时喜欢研究和思考一些技术相关的问题并整理成文，限于本人水平，如果文章和代码有表述不当之处，还请不吝赐教。

在线人数统计这个功能相信大家一眼就明白是啥，这个功能不难做，实现的方式也很多，这里说一下我常使用的方式：使用Redis的有序集合(zset)实现。
核心方法是这四个：zadd、zrangeByScore、zremrangeByScore、zrem。

二、实现步骤

1. 如何认定用户是否在线？

认定用户在线的条件一般跟网站有关，如果网站需要登录才能进入，那么这种网站就是根据用户的token令牌有效性判断是否在线；
如果网站是公开的，是那种不需要登录就可以浏览的，那么这种网站一般就需要自定一个规则来识别用户，也有很多方式实现如IP、deviceId、浏览器指纹，推荐使用浏览器指纹的方式实现。

浏览器指纹可能包括以下信息的组合：用户代理字符串 (User-Agent string)、HTTP请求头信息、屏幕分辨率和颜色深度、时区和语言设置、浏览器插件详情等。现成的JavaScript库，像 FingerprintJS 或 ClientJS，可以帮助简化这个过程，因为它们已经实现了收集上述信息并生成唯一标识的算法。

使用起来也很简单，如下：

// 安装：npm install @fingerprintjs/fingerprintjs



// 使用示例：

import FingerprintJS from '@fingerprintjs/fingerprintjs';



// 初始化指纹JS Library

FingerprintJS.load().then(fp => {

  // 获取访客ID

  fp.get().then(result => {

    const visitorId = result.visitorId;

    console.log(visitorId);

  });

});

这样就可以获取一个访问公开网站的用户的唯一ID了，当用户访问网站的时候，将这个ID放到访问链接的Cookie或者header中传到后台，后端服务根据这个ID标示用户。

2. zadd命令添加在线用户

（1）zadd命令介绍
zadd命令有三个参数

key：有序集合的名称。
score1、score2 等：分数值，可以是整数值或双精度浮点数。
member1、member2 等：要添加到有序集合的成员。
例子：向名为 myzset 的有序集合中添加一个成员：ZADD myzset 1 "one"

（2）添加在线用户标识到有序集合中

// expireTime给用户令牌设置了一个过期时间

LocalDateTime expireTime = LocalDateTime.now().plusSeconds(expireTimeout);

String expireTimeStr = DateUtil.formatFullTime(expireTime);

// 添加用户token到有序集合中

redisService.zadd("user.active", Double.parseDouble(expireTimeStr), userToken);

由于一个用户可能户会重复登录，这就导致userToken也会重复，但为了不重复计算这个用户的访问次数，zadd命令的第二个参数很好的解决了这个问题。
我这里的逻辑是：每次添加一个在线用户时，利用当前时间加上过期时间计算出一个分数，可以有效保证当前用户只会存在一个最新的登录态。

3. zrangeByScore命令查询在线人数

（1）zrangeByScore命令介绍

key：指定的有序集合的名字。
min 和 max：定义了查询的分数范围，也可以是 -inf 和 +inf（分别表示“负无穷大”和“正无穷大”）。
例子：查询分数在 1 到 3之间的所有成员：ZRANGEBYSCORE myzset 1 3

（2）查询当前所有的在线用户

// 获取当前的日期

String now = DateUtil.formatFullTime(LocalDateTime.now());

// 查询当前日期到"+inf"之间所有的用户

Set userOnlineStringSet = redisService.zrangeByScore("user.active", now, "+inf");

利用zrangeByScore方法可以查询这个有序集合指定范围内的用户，这个userOnlineStringSet也就是在线用户集，它的size就是在线人数了。

4. zremrangeByScore命令定时清除在线用户

（1）zremrangeByScore命令介绍

key：指定的有序集合的名字。
min 和 max：定义了查询的分数范围，也可以是 -inf 和 +inf（分别表示“负无穷大”和“正无穷大”）。
例子：删除分数在 1 到 3之间的所有成员：ZREMRANGEBYSCORE myzset 1 3

（2）定时清除在线用户

// 获取当前的日期

String now = DateUtil.formatFullTime(LocalDateTime.now());

// 清除当前日期到"-inf"之间所有的用户

redisService.zremrangeByScore(""user.active"","-inf", now);      

由于有序集合不会自动清理下线的用户，所以这里我们需要写一个定时任务去定时删除下线的用户。

5. zrem命令用户退出登录时删除成员

（1）zrem命令介绍

key：指定的有序集合的名字。
members：需要删除的成员
例子：删除名为xxx的成员：ZREM myzset "xxx"

（2）定时清除在线用户

// 删除名为xxx的成员

redisService.zrem("user.active", "xxx");      

删除 zset中的记录，确保主动退出的用户下线。

三、小结一下

这种方案的核心逻辑就是，创建一个在线用户身份集合为key，利用用户身份为member，利用过期时间为score，然后对这个集合进行增删改查，实现起来还是比较巧妙和简单的，大家有兴趣可以试试看。

上周五遇到了一个 Bug，没有任何异常，困扰了我一个小时，差点连周末都过不好了。最后没办法，请教了组内的同学，没想到竟被他 1 分钟解决了！

事情的起因，只是因为我把一个接口从 @GetMapping 改成了 @PostMapping ，然后接口就报以下的错误:

没有任何的 WARN 或者 ERROR 日志！

网上搜了一下，也没有什么有效的信息，万能的 AI 给出了下面这样的回答：

404 的错误太常见了，有很多原因造成这一结果。

但可以确定的是，我的请求路径和控制器配置都是没有问题的，因为只要要把 @PostMapping 改回 @GetMapping ，一切都运行正常。

在这种情况下，搜索引擎和AI，除了给我造成干扰误导排查方向外，不能起到什么实质性的作用。

无奈，我只能硬着头皮打开 DEBUG 日志，尝试对照源码，去解决问题了。

不幸的是，DEBUG 日志实在太多了，里面也没有任何异常。我刚学 SpringBoot 不久，这些碎片化的日志，不能引起我的任何联想，因此，实质上也起不到辅助排查的作用。

折腾了一个多小时，还是没有什么头绪，明天就周末了，带着这个 Bug，周末恐怕都休息不好。于是，我就硬着头皮找了组内一个比较有经验的同学帮忙看一下。

他过来翻了翻日志，查看了一下配置类，淡淡地说到，你打开了 Csrf 验证，但是请求却没带 Token。说罢，指导我加上了一行代码：

.csrf().disable()

然后，再次访问，竟然就真的可以了！整个过程也就 1 分钟左右！

我这个小弱鸡的心灵着实有些触动。于是追问到，大神你是怎么看出来的呀。

“没什么，就是经验多了。日志里面有些信息，比如 token 相关的， 其实已经提示了你答案。不过，需要你对框架比较了解，才能 get 到这些信息。新手遇到这种没有明显异常的问题，确实会比较费劲。”

“那有没有什么办法，可以快速搞懂这种框架问题啊，每次遇到都挺烦躁的，不仅影响研发进度，也影响心情” ， 上进的我还是想从大神这里获取更多的经验。

“额….我想想”，大神迟疑了一会儿，“你可以试试这个 XCodeMap 插件“，”它可以提供更丰富的信息，图形化的形式，可以较为容易看出可能存在的问题。实在看不出，你也可以基于这些信息再去问搜索引擎或者AI”。

“感谢大神，我去试一下”。

试用了一下，这个工具画出了下面的序列图：

我虽然不懂什么 Csrf 的原理，但是这个图已经可以清晰地表达出问题了，在 SpringBoot 的FilterChain 中，走到 CsrfFilter 就终止了，并且调用了一个 AccessDeniedHandler。

看起来，这个序列图是实时动态采集的，而且做了很多剪枝，把一些关键调用给标记了出来。对于 SpringBoot 系列，其会把各种 Filter 的调用情况展示出来，可以让人一眼看出来是哪个 Filter 出了问题。

点击 CsrfFilter 的 doFilter 方法，可以看到以下代码：

这个代码可以看出来，Csrf 的原理（以CookieCsrfToken为例）就是取两个token进行比对。其中一个从请求的 Header 或者 Parameter 中读出。另外一个，从 Cookie 中读出。

由于浏览器的同源策略，攻击网站无法获取本网站的Cookie，也即其无法完成下面这样的JS操作：

但是本网站可以通过上面的操作，把 Cookie 中的token设置到 Header 中，这样就达到了避免 CSRF 攻击的效果。

不过，这里还有一个小插曲，csrf 验证失败，本意应该是报 403 错误码，然后转发到 “/403” 页面，只是因为我没有配置 “/403” 页面，最终才报了404 错误。

这次由 Csrf 引起的 404 错误，就到此为止了。

我独自完成了后面的排查，还是很开心的。我没有大神那样丰富的经验，可以凭借只言片语的日志信息，就可以推断出问题所在。但我借助 XCodeMap 绘制的动态序列图，按图索骥，搞清楚了问题的来龙去脉。这让我想起了下面的一句话：

人类有了弓箭，拳头就不再是绝对硬实力了。好的工具，可以削平人与人的差距！

感觉自己与大神接近了不少！

参考资料：

以前听过过一个有趣的说法：不要编写没有明显bug的代码，要去编写明显没有bug的代码。这里提到的两个概念：“没有明显bug的代码”和“明显没有bug的代码”。同样的文字，只是调换了下顺序，表达的就是完全不同的概念了。前者“没有明显bug的代码”大概是最常见的代码了，特征就是：

平时工作中到处缝缝补补的代码大概就是这种代码吧。背后的原因一般比较复杂，有时还不可追溯，项目工期紧，人员交接等等都有可能。因此，与其思考“如何避免没有明显bug的代码”，还不如思考“如何写出明显没有bug的代码”。本文就何为“明显没有bug的代码”总结一些个人的思的胡思乱想，阐述这类代码的几个特征。

特征1：代码简短

“明显没有xx”意味着一眼能看出来，而“一眼”这个条件就有很大的限制。如果给我一个函数，包含1000多行代码，我鼠标滚轮要滚好久，才能过完一遍代码，那么这种代码一定不是“明显没有bug的代码”。那么，反过来说，“明显没有bug的代码”一定是短小的代码。比如，Java中的Objects.equals方法：

public static boolean equals(Object a, Object b) {

    return (a == b) || (a != null && a.equals(b));

}

这一段代码简短到，代码跟功能定义的文字篇幅差不多，连写文档注释的必要都没有了。还有一个更极端的例子是Java的Objects.isNull方法：

public static boolean isNull(Object obj) {

    return obj == null;

}

简直就是一段“废话”。

特征2：功能完整且连贯

“一眼能看出”还意味着功能不能太分散，如果一个功能，分散在十多个函数或文件中，那么看这段功能就得在很多代码片段中跳来跳去，这个就需要开发者来阅读代码时充当一个“人肉解释器”的角色，在大脑中把各个代码片段组合起来才能明白整个流程和细节，这无疑降低阅读代码的效率，bug也容易隐藏在各个代码片段的“缝隙”中。举个常见的例子：在图形界面应用中，用户登录后，弹出登录成功的提示，然后关闭登录页面。一种普通的实现是：

//1. 在登录按钮触发登录操作

loginButton.setOnClickListener(v -> controller.login(username, poassword))



//2. 在登录成功的回调中展示弹窗

public void onLoginSuccess(User user){

    LoginSuccessDialog.show("login success")

}



//3. 在失败的回调中展示错误信息

public void onLoginFailed(String errorMsg){

    MessageDialog.showMessage(errorMsg);

}



//4. 在LoginSuccessDialog确认后关闭页面

public void onLoginDialogConfirmed(){

    loginPage.close();

}

看上去好像解耦很不错，但功能都变得七零八落。要拼凑出完整的功能大概得仔细阅读整段代码，更别提“一眼看出”了。那么一眼能看出的代码大概长啥样呢？我想，大概是这样：

loginButton.setOnClickListener(v -> {

    controller.login(username, poassword)

            .onSuccess(user ->

                    LoginSuccessDialog.总而言之，解耦需谨慎，不要因过度解耦而牺牲了内聚性和连贯性。show("login success")

                            .onConfirmed(() -> loginPage.close()))

            .onFailed(errorMsg ->

                    MessageDialog.showMessage(errorMsg));

});

这是对该视图流程的一个连贯的描述，而且篇幅更短。至于获取到用户数据存储到本地数据库、通知其他页面更新等操作，跟当前视图没有关系，也就不需要放在这段代码里。总而言之，解耦需谨慎，不要因过度解耦而牺牲了内聚性和连贯性。

特征3：良好的表达

代码的篇幅得到控制后，要让人一眼看懂，还需要容易理解才行。设计心理学提出“设计传达所有必要的信息，创造一个良好的系统概念模型，引导用户理解系统状态，带来掌控感”。程序设计也是如此，代码是程序功能的文本表达，需要传达对应信息来让人产生该功能正确的概念模型。

以一个常见的上传图片的弹窗为例，思考一个菜单弹窗，包含取消和两个功能按钮：从相册选择和拍照上传，例如下图这样。

那么对应的代码可以表达为：

MenuDialog.create()

        .withAction("拍照上传", dialog -> {

            takePhoto();

        })

        .withAction("本地上传", dialog -> {

            chooseFromGallery();

        })

        .onCancel(() -> {

            //do something

        })

        .show();

或者

MenuDialog.create()

        .withAction("拍照上传", controller::takePhoto)

        .withAction("本地上传", controller::chooseFromGallery)

        .onCancel(() -> {

            //do something

        })

        .show();

没有多余的代码，该有的信息都表达到位，而且和实际功能有良好的对应关系。

4. 特征4：可验证正确性

代码可以让人一眼看懂之后，那么判断其有没有bug，还有一个重要前提：这个代码是有正确性可言的，可以被验证。

例如，来看下面这段随意的代码：

int type;

boolean isClosed;



void doSomething(String text) {

    if (type == 0) {

        if (isClosed) {

            println(text);

        } else {

            error("something wrong");

        }

    } else if (type == 1) {

        //do something

    }

}

这段程序简短、易读，但是doSomething函数的行为依赖两个外部变量，而这两个外部变量又容易被其他地方随意改动。比如，type的定义域为1、2、3，但如果type新增类型4的时候或者被错误地赋值为-1的时候，这个doSomething函数的行为还是正确的吗？doSomething函数的正确性依赖于type变量的正确性，那么又依赖于读写type变量的程序的正确性，这样的程序是难以验证的。而且，对上下文依赖越多的程序，越难以产生明确的定义，因为这个定义也依赖上下文的定义。定义不明确，更难以验证内容的正确性。

相比之下，Objects.equals和Objects.isNull方法有着明确的定义，而且不受上下文影响，可以一眼就看出对错。而下面这段代码：

MenuDialog.create()

        .withAction("拍照上传", controller::takePhoto)

        .withAction("本地上传", controller::chooseFromGallery)

        .onCancel(() -> {

            //do something

        })

        .show();

表达明确，可以快速判断出程序行为是否正确、符合期望。即便MenuDialog出现异常，或者takePhoto和chooseFromGallery出了什么问题，也不需要来修改这段程序。

不过，程序验证是一个有点高深的科研方向，要严格验证一个程序的正确性是很困难的一件事，不过我们仍然可以试着去编写一些“看起来”正确的程序。（利用函数式编程思想写出来的代码通常容易验证一些）

大家好，我是二哥呀。

对于 Java 初学者来说，多线程的很多概念听起来就很难理解。比方说：

• 进程，是对运行时程序的封装，是系统进行资源调度和分配的基本单位，实现了操作系统的并发。


• 线程，是进程的子任务，是 CPU 调度和分派的基本单位，实现了进程内部的并发。

很抽象，对不对？打个比喻，你在打一把王者（其实我不会玩哈 doge）：

• 进程可以比作是你开的这一把游戏


• 线程可以比作是你所选的英雄或者是游戏中的水晶野怪等之类的。

带着这个比喻来理解进程和线程的一些关系，一个进程可以有多个线程就叫多线程。是不是感觉非常好理解了？

进程和线程

❤1、线程在进程下进行

（单独的英雄角色、野怪、小兵肯定不能运行）

❤2、进程之间不会相互影响，主线程结束将会导致整个进程结束

（两把游戏之间不会有联系和影响。你的水晶被推掉，你这把游戏就结束了）

❤3、不同的进程数据很难共享

（两把游戏之间很难有联系，有联系的情况比如上把的敌人这把又匹配到了）

❤4、同进程下的不同线程之间数据很容易共享

（你开的那一把游戏，你可以看到每个玩家的状态——生死，也可以看到每个玩家的出装等等）

❤5、进程使用内存地址可以限定使用量

（开的房间模式，决定了你可以设置有多少人进，当房间满了后，其他人就进不去了，除非有人退出房间，其他人才能进）

创建线程的三种方式

搞清楚上面这些概念之后，我们来看一下多线程创建的三种方式：

继承 Thread 类

♠①：创建一个类继承 Thread 类，并重写 run 方法。

public class MyThread extends Thread {

    @Override

    public void run() {

        for (int i = 0; i < 100; i++) {

            System.out.println(getName() + ":打了" + i + "个小兵");

        }

    }

}