补充 JDK9以后对String的存储进行了优化。底层不再使用char数组存储字符串，而是使用byte数组。对于LATIN1字符的字符串可以节省一倍的内存空间。

Hello，大家好，我是 Sunday。

最近有个同学在面试中遇到了一个很有意思的问题，我相信大多数的同学可能都没有遇到过。

面试官提问说：“为什么很多网站忘记密码需要重置，而不是直接告诉用户原密码？”

很有意思的问题对不对。很多网站中都有“忘记密码”的功能，但是为什么当我们点击忘记密码，经过一堆验证之后，网站会让我们重置密码，而不是直接告诉我们原密码呢？

所以，今天咱们就来说一说这个问题。

防止信息泄露

2022年11月1日，Termly 更新了《98个最大的数据泄露、黑客和曝光事件》（98 Biggest Data Breaches, Hacks, and Exposures）。其中包括很多知名网站，比如：Twitter

所以，你保存在网站中的数据可能并没有那么安全。那么这样的数据泄露后会对用户产生什么影响呢？

对大多数人来说最相关的经历（网上看到的）应该是诈骗电话，他们甚至可以很清楚的告诉你你的所有个人信息。那么这些信息是怎么来的呢？

有些同学可能说是因为“网站贩卖了我的个人信息”，其实不是的。相信我 大多数的网站不会做这样的事情。

出现这样事情的原因，大部分都是由于数据泄露，导致你所有的个人信息都被别人知道了。

那么，同理。既然他们可以获取到你的私人信息，那么你的账户和密码信息是不是也有可能被盗取？

而对于大多数的同学来说，为了防止密码太多忘记，所以很多时候 大家都会使用统一的密码！ 也就是说你的多个账号可能都是同一个密码。所以，一旦密码泄露，那么可能会影响到你的多个账号，甚至是银彳亍卡账号。

因此，对于网站（特别是一些大网站）来说，保护用户数据安全就是至关重要的一件事情。那么他们一般会怎么做呢？

通常的处理方式就是 加密。并且这种加密可能会在多个不同的阶段进行多次。比如常见的：SHA256、加盐、md5、RSA 等等。

这样看起来好像是很安全的，但是还有一个问题，开发人员知道如何解密他们。或者有些同学会认为 数据库中依然存在着正确的密码 呀？一旦出现信息泄露，不是依然会有密码泄露的问题吗？

是的，所以为了解决这个问题，网站本身也不知道你的密码是什么。

网站本身也不知道你的密码是什么

对于网站（或者其他应用）来说，它们是 不应该 存储你的原密码的。而是通过一些系列的操作来保存你加密之后的代码。并且这个加密是在前端传输到服务端时就已经进行了，并且是 不可逆 的加密操作，例如：MD5 + 加盐。

我们举一个简单的例子：

比如有个用户的密码是 123456，通过 md5 加密之后是：E10ADC3949BA59ABBE56E057F20F883E

md5 理论上是不可逆的，所以从理论上来说这个加密后的代码是不可解析的。但是 md5 有个比较严重的问题就是：同样的字符串加密之后会得到同样的结果。

这也就意味着：E10ADC3949BA59ABBE56E057F20F883E 代表的永远都会是 123456

所以，如果有一个很大的 md5 密码库，那么理论上就可以解析出所有的 md5 加密后的字符串。就像下图一样：

因此，在原有的 md5 加密之上，很多网站又增加了 加盐 的操作。所谓加盐指的就是：在原密码的基础上增加一些字符串，然后进行 md5 加密。

比如：

这样大家是否就可以理解，为什么很多网站在让我们输入密码的时候 ，要求包含 大小写+符号+ 字母 + 数字 了吧。本质上就是为了防止被轻松解密。

而服务端拿到的就是 “E1FC8CB7B54BED0FDC8711530236BA4D” 这样的一个加密后的结果。然后服务端再次对密码进行加密操作，从而得到的是一个 被多次加密 的数据，保存到服务端。

所以说：网站无法告知你密码，因为它也不知道原密码是什么。

目前很多网站或应用为了保证用户安全，都已经采取 扫码登录、验证码登录 等方式进行登录验证，这种无密码的方式，会更大程度的保证你的账号安全。

在日常开发中，会经常使用Mybatis-Plus

当简单的插入一条记录时，使用mapper的insert是比较简洁的写法

@Data

public class NoEo {

    Long id;

    String no;

}

NoEo noEo = new NoEo();

noEo.setNo("321");

noMapper.insert(noEo);

System.out.println(noEo);

这里可以注意到一个细节，就是不管我们使用的是什么类型的id，好像都不需要去setId，也能执行insert语句

不仅不需要setId，在insert语句执行完毕之后，我们还能通过实体类获取到这条insert的记录的id是什么

这背后的原理是什么呢？

自增类型ID

刚学Java的时候，插入了一条记录还要再select一次来获取这条记录的id，比较青涩

后面误打误撞才发现可以直接从insert的实体类中拿到这个id

难道框架是自己帮我查了一次嘛

先来看看自增id的情况

首先要先把yml中的mp的id类型设置为auto

mybatis-plus:

  global-config:

    db-config:

      id-type: auto

然后从insert语句开始一直往下跟进

noMapper.insert(noEo);

后面会来到这个方法

// com.baomidou.mybatisplus.core.executor.MybatisSimpleExecutor#doUpdate

@Override

public int doUpdate(MappedStatement ms, Object parameter) throws SQLException {

    Statement stmt = null;

    try {

        Configuration configuration = ms.getConfiguration();

        StatementHandler handler = configuration.newStatementHandler(this, ms, parameter, RowBounds.DEFAULT, null, null);

        stmt = prepareStatement(handler, ms.getStatementLog(), false);

        return stmt == null ? 0 : handler.update(stmt);

    } finally {

        closeStatement(stmt);

    }

}

在执行了下面这个方法之后

handler.update(stmt)

实体类的id就赋值上了

继续往下跟

// org.apache.ibatis.executor.statement.PreparedStatementHandler#update

@Override

public int update(Statement statement) throws SQLException {

  PreparedStatement ps = (PreparedStatement) statement;

  ps.execute();

  int rows = ps.getUpdateCount();

  Object parameterObject = boundSql.getParameterObject();

  KeyGenerator keyGenerator = mappedStatement.getKeyGenerator();

  keyGenerator.processAfter(executor, mappedStatement, ps, parameterObject);

  return rows;

}

最后的赋值在这一行

keyGenerator.processAfter

可以看到会有一个KeyGenerator做一个后置增强，它具体的实现类是Jdbc3KeyGenerator

// org.apache.ibatis.executor.keygen.Jdbc3KeyGenerator#processAfter

@Override

public void processAfter(Executor executor, MappedStatement ms, Statement stmt, Object parameter) {

  processBatch(ms, stmt, parameter);

}

// org.apache.ibatis.executor.keygen.Jdbc3KeyGenerator#processBatch

public void processBatch(MappedStatement ms, Statement stmt, Object parameter) {

  final String[] keyProperties = ms.getKeyProperties();

  if (keyProperties == null || keyProperties.length == 0) {

    return;

  }

  try (ResultSet rs = stmt.getGeneratedKeys()) {

    final ResultSetMetaData rsmd = rs.getMetaData();

    final Configuration configuration = ms.getConfiguration();

    if (rsmd.getColumnCount() < keyProperties.length) {

      // Error?

    } else {

      assignKeys(configuration, rs, rsmd, keyProperties, parameter);

    }

  } catch (Exception e) {

    throw new ExecutorException("Error getting generated key or setting result to parameter object. Cause: " + e, e);

  }

}

// org.apache.ibatis.executor.keygen.Jdbc3KeyGenerator#assignKeys

private void assignKeys(Configuration configuration, ResultSet rs, ResultSetMetaData rsmd, String[] keyProperties,

    Object parameter) throws SQLException {

  if (parameter instanceof ParamMap || parameter instanceof StrictMap) {

    // Multi-param or single param with @Param

    assignKeysToParamMap(configuration, rs, rsmd, keyProperties, (Map<String, ?>) parameter);

  } else if (parameter instanceof ArrayList && !((ArrayList<?>) parameter).isEmpty()

      && ((ArrayList<?>) parameter).get(0) instanceof ParamMap) {

    // Multi-param or single param with @Param in batch operation

    assignKeysToParamMapList(configuration, rs, rsmd, keyProperties, (ArrayList<ParamMap<?>>) parameter);

  } else {

    // Single param without @Param

    // 当前case会走这里

    assignKeysToParam(configuration, rs, rsmd, keyProperties, parameter);

  }

}

// org.apache.ibatis.executor.keygen.Jdbc3KeyGenerator#assignKeysToParam

private void assignKeysToParam(Configuration configuration, ResultSet rs, ResultSetMetaData rsmd,

    String[] keyProperties, Object parameter) throws SQLException {

  Collection<?> params = collectionize(parameter);

  if (params.isEmpty()) {

    return;

  }

  List<KeyAssigner> assignerList = new ArrayList<>();

  for (int i = 0; i < keyProperties.length; i++) {

    assignerList.add(new KeyAssigner(configuration, rsmd, i + 1, null, keyProperties[i]));

  }

  Iterator<?> iterator = params.iterator();

  while (rs.next()) {

    if (!iterator.hasNext()) {

      throw new ExecutorException(String.format(MSG_TOO_MANY_KEYS, params.size()));

    }

    Object param = iterator.next();

    assignerList.forEach(x -> x.assign(rs, param));

  }

}

// org.apache.ibatis.executor.keygen.Jdbc3KeyGenerator.KeyAssigner#assign

protected void assign(ResultSet rs, Object param) {

  if (paramName != null) {

    // If paramName is set, param is ParamMap

    param = ((ParamMap<?>) param).get(paramName);

  }

  MetaObject metaParam = configuration.newMetaObject(param);

  try {

    if (typeHandler == null) {

      if (metaParam.hasSetter(propertyName)) {

        // 获取主键的类型

        Class<?> propertyType = metaParam.getSetterType(propertyName);

        // 获取主键类型处理器

        typeHandler = typeHandlerRegistry.getTypeHandler(propertyType,

            JdbcType.forCode(rsmd.getColumnType(columnPosition)));

      } else {

        throw new ExecutorException("No setter found for the keyProperty '" + propertyName + "' in '"

            + metaParam.getOriginalObject().getClass().getName() + "'.");

      }

    }

    if (typeHandler == null) {

      // Error?

    } else {

      // 获取主键的值

      Object value = typeHandler.getResult(rs, columnPosition);

      // 设置主键值

      metaParam.setValue(propertyName, value);

    }

  } catch (SQLException e) {

    throw new ExecutorException("Error getting generated key or setting result to parameter object. Cause: " + e,

        e);

  }

}

// com.mysql.cj.jdbc.result.ResultSetImpl#getObject(int, java.lang.Class<T>)

@Override

public <T> T getObject(int columnIndex, Class<T> type) throws SQLException {

        // ...

        else if (type.equals(Long.class) || type.equals(Long.TYPE)) {

            checkRowPos();

            checkColumnBounds(columnIndex);

            return (T) this.thisRow.getValue(columnIndex - 1, this.longValueFactory);



        }

        // ...

}

最后可以看到这个自增id是在ResultSet的thisRow里面

然后后面的流程就是去解析这个字节数据获取这个long的id

就不往下赘述了

雪花算法ID

yml切换回雪花算法

mybatis-plus:

  global-config:

    db-config:

      id-type: assign_id

在使用雪花算法的时候，也是会走到这个方法

// com.baomidou.mybatisplus.core.executor.MybatisSimpleExecutor#doUpdate

@Override

public int doUpdate(MappedStatement ms, Object parameter) throws SQLException {

    Statement stmt = null;

    try {

        Configuration configuration = ms.getConfiguration();

        StatementHandler handler = configuration.newStatementHandler(this, ms, parameter, RowBounds.DEFAULT, null, null);

        stmt = prepareStatement(handler, ms.getStatementLog(), false);

        return stmt == null ? 0 : handler.update(stmt);

    } finally {

        closeStatement(stmt);

    }

}

但是不同的是，执行完这一行之后，实体类的id字段就已经赋值上了

StatementHandler handler = configuration.newStatementHandler(this, ms, parameter, RowBounds.DEFAULT, null, null);

继续往下跟进

// org.apache.ibatis.session.Configuration#newStatementHandler

public StatementHandler newStatementHandler(Executor executor, MappedStatement mappedStatement, Object parameterObject, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) {

  StatementHandler statementHandler = new RoutingStatementHandler(executor, mappedStatement, parameterObject, rowBounds, resultHandler, boundSql);

  statementHandler = (StatementHandler) interceptorChain.pluginAll(statementHandler);

  return statementHandler;

}

// org.apache.ibatis.executor.statement.RoutingStatementHandler#RoutingStatementHandler

public RoutingStatementHandler(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) {



  switch (ms.getStatementType()) {

    // ...

    case PREPARED:

      delegate = new PreparedStatementHandler(executor, ms, parameter, rowBounds, resultHandler, boundSql);

      break;

    // ...

  }



}

最后跟进到一个构造器，会有一个processParameter的方法

// com.baomidou.mybatisplus.core.MybatisParameterHandler#MybatisParameterHandler

public MybatisParameterHandler(MappedStatement mappedStatement, Object parameter, BoundSql boundSql) {

    this.typeHandlerRegistry = mappedStatement.getConfiguration().getTypeHandlerRegistry();

    this.mappedStatement = mappedStatement;

    this.boundSql = boundSql;

    this.configuration = mappedStatement.getConfiguration();

    this.sqlCommandType = mappedStatement.getSqlCommandType();

    this.parameterObject = processParameter(parameter);

}

在这个方法里面会去增强参数

// com.baomidou.mybatisplus.core.MybatisParameterHandler#processParameter

public Object processParameter(Object parameter) {

    /* 只处理插入或更新操作 */

    if (parameter != null

        && (SqlCommandType.INSERT == this.sqlCommandType || SqlCommandType.UPDATE == this.sqlCommandType)) {

        //检查 parameterObject

        if (ReflectionKit.isPrimitiveOrWrapper(parameter.getClass())

            || parameter.getClass() == String.class) {

            return parameter;

        }

        Collection<Object> parameters = getParameters(parameter);

        if (null != parameters) {

            parameters.forEach(this::process);

        } else {

            process(parameter);

        }

    }

    return parameter;

}

// com.baomidou.mybatisplus.core.MybatisParameterHandler#process

private void process(Object parameter) {

    if (parameter != null) {

        TableInfo tableInfo = null;

        Object entity = parameter;

        if (parameter instanceof Map) {

            Map<?, ?> map = (Map<?, ?>) parameter;

            if (map.containsKey(Constants.ENTITY)) {

                Object et = map.get(Constants.ENTITY);

                if (et != null) {

                    entity = et;

                    tableInfo = TableInfoHelper.getTableInfo(entity.getClass());

                }

            }

        } else {

            tableInfo = TableInfoHelper.getTableInfo(parameter.getClass());

        }

        if (tableInfo != null) {

            //到这里就应该转换到实体参数对象了,因为填充和ID处理都是争对实体对象处理的,不用传递原参数对象下去.

            MetaObject metaObject = this.configuration.newMetaObject(entity);

            if (SqlCommandType.INSERT == this.sqlCommandType) {

                populateKeys(tableInfo, metaObject, entity);

                insertFill(metaObject, tableInfo);

            } else {

                updateFill(metaObject, tableInfo);

            }

        }

    }

}

最终生成id并赋值的操作是在populateKeys中

// com.baomidou.mybatisplus.core.MybatisParameterHandler#populateKeys

protected void populateKeys(TableInfo tableInfo, MetaObject metaObject, Object entity) {

    final IdType idType = tableInfo.getIdType();

    final String keyProperty = tableInfo.getKeyProperty();

    if (StringUtils.isNotBlank(keyProperty) && null != idType && idType.getKey() >= 3) {

        final IdentifierGenerator identifierGenerator = GlobalConfigUtils.getGlobalConfig(this.configuration).getIdentifierGenerator();

        Object idValue = metaObject.getValue(keyProperty);

        if (StringUtils.checkValNull(idValue)) {

            if (idType.getKey() == IdType.ASSIGN_ID.getKey()) {

                if (Number.class.isAssignableFrom(tableInfo.getKeyType())) {

                    metaObject.setValue(keyProperty, identifierGenerator.nextId(entity));

                } else {

                    metaObject.setValue(keyProperty, identifierGenerator.nextId(entity).toString());

                }

            } else if (idType.getKey() == IdType.ASSIGN_UUID.getKey()) {

                metaObject.setValue(keyProperty, identifierGenerator.nextUUID(entity));

            }

        }

    }

}

在tableInfo中可以得知Id的类型

如果是雪花算法类型，那么生成雪花id；UUID同理

总结

insert之后，id被赋值到实体类的时机要根据具体情况具体讨论：

如果是自增类型的id，那么要在插入数据库完成之后，在ResultSet的ByteArrayRow中获取到这个id

如果是雪花算法id，那么在在插入数据库之前，会通过参数增强的方式，提前生成一个雪花id，然后赋值给实体类

起因

晚上在休闲游戏中，一网友发来信息求问，一道编程题。

咋一看，嘿 2023年1月浙江选考题（信息技术），挺新鲜，那就来看看吧。
聊了一下才知道，这是中考高考（6月28日晚23：05更正）选题。中考高考（6月28日晚23：05更正）就考这样的了吗？

一、题目

二、解析

因为题解想半天，没看明白要做的，就先直接上手代码去测试实验。通过足够多的次数去请求，就可以知道正确答案了（不符合出现的）。

后面恍然大悟会进一步讲解内容

二、代码测试

把该代码转成 java 对应的代码内容，并进行测试

public static void main(String[] args) {

    // 答案记录

    Map ansMap = new HashMap<>();

    ansMap.put("AB##CD#", 0); // 选项A 答案

    ansMap.put("#######", 0); // 选项B 答案

    ansMap.put("#B##CDA", 0); // 选项C 答案

    ansMap.put("###ABCD", 0); // 选项D 答案

    for (int i = 0; i < 100000; i++) { // 10万次执行，看看 ABCD 答案是哪个一直没有出现

        String res = runWork(); // 出现的结果

        if (ansMap.get(res) == null){ // 出现和选项答案不一致的跳过

            continue;

        }

        // 出现一致的进行+1

        ansMap.put(res, ansMap.get(res) + 1);

    }

    // 输出结果

    System.out.println(ansMap.toString());

}



public static String runWork() {

    char[] a = {'A', 'B', '#', '#', 'C', 'D', '#'};

    char[] stk = new char[a.length];

    int top = -1;

    Random random = new Random();



    for (int i = 0; i < a.length; i++) {

        int op = random.nextInt(2);

        if (op == 1 && a[i] != '#') {

            top++;

            stk[top] = a[i];

            a[i] = '#';

        } else if (op == 0 && top != -1 && a[i] == '#') {

            a[i] = stk[top];

            top--;

        }

    }

    return String.valueOf(a);

}

三、测试结果

截图中可以看到，测试中，A、B、C 选项都出现了，不符合的是 D 选项，因此，正确答案是选项 D。

四、恍然大悟（真正解析）

仔细瞧命名， stk ，是栈（stack）的简写！可恶，这道题可以直接利用栈的知识去看选项去解了啊...

原字符数组是 'A', 'B', '#', '#', 'C', 'D', '#'

栈，就是先进后出。

图解：

那么最终，也就能明白这套代码的意思了，就是随机可能去拿去里面的字母，ABCD，放到栈里再实现放到原数组中去。对栈的理解与使用解释了一下。答案选 D ，只有 D 不符合栈的进出。

前言

见过几千行代码的 controller吗？我见过。

见过全是 try catch 的 controller 吗，我见过。

见过全是字段校验的 controller 吗，我见过。

见过全是业务代码的 controller 吗？不好意思，我们公司很多业务写在 controller 的。

看见这些我真的血压高。

正文

不优雅的 controller

@RestController

@RequestMapping("/user/test")

public class UserController {



    private static Logger logger = LoggerFactory.getLogger(UserController.class);



    @Autowired

    private UserService userService;



    @Autowired

    private AuthService authService;



    @PostMapping

    public CommonResult userRegistration(@RequestBody UserVo userVo) {

        if (StringUtils.isBlank(userVo.getUsername())){

            return CommonResult.error("用户名不能为空");

        }

        if (StringUtils.isBlank(userVo.getPassword())){

            return CommonResult.error("密码不能为空");

        }

        logger.info("注册用户：{}" , userVo.getUsername());

        try {

            userService.registerUser(userVo.getUsername());

            return CommonResult.ok();

        }catch (Exception e){

            logger.error("注册用户失败：{}", userVo.getUsername(), e);

            return CommonResult.error("注册失败");

        }

    }



    @PostMapping("/login")

    @PermitAll

    @ApiOperation("使用账号密码登录")

    public CommonResult<AuthLoginRespVO> login(@RequestBody AuthLoginReqVO reqVO) {

        if (StringUtils.isBlank(reqVO.getUsername())){

            return CommonResult.error("用户名不能为空");

        }

        if (StringUtils.isBlank(reqVO.getPassword())){

            return CommonResult.error("密码不能为空");

        }

        try {

            return success(authService.login(reqVO));

        }catch (Exception e){

            logger.error("注册用户失败：{}", reqVO.getUsername(), e);

            return CommonResult.error("注册失败");

        }

    }



}

优雅的controller

@RestController

@RequestMapping("/user/test")

public class UserController1 {



    private static Logger logger = LoggerFactory.getLogger(UserController1.class);



    @Autowired

    private UserService userService;



    @Autowired

    private AuthService authService;



    @PostMapping("/userRegistration")

    public CommonResult userRegistration(@RequestBody @Valid UserVo userVo) {

        userService.registerUser(userVo.getUsername());

        return CommonResult.ok();

    }



    @PostMapping("/login")

    @PermitAll

    @ApiOperation("使用账号密码登录")

    public CommonResult<AuthLoginRespVO> login(@RequestBody @Valid AuthLoginReqVO reqVO) {

        return success(authService.login(reqVO));

    }



}

代码量直接减一半呀，这还不算上有些直接把业务逻辑写在 controller 的，看到这些我真的直接吐血

改造流程

校验方式

这个 if 校验看得我哪哪都不爽。好歹给我写一个断言吧。Assert.notNull(userVo.getUsername(), "用户名不能为空");

这不香吗？确实不香。

使用 spring 提供的@Valid

• 在入参时使用@Valid注解，并且在 vo 中使用校验注解，如AuthLoginReqVO

@ApiModel(value = "管理后台 - 账号密码登录 Request VO")

@Data

@NoArgsConstructor

@AllArgsConstructor

@Builder

public class AuthLoginReqVO {



    @ApiModelProperty(value = "账号", required = true, example = "user")

    @NotEmpty(message = "登录账号不能为空")

    @Length(min = 4, max = 16, message = "账号长度为 4-16 位")

    @Pattern(regexp = "^[A-Za-z0-9]+$", message = "账号格式为数字以及字母")

    private String username;



    @ApiModelProperty(value = "密码", required = true, example = "password")

    @NotEmpty(message = "密码不能为空")

    @Length(min = 4, max = 16, message = "密码长度为 4-16 位")

    private String password;



}

@Valid

在SpringBoot中，@Valid是一个非常有用的注解，主要用于数据校验。以下是关于@Valid的一些详细信息：

全局异常处理

• 这个全局异常处理，可以根据自己的异常，自定义异常处理，并设置一个兜底的异常处理

@ResponseBody

@RestControllerAdvice

public class ExceptionHandlerAdvice {

    protected Logger logger = LoggerFactory.getLogger(getClass());



    @ExceptionHandler(MethodArgumentNotValidException.class)

    public CommonResult<Object> handleValidationExceptions(MethodArgumentNotValidException ex) {

        logger.error("[handleValidationExceptions]", ex);

        StringBuilder sb = new StringBuilder();

        ex.getBindingResult().getAllErrors().forEach(error -> {

            String fieldName = ((org.springframework.validation.FieldError) error).getField();

            String errorMessage = error.getDefaultMessage();

            sb.append(fieldName).append(":").append(errorMessage).append(";");

        });

        return CommonResult.error(sb.toString());

    }



    /**

     * 处理系统异常，兜底处理所有的一切

     */

    @ExceptionHandler(value = Exception.class)

    public CommonResult<?> defaultExceptionHandler(Throwable ex) {

        logger.error("[defaultExceptionHandler]", ex);

        // 返回 ERROR CommonResult

        return CommonResult.error(INTERNAL_SERVER_ERROR.getCode(), INTERNAL_SERVER_ERROR.getMsg());

    }



}

就这么多，搞定，这样就拥有了漂流优雅的 controller 了

在日常开发中，还有那些血压飙升瞬间

• 我拿出下图阁下如何面对

• 这个阁下又如何面对，我不说，你能知道这个什么吗【狗头】

总结

• 不是很明白为什么有些喜欢在 controller 写业务逻辑的，曾经有个同事问我（就是喜欢在 controller 写业务的），你这个接口写在那里，我需要调一下你这个接口。我满脸问号？？不是隔壁的模块吗，为什么要调我的接口？直接引用的我的 service 去调方法就好了。


• 这个就是痛点，各写各的，冗余代码一堆。


• 曾经看到一个同事写一个保存的方法，虽然逻辑挺多，我滑动了好久都还没有方法还没有结束。一个方法整整几百行……


• 看过 spring 源码都知道，spring 源码难啃，就是因为 spring 无限往下套娃，基本每个方法干每个方法的事情。比如我保存用户时，就只是保存用户，至于什么校验丢给校验的方法处理，什么发送消息丢给发送消息处理，这些就不能耦合在一起。


• 对于看到一些 if 下面一丢逻辑，然后 if 再一丢逻辑，看代码时很多情况不需要知道这个逻辑怎么实现的，知道入参出参就大概这里做什么了。即使想知道详细情况点进去就知道了。突出这个当前方法要做的事情就好了。


• 阿里的开发手册就推荐一个方法不能超过 80 行，超过可以根据业务具体调整一下。

问题描述

从甲方项目组返回公司后，我习惯性连上公司WiFi，准备百度一个bug，突然我发现无打开百度，F5刷新了好几次也没用，浏览器报了下面的错误信息

尝试ping了一下 http://www.badu.com，好家伙，直接丢包

然后运行 ipconfig/all 命令看了一下本机的DNSF服务器信息

我的本机DNS地址是192.168.0.1

通常，本机DNS地址若为192.168.0.1，说明所连WiFi的路由器可能被设定为执行DNS转发职责，或者是期望客户端直接使用路由器作为DNS解析的入口点。而192.168.0.1一般是路由器的默认IP地址，并非一个标准的公共DNS服务器地址。在这种情况下，访问不了外网，例如百度，新浪微博等，有可能是路由器的DNS转发功能没有正常工作，或者路由器自身没有被配置正确以访问外部的DNS服务器。

最简单直接的解决方法是手动设置主机的DNS地址为公共的DNS服务器地址

• Google DNS：8.8.8.8 & 8.8.4.4


• Cloudflare DNS： 1.1.1.1


• 中国电信：114.114.114.114


• 中国联通：223.5.5.5

OK，可以正常访问百度了

这让我产生了非常浓烈的好奇，从浏览器上输入URL到显示页面，中间究竟发生了什么？

问题探究

这是一道面试题

从浏览器中输入URL并按下回车键后，直到网页内容完全显示在屏幕上，这个过程中发生了一系列复杂的步骤，大致可以概括如下：

上述过程中涉及到了多个层次的技术和协议，从应用层的HTTP/HTTPS、运输层的TCP、网络层的IP到链路层的以太网协议等，共同协作完成了从简单的URL输入到复杂页面展示的任务。

基于上述分析，问题发生在第③步（DNS解析）上，要想回答何为DNS解析，就必须弄明白何为DNS。

何为DNS？

DNS，英文全称为Domain Name System，即域名系统。当我们在浏览器输入一个 URL 地址时，浏览器要向这个 URL 的主机名对应的服务器发送请求，就得知道这个服务器对应的 IP地址，而对于浏览器来说，DNS 的作用就是将主机名转换成 IP 地址【正向解析】。以下定义概念摘自《计算机网络：自顶向下方法》：

1. 一个由分层的 DNS 服务器( DNS server) 实现的分布式数据库


2. 一个使得主机能够查询分布式数据库的应用层协议

分布式，层次数据库

如何理解分布式？

随着互联网的快速发展，主机日益增多且数量庞大，采用单一DNS服务器上集中响应的设计并不可取，这种设计容易造成单点故障，维护困难，通信容量受限等问题。

为了应对上述问题和扩展性， DNS 使用了大量的 DNS 服务器并分布在全世界范围内。因为没有一台 DNS 服务器可以存放Internet上所有主机的映射数据， 相反，该映射数据被分布存储在所有的 DNS 服务器上。

如何理解层次？

DNS服务器采用层次组织，大致说来，有3种类型的 DNS 服务器：根 DNS 服务器、 顶级域 (Top- Level Domain , TLD) DNS 服务器和权威 DNS 服务器。它们的层次结构方式如下所示：

图片来源：《计算机网络：自顶向下方法》

• 根DNS服务器
  
  

  我们首先要明确根域名是什么，它没有特定的名称，仅由一个点（.）表示。在技术层面上，它是所有域名查询的起点，负责指引域名解析过程中的查询请求到相应的顶级DNS(TLD)服务器，如.com、.net、.org等。而在实际的网址中，根域名通常隐含而不显示，例如com.baidu.com.，后面的点一般不会显示。

  
  

  根DNS服务器是互联网基础设施的关键部分，全球共有13组根DNS服务器，它们存储了顶级DNS服务器的地址信息，从而帮助我们将域名转换为用于网络通信的IP地址。根DNS的管理由国际互联网名称与数字地址分配机构(ICANN)负责。



• 顶级域服务器
  
  

  这些服务器负责顶级域名，如com、org、net、edu和gov，以及所有国家的顶级域名如uk、r、ca和jp。TLD提供了它的下一级，也就是权威 DNS 服务器的 IP 地址。

• 权威DNS服务器
  
  

  
  

  在因特网上具有公共可访问主机（如Wb服务器和邮件服务器)的每个组织机构必须提供公共可访问的DNS记录，这些记录将这些主机的名字映射为IP地址。

  
  

  
  

  以上内容摘自《计算机网络：自顶向下方法》，比较绕口，通俗来讲就是提供最终的主机—IP映射

本地DNS服务器

在上一节的DNS层次结构中，眼尖的小伙伴会发现，并未提及本地DNS服务器，那为什么呢？一个本地DNS服务器，从严格说来，它并不属于上述DNS服务器的层次结构，但它对DNS层次结构0是至关重要的。

每个ISP(Internet Service Provider，即网络业务提供商)都有一台本地DNS服务器（也叫默认名字服务器)。当主机与某个ISP连接时，例如一个小区的ISP，一个学校的ISP等，该ISP会提供一台主机的IP地址，该主机具有一台或多台其本地DNS服务器的IP地址，通常主机的本地DNS服务器会临近主机，当主机发出DNS请求时，该请求被发往本地DNS服务器，它起着代理的作用，并将该请求转发到DNS服务器层次结构中。

迭代查询，递归查询

如下图所示，假设主机abc.net想要获取主机xyz.edu的IP地址，大致会进行如下步骤：

在上图例子中，主机abc.net向本地DNS服务器发出的查询是递归查询，因为该查询请求是以主机abc.net以自己的名义获得该映射。 而后继的3 个查询是迭代查询，因为所有的回答都是直接返回给本地DNS服务器。 即第①步是递归查询 ，第②，④，⑥步是迭代查询。

那所有的DNS查询都遵循迭代 + 递归的方式吗？

答案并非如此，虽然在理论上，任何DNS查询既可以是迭代的，也能是递归的。

如下图，所有的DNS查询是都是递归的，因为所有的查询请求是以主机abc.net以自己的名义获得该映射。

DNS缓存

实际上，为了改善时延性能并减少在Internet上到处传输的 DNS报文数量，DNS 广泛使用了缓存技术。 DNS 缓存的原理非常简单。 在一个请求链中，当某 DNS服务器接收一个 DNS 回答(例如，包含主机名到IP地址的映射)时，它能将该回答中的信息缓存在本地中。 下次查询时便可直接用缓存里的内容。

注意，缓存并不是永久的，每一条映射记录都有一个对应的生存时间，通常设置为两天时间，一旦过了生存时间，这条记录就会从缓存移出。

有了缓存，本地 DNS 服务器可以立即返回所要解析主机的IP地址，而不必查询任何其他DNS服务器。 而本地 DNS服务器也能够缓存TLD服务器的地址，因而经常绕过查询链中的根 DNS服务器。

参考资料

计算机网络：自顶向下方法（原书第8版） (豆瓣) (douban.com)

又是一遭悲惨的遭遇，git提交了一连串代码之后，发现提交错了。其实是把给老婆发的消息打到了comment里，然后还提交上去了。怎么办，这被看到岂不是要社死了。

一连串的研究之后，找到了几个解决方案。接下来我们一起搞搞这种错误提交的弥补方案。其中最离谱的是第三个方案。哈哈。

赛前准备

这里模拟一下这个操作，毕竟不能直接看我们的代码记录。我们新建一个项目，新建一个文件，起名001。

然后依次改为 002 003 004 005，每次都提交一次，在005的时候，执行异常提交。

最终我们得到一个005的文件

gitee上看是这样的

对于我们来说，现在是想删除这个异常提交，不仅删除代码，还想删除记录

也就是说，期待的是，文件变为004，而且这个提交记录删除掉。

方案1 交互式 rebase

首先我们尝试一下 git rebase -i HEAD~3，这样会取出最后的三条提交记录供我们编辑。

我们可以看到顶上有三条记录，这时候，我们删除这个异常的提交5

保存之后，会返回

git rebase -i HEAD~3

Successfully rebased and updated refs/heads/master.

这时候查看记录

异常提交已经没有了。

但是若是我们直接git push 会报错

告诉我们，我们当前的分支的版本是落后于远程分支的，不能提交。

这时候就需要git push --force这个命令，强制推送！！！

需要注意的是，强制推送会覆盖远程仓库中的历史记录，因此请确保你知道这个命令是个啥，并且有必要的话，需要通知团队其他成员协调好操作。

可以看到，git push --force 是可以成功的，而且再看gitee的记录

异常提交5已经不见了。并且本地的文件已经变为了004

其实在git rebase -i HEAD~3这个命令打开的交互框里是可以更改提交的顺序的，但是不能针对同一个文件的同一行，会冲突。

方案2 git reset

git reset 其实之前写文章讲过Git reset到底该如何使用，一文读懂系列 这次我们就直接为达目的，直接使用。
我们在上边的基础上，再提交一个异常提交5，使其恢复最初的情况。

然后gitee的情况：

这时候我们执行

git reset --hard HEAD~1

这个命令将删除最近的一个提交，包括提交所做的更改。请注意，这种方法可能会导致丢失未提交的更改，也就是说，本地写的没提交的代码就没了。所以请谨慎使用。

执行之后，我们可以看到异常提交5不见了

提交的时候也需要git push --force这个命令，强制推送！！！为啥每次都使用三个！！！呢，我只想告诉你，这个命令很恐怖，一定要慎之又慎。

这时候查看gitee记录

异常提交5没有了。

使用 git revert

还有小伙伴会说，为啥不用git revert呢，这不是git专门用来回滚代码的吗？

我们恢复异常提交005，再试试

我们执行 git revert f3d8db 并且 push

可以看到，文件是从005变为004了。但是从提交记录来看，不仅没有删除记录，还多了一条。其实，除非提交的注释特别社死，不然一般用的就是git revert，因为它不仅可以保存记录，还能确保版本是往前走的。

方案3 git filter-branch（谨慎使用）

查资料的时候，还看到一个这个命令，可以来一波骚的了。那既然提错了，把这锅甩给新人不就行了，哇咔咔咔咔咔。

git filter-branch --commit-filter '

    if git log --format="%B" -n 1 $GIT_COMMIT | grep -q "异常提交"; then 

         GIT_AUTHOR_NAME="new baby"; 

         GIT_COMMITTER_NAME="new baby"; 

         git commit-tree "$@"; 

     else 

         git commit-tree "$@"; 

     fi' -- --all

然后就是这样的

可以看到名字变了。当然邮箱也是可以改的。哇咔咔，这异常不就与我没关系了么。。。但是，极其不建议这么瞎折腾哈。

这个命令会根据条件重写整个历史。操作之前备份一下吧，别折腾坏了。而且一定先和其他的小伙伴商量一下，尤其是新人哈。

在此，就研究完毕了。正常来说使用第一种或者第二种方案都是可以的。不怕挨打的话，第三种方案也行。

git rebase 和 git reset 的区别

• git rebase 命令用于将一个分支的提交移动到另一个分支上，或者重新应用一系列的提交。它的主要作用是改变提交的基础，即重新设置提交的起点。


• git reset 命令用于修改当前分支的 HEAD 引用，或者用于撤销之前的提交操作。

也就是说git rebase 用于重新整理提交历史，而 git reset 用于调整当前分支的位置或撤销更改。关于这两个详细的使用，git reset已经写过了，有关git rebase的我会新开一篇文章，有关将一个分支的提交移动到另一个分支上这个操作虽不常用，但总有需要用到的时候。

前言

最近计划参与一个换书活动，翻到《企业IT架构转型之道阿里巴巴中台战略思想与架构实战》这本书时，回想起令我印象比较深刻的一个知识点：“异构索引表”，所以在此记录并分享，和大家共同学习交流。

异构索引表的作用

如果《一致性哈希在分库分表的应用》说的是分库分表的方法和策略，那么本文所探讨的“异构索引表”，则是在实施分库分表过程中一个非常巧妙的设计，可以有效的解决分库分表的查询问题。

分库分表的查询问题

问题说明

在哈希分库分表时，为了避免分布不均匀造成的“数据倾斜”，通常会选择一些数据唯一的字段进行哈希操作，比如ID。

以订单表为例，通常有（id、uid、status、amount）等字段，通过id进行哈希取模运算分库分表之后，效果如下图

这样分库分表的方法没有问题，但是，在后期的开发和维护过程中，可能会存在潜在的问题。

举个例子：现在要查询uid为1的记录，应该去哪个表或库去查询？

对于用户来讲，这个场景可以说是非常频繁的。

这个时候就会发现，要想查询uid为1的记录，只能去所有的库或分表上进行查询，也就是所谓的“广播查询”。

整个查询过程大概是这样的

性能问题

显然，整个查询过程需要进行全库扫描，涉及到多次的网络数据传输，一定会导致查询速度的降低和延迟的增加。

数据聚合问题

另外，当这个用户有成千上万条数据时，不得已要在一个节点进行排序、分页、聚合等计算操作，需要消耗大量的计算资源和内存空间。对系统造成的负担也会影响查询性能。

这是一个非常典型的“事务边界大”的案例，即“一条SQL到所有的数据库去执行”。

那么如何解决这一痛点？

解决分库分表的查询问题

本文重点：“异构索引表”是可以解决这个问题的。

引入异构索引表

简单来说，“异构索引表”是一个拿空间换时间的设计。具体如下：

添加订单数据时，除了根据订单ID进行哈希取模运算将订单数据维护到对应的表中，还要对uid进行哈希取模运算，将uid和订单id维护在另一张表中，如图所示。

引入“异构索引表”后，因为同一个uid经过哈希取模运算后得到的结果是一致的，所以，该uid所有的订单id也一定会被分布到同一张user_order表中。

当查询uid为1的订单记录时，就可以有效地解决数据聚合存在的计算资源消耗和全库扫描的低效问题了。

接下来，通过查询过程，看看这两个问题是怎么解决的。

引入后的查询过程

引入“异构索引表”后，查询uid为1的订单记录时，具体过程分为以下几步：

看上去引入“异构索引表”之后，多了一个查询步骤，但换来的是：

异构索引表解决不了的场景

“异构索引表”只适合简单的分库分表查询场景，如果存在复杂的查询场景，还是需要借助搜索引擎来实现。

总结

异构索引表作为一种巧妙的设计，避免了分库分表查询存在的两个问题：全库扫描和不必要的计算资源消耗。

但是，异构索引表并不适用所有场景，对于复杂的查询场景可能需要结合其他技术或策略来解决问题。

大家好，我是苏三，又跟大家见面了。

前言

之前写过一篇文章《表设计的18条军规》，发表之前，在全网广受好评。

今天延续设计的话题，给大家总结了接口设计的18条军规，希望对你会有所帮助。

1. 签名

为了防止API接口中的数据被篡改，很多时候我们需要对API接口做签名。

接口请求方将请求参数 + 时间戳 + 密钥拼接成一个字符串，然后通过md5等hash算法，生成一个前面sign。

然后在请求参数或者请求头中，增加sign参数，传递给API接口。

API接口的网关服务，获取到该sign值，然后用相同的请求参数 + 时间戳 + 密钥拼接成一个字符串，用相同的m5算法生成另外一个sign，对比两个sign值是否相等。

如果两个sign相等，则认为是有效请求，API接口的网关服务会将给请求转发给相应的业务系统。

如果两个sign不相等，则API接口的网关服务会直接返回签名错误。

问题来了：签名中为什么要加时间戳？

答：为了安全性考虑，防止同一次请求被反复利用，增加了密钥没破解的可能性，我们必须要对每次请求都设置一个合理的过期时间，比如：15分钟。

这样一次请求，在15分钟之内是有效的，超过15分钟，API接口的网关服务会返回超过有效期的异常提示。

目前生成签名中的密钥有两种形式：

一种是双方约定一个固定值privateKey。

另一种是API接口提供方给出AK/SK两个值，双方约定用SK作为签名中的密钥。AK接口调用方作为header中的accessKey传递给API接口提供方，这样API接口提供方可以根据AK获取到SK，而生成新的sgin。

2. 加密

有些时候，我们的API接口直接传递的非常重要的数据，比如：用户的登录密码、银彳亍卡号、转账金额、用户身-份-证等，如果将这些参数，直接明文，暴露到公网上是非常危险的事情。

由此，我们需要对数据进行加密。

比如：用户注册接口，用户输入了用户名和密码之后，需要将密码加密。

我们可以使用AES对称加密算法。

在前端使用公钥对用户密码加密。

然后注册接口中，可以使用密钥解密，做一些业务需求校验。然后再换成其他的加密方式加密，保存到数据库当中。

3. ip白名单

为了进一步加强API接口的安全性，防止接口的签名或者加密被破解了，攻击者可以在自己的服务器上请求该接口。

需求限制请求ip，增加ip白名单。

只有在白名单中的ip地址，才能成功请求API接口，否则直接返回无访问权限。

ip白名单也可以加在API网关服务上。

但也要防止公司的内部应用服务器被攻破，这种情况也可以从内部服务器上发起API接口的请求。

这时候就需要增加web防火墙了，比如：ModSecurity等。

4. 限流

如果你的API接口被第三方平台调用了，这就意味着着，调用频率是没法控制的。

第三方平台调用你的API接口时，如果并发量一下子太高，可能会导致你的API服务不可用，接口直接挂掉。

由此，必须要对API接口做限流。

限流方法有三种：

我们在实际工作中，可以通过nginx，redis或者gateway实现限流的功能。

5. 参数校验

我们需要对API接口做参数校验，比如：校验必填字段是否为空，校验字段类型，校验字段长度，校验枚举值等等。

这样做可以拦截一些无效的请求。

比如在新增数据时，字段长度超过了数据字段的最大长度，数据库会直接报错。

但这种异常的请求，我们完全可以在API接口的前期进行识别，没有必要走到数据库保存数据那一步，浪费系统资源。

有些金额字段，本来是正数，但如果用户传入了负数，万一接口没做校验，可能会导致一些没必要的损失。

还有些状态字段，如果不做校验，用户如果传入了系统中不存在的枚举值，就会导致保存的数据异常。

由此可见，做参数校验是非常有必要的。

在Java中校验数据使用最多的是hiberate的Validator框架，它里面包含了@Null、@NotEmpty、@Size、@Max、@Min等注解。

用它们校验数据非常方便。

当然有些日期字段和枚举字段，可能需要通过自定义注解的方式实现参数校验。

6. 统一返回值

我之前调用过别人的API接口，正常返回数据是一种json格式，比如：

{

    "code":0,

    "message":null,

    "data":[{"id":123,"name":"abc"}]

},

签名错误返回的json格式：

{

    "code":1001,

    "message":"签名错误",

    "data":null

}

没有数据权限返回的json格式：

{

    "rt":10,

    "errorMgt":"没有权限",

    "result":null

}

这种是比较坑的做法，返回值中有多种不同格式的返回数据，这样会导致对接方很难理解。

出现这种情况，可能是API网关定义了一直返回值结构，业务系统定义了另外一种返回值结构。如果是网关异常，则返回网关定义的返回值结构，如果是业务系统异常，则返回业务系统的返回值结构。

但这样会导致API接口出现不同的异常时，返回不同的返回值结构，非常不利于接口的维护。

其实这个问题我们可以在设计API网关时解决。

业务系统在出现异常时，抛出业务异常的RuntimeException，其中有个message字段定义异常信息。

所有的API接口都必须经过API网关，API网关捕获该业务异常，然后转换成统一的异常结构返回，这样能统一返回值结构。

7. 统一封装异常

我们的API接口需要对异常进行统一处理。

不知道你有没有遇到过这种场景：有时候在API接口中，需要访问数据库，但表不存在，或者sql语句异常，就会直接把sql信息在API接口中直接返回。

返回值中包含了异常堆栈信息、数据库信息、错误代码和行数等信息。

如果直接把这些内容暴露给第三方平台，是很危险的事情。

有些不法分子，利用接口返回值中的这些信息，有可能会进行sql注入或者直接脱库，而对我们系统造成一定的损失。

因此非常有必要对API接口中的异常做统一处理，把异常转换成这样：

{

    "code":500,

    "message":"服务器内部错误",

    "data":null

}

返回码code是500，返回信息message是服务器内部异常。

这样第三方平台就知道是API接口出现了内部问题，但不知道具体原因，他们可以找我们排查问题。

我们可以在内部的日志文件中，把堆栈信息、数据库信息、错误代码行数等信息，打印出来。

我们可以在gateway中对异常进行拦截，做统一封装，然后给第三方平台的是处理后没有敏感信息的错误信息。

8. 请求日志

在第三方平台请求你的API接口时，接口的请求日志非常重要，通过它可以快速的分析和定位问题。

我们需要把API接口的请求url、请求参数、请求头、请求方式、响应数据和响应时间等，记录到日志文件中。

最好有traceId，可以通过它串联整个请求的日志，过滤多余的日志。

当然有些时候，请求日志不光是你们公司开发人员需要查看，第三方平台的用户也需要能查看接口的请求日志。

这时就需要把日志落地到数据库，比如：mongodb或者elastic search，然后做一个UI页面，给第三方平台的用户开通查看权限。这样他们就能在外网查看请求日志了，他们自己也能定位一部分问题。

9. 幂等设计

第三方平台极有可能在极短的时间内，请求我们接口多次，比如：在1秒内请求两次。有可能是他们业务系统有bug，或者在做接口调用失败重试，因此我们的API接口需要做幂等设计。

也就是说要支持在极短的时间内，第三方平台用相同的参数请求API接口多次，第一次请求数据库会新增数据，但第二次请求以后就不会新增数据，但也会返回成功。

这样做的目的是不会产生错误数据。

我们在日常工作中，可以通过在数据库中增加唯一索引，或者在redis保存requestId和请求参来保证接口幂等性。

对接口幂等性感兴趣的小伙伴，可以看看我的另一篇文章《高并发下如何保证接口的幂等性？》，里面有非常详细的介绍。

10. 限制记录条数

对于对我提供的批量接口，一定要限制请求的记录条数。

如果请求的数据太多，很容易造成API接口超时等问题，让API接口变得不稳定。

通常情况下，建议一次请求中的参数，最多支持传入500条记录。

如果用户传入多余500条记录，则接口直接给出提示。

建议这个参数做成可配置的，并且要事先跟第三方平台协商好，避免上线后产生不必要的问题。

对于一次性查询的数据太多的情况，我们需要将接口设计成分页查询返回的。

11. 压测

上线前我们务必要对API接口做一下压力测试，知道各个接口的qps情况。

以便于我们能够更好的预估，需要部署多少服务器节点，对于API接口的稳定性至关重要。

之前虽说对API接口做了限流，但是实际上API接口是否能够达到限制的阀值，这是一个问号，如果不做压力测试，是有很大风险的。

比如：你API接口限流1秒只允许50次请求，但实际API接口只能处理30次请求，这样你的API接口也会处理不过来。

我们在工作中可以用jmeter或者apache benc对API接口做压力测试。

12. 异步处理

一般的API接口的逻辑都是同步处理的，请求完之后立刻返回结果。

但有时候，我们的API接口里面的业务逻辑非常复杂，特别是有些批量接口，如果同步处理业务，耗时会非常长。

这种情况下，为了提升API接口的性能，我们可以改成异步处理。

在API接口中可以发送一条mq消息，然后直接返回成功。之后，有个专门的mq消费者去异步消费该消息，做业务逻辑处理。

直接异步处理的接口，第三方平台有两种方式获取到。

第一种方式是：我们回调第三方平台的接口，告知他们API接口的处理结果，很多支付接口就是这么玩的。

第二种方式是：第三方平台通过轮询调用我们另外一个查询状态的API接口，每隔一段时间查询一次状态，传入的参数是之前的那个API接口中的id集合。

13. 数据脱敏

有时候第三方平台调用我们API接口时，获取的数据中有一部分是敏感数据，比如：用户手机号、银彳亍卡号等等。

这样信息如果通过API接口直接保留到外网，是非常不安全的，很容易造成用户隐私数据泄露的问题。

这就需要对部分数据做数据脱敏了。

我们可以在返回的数据中，部分内容用星号代替。

已用户手机号为例：182****887。

这样即使数据被泄露了，也只泄露了一部分，不法分子拿到这份数据也没啥用。

14. 完整的接口文档

说实话，一份完整的API接口文档，在双方做接口对接时，可以减少很多沟通成本，让对方少走很多弯路。

接口文档中需要包含如下信息：

接口文档中最好能够统一接口和字段名称的命名风格，比如都用驼峰标识命名。

统一字段的类型和长度，比如：id字段用Long类型，长度规定20。status字段用int类型，长度固定2等。

统一时间格式字段，比如：time用String类型，格式为：yyyy-MM-dd HH:mm:ss。

接口文档中写明AK/SK和域名，找某某单独提供等。

最近建了一些高质量的粉丝群，里面可以交流技术，有工作内推，有粉丝福利。

进群方式

添加苏三的私人微信：su_san_java，备注：掘金+粉丝，即可加入。

15. 请求方式

接口支持的请求方式有很多，比如：GET、POST、PUT、DELETE等等。

我们在设计接口的时候，要根据实际情况选择使用哪种请求方式。

实际工作中使用最多的是：GET和POST，这两种请求方式。

如果没有输入参数的接口，可以使用GET请求方式，问题不大。

如果有输入参数的接口，推荐使用POST请求方式，坑更少。

主要原因有下面两点：

16. 请求头

对于一些公共的功能，比如：接口的权限验证，或者接口的traceId参数。

我们在设计接口的时候，不用把所有的参数，都放入接口的请求参数中。

有些参数可以放到Header请求头中。

比如：我们需求记录每个请求的traceId，不用在所有接口中都加traceId字段。

而改成让用户在header中传入traceId，在服务端使用统一的拦截器解析header，即可获取该traceId了。

17. 批量

我们在设计接口的时候，无论是查询数据、添加数据、修改数据，还是删除的场景，都应该考虑一下能否设计成批量的。

很多时候，需要通过id查询数据详情，比如：通过订单id，查询订单详情。

如果你的接口只支持，通过一个id，查询一个订单的详情。

那么，后面需要通过多个id，查询多个订单详情的时候，就需要额外增加接口了。

如果你添加数据的接口，只支持一条数据一条数据的添加。

后面，有个job需要一次性添加1000条数据的时候，这时在代码中循环1000次，一个个添加，这种做法效率比较低。

为了让你的接口设计的更加通用，满足更多的业务场景，能设计成批量的，尽量别设计成单个的。

18. 职责单一

我之前见过有些小伙伴设计的接口，在入参中各种条件都支持，在Service层有N多的if...else判断。

而且返回的实体类中，包含了各种场景下的返回值字段，字段很多很全。

接口上线一年之后，自己可能都忘了，在哪些业务场景下，要传入哪些字段，返回值是哪些字段。

这类接口的维护成本非常高，而且又不敢轻易重构，怕改了A业务场景，影响B业务场景的功能，这种接口让人非常痛苦的。

好的接口设计原则是：职责单一。

比如用户下单的场景，有web端和移动端。

而每个端都有普通下单和快速下单，两种不同的业务场景。

我们在设计接口的时候，可以将web端和移动端的接口在controller层完全分开。

/web/v1/order

/mobile/v1/order

并且将普通下单和快速下单也分开：

/web/v1/order/create

/web/v1/order/fastCreate

/mobile/v1/order/create

/mobile/v1/order/fastCreate

这样可以设计成4个接口。

业务逻辑更清晰一些，方便后面维护。

大家好，我是程序员鱼皮。

很想吐槽：我真的不想写增删改查这种重复代码了！

大学刚做项目的时候，就在写增删改查，万万没想到 7 年后，还在和增删改查打交道。因为增删改查是任何项目的基础功能，每次带朋友们做新项目时，为了照顾更多同学，我都会带大家把增删改查的代码再编写并讲解一遍。

不开玩笑地说，我绝对有资格在简历上写 “自己精通增删改查的编写” 了！

相信很多已经在工作中的小伙伴，80% 甚至更多的时间也在天天写增删改查这种重复代码，也会因此感到烦恼。那大家有没有思考过：如何提高写增删改查的效率？让自己有更多时间进步（愉快摸鱼）呢？

其实有很多种方法，鱼皮分享下自己的提效小操作，看看朋友们有没有实践过~

如何提高增删改查的编写效率？

方法 1、复制粘贴

复制粘贴前人的代码是一种最简单直接的方法，估计大多数开发者在实际工作中都是这么干的。

但这种方式存在的问题也很明显，如果对复制的代码本身不够理解，很有可能出现细节错误。而且不同数据表的字段和校验规则是不同的，往往复制后的代码还要经过大量的人工修改。

还有很多 “小迷糊”，经常复制完代码后忘了修改一些变量名称和注释，出现类似下面代码的名场面：

// 帖子接口

class UserController {

}

方法 2、使用模板

一般新项目都是要基于模板开发的，而不是每次都重复编写一大堆的通用代码。比如我之前给编程导航同学编写的 Spring Boot 后端万用模板，内置了用户注册、账号密码登录、公众号登录等通用能力。基于这种模板二次开发，能够大大提高开发效率，也有助于开发同学遵循一致的规范。

然而，使用模板也存在一些风险，如果模板本身有功能存在漏洞，那么所有基于这个模板开发的项目可能都会存在风险。而且别人的模板也不是万能的，建议还是根据自己的开发经验，自己沉淀和维护一套模板。对团队来说，沉淀模板是必须要做的事。

方法 3、AI 工具

利用 AI 工具来生成增删改查的代码是一种新兴的方法。只需要甩给 AI 要生成代码的表结构，然后精准地编写要生成的代码要求，就可以让 AI 快速生成了。

这种方式的优点是非常灵活，能帮开发者提供一些灵感；缺点就是对编写 prompt（提示词）的要求会比较高，而且生成后的代码还是得仔细检查一遍的。

方法 4、超级抽象

这是一种更高级别的代码复用方法。通过设计 通用的 数据模型和操作接口，实现用一套代码满足多种不同业务场景下的增删改查操作。

举个例子，如果有帖子、评论、回答等多个资源需要支持用户收藏功能，系统规模不大的情况下，不需要编写 3 张不同的收藏表、并分别编写增删改查代码。而是可以设计 1 张通用的收藏表，通过 type 字段来区分不同类型的资源，从而实现统一的收藏操作。

像点赞、消息通知、日志、数据收集等业务场景，都可以采用这种方式，通过极致的复用完成快速开发。

但也要注意，千万不要把区别较大的功能强行合并到一起，反而会增加开发者的理解成本；而且如果系统数据量较大，分开维护表更有利于系统的性能和稳定性。

方法 5、代码生成器

这也是非常典型的一种提高增删改查效率的方法。后端可以使用 MyBatis X 插件来生成数据模型和数据访问层的 Mapper 代码，前端可以用 OpenAPI 工具生成请求函数和 TS 类型代码等。

不过用别人的生成器难免会出现无法满足需求的情况，生成后的代码一般还是要自己再修改一下的。

所以，我建议可以使用模板引擎技术，自己开发一套更灵活、更适合自己业务的代码生成器。

比如鱼皮给后端万用模板补充了代码生成器功能，使用 FreeMarker 模板引擎技术实现，定制了 Controller、Service、数据包装类的代码模板。用户只需要指定几个参数，就可以在指定位置生成代码了~ 昨天 AI 答题应用平台的开发中，就是用了这个代码生成器，几分钟写好一套功能。

可以在代码小抄阅读生成器的核心实现代码：http://www.codecopy.cn/post/edkpo4 。之前我从 0 到 1 直播带大家开发过一个代码生成器共享平台，感兴趣的同学也可以学习下，保证能把代码生成玩得很熟练~

方法 6、云服务

这种方式也比较新颖了，利用某些云服务提供的现成的数据库和操作数据库的接口，都不需要自己去编写增删改查了！

比如我之前用过的腾讯云开发 Cloudbase，开通服务后，只要在平台上建号数据表，就能自动得到数据管理页面，可以直接通过 HTTP 请求或 SDK 实现增删改查，尤其适合前端同学使用。

但这种方式的缺点也很明显，灵活性相对差了一些，而且会产生一些额外的费用。

所以还是那句话，没有最好的技术，只有最适合自身需求和业务场景的技术。

大家好我是聪，昨天真是水逆，在技术群里交流问题，竟然被人身攻击了！骂的话太难听具体就不加讨论了，人身攻击我可以接受，我接受不了他竟然说要刷我接口！！！！这下激发我的灵感来写一篇如何抵御黑子的压测攻击，还真得要谢谢他。

🔥本次的自动加入黑名单拦截代码已经上传到短链狗，想学习如何生成一个短链可以去我的 Github 上面查看哦，项目地址：github.com/lhccong/sho…

思维发散

如果有人要攻击我的网站，我应该从哪些方面开始预防呢，我想到了以下几点，如何还有其他的思路欢迎大家补充：

功能实现

设置 AOP 注解

1）获取拦截对象的标识，这个标识可以是用户 ID 或者是其他。

2）限制频率。举个例子：如果每秒超过 10 次就直接给他禁止访问 1 分钟或者 5 分钟。

3）加入黑名单。举个例子：当他多次触发禁止访问机制，就证明他还不死心还在刷，直接给他加入黑名单，可以是永久黑名单或者 1 天就又给他放出来。

4）获取后面回调的方法，会用反射来实现接口的调用。

有了以上几点属性，那么注解设置如下：

/**

 * 黑名单拦截器

 *

 * @author cong

 * @date 2024/05/23

 */

@Retention(RetentionPolicy.RUNTIME)

@Target({ElementType.TYPE, ElementType.METHOD})

public @interface BlacklistInterceptor {



    /**

     * 拦截字段的标识符

     *

     * @return {@link String }

     */

    String key() default "default";;



    /**

     * 频率限制 每秒请求次数

     *

     * @return double

     */

    double rageLimit() default 10;



    /**

     * 保护限制 命中频率次数后触发保护，默认触发限制就保护进入黑名单

     *

     * @return int

     */

    int protectLimit() default 1;



    /**

     * 回调方法

     *

     * @return {@link String }

     */

    String fallbackMethod();

}

设置切面具体实现

@Aspect

@Component

@Slf4j

public class RageLimitInterceptor {

    private final Redisson redisson;



    private RMapCache blacklist;

    // 用来存储用户ID与对应的RateLimiter对象

    private final Cache userRateLimiters = CacheBuilder.newBuilder()

            .expireAfterWrite(1, TimeUnit.MINUTES)

            .build();



    public RageLimitInterceptor(Redisson redisson) {

        this.redisson = redisson;

        if (redisson != null) {

            log.info("Redisson object is not null, using Redisson...");

            // 使用 Redisson 对象执行相关操作

            // 个人限频黑名单24h

            blacklist = redisson.getMapCache("blacklist");

            blacklist.expire(24, TimeUnit.HOURS);// 设置过期时间

        } else {

            log.error("Redisson object is null!");

        }

    }





    @Pointcut("@annotation(com.cong.shortlink.annotation.BlacklistInterceptor)")

    public void aopPoint() {

    }



    @Around("aopPoint() && @annotation(blacklistInterceptor)")

    public Object doRouter(ProceedingJoinPoint jp, BlacklistInterceptor blacklistInterceptor) throws Throwable {

        String key = blacklistInterceptor.key();



        // 获取请求路径

        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();

        HttpServletRequest httpServletRequest = ((ServletRequestAttributes) requestAttributes).getRequest();

        //获取 IP

        String remoteHost = httpServletRequest.getRemoteHost();

        if (StringUtils.isBlank(key)) {

            throw new BusinessException(ErrorCode.NO_AUTH_ERROR, "拦截的 key 不能为空");

        }

        // 获取拦截字段

        String keyAttr;

        if (key.equals("default")) {

            keyAttr = "SystemUid" + StpUtil.getLoginId().toString();

        } else {

            keyAttr = getAttrValue(key, jp.getArgs());

        }



        log.info("aop attr {}", keyAttr);



        // 黑名单拦截

        if (blacklistInterceptor.protectLimit() != 0 && null != blacklist.getOrDefault(keyAttr, null) && (blacklist.getOrDefault(keyAttr, 0L) > blacklistInterceptor.protectLimit()

                ||blacklist.getOrDefault(remoteHost, 0L) > blacklistInterceptor.protectLimit())) {

            log.info("有小黑子被我抓住了！给他 24 小时封禁套餐吧：{}", keyAttr);

            return fallbackMethodResult(jp, blacklistInterceptor.fallbackMethod());

        }



        // 获取限流

        RRateLimiter rateLimiter;

        if (!userRateLimiters.asMap().containsKey(keyAttr)) {

            rateLimiter = redisson.getRateLimiter(keyAttr);

            // 设置RateLimiter的速率，每秒发放10个令牌

            rateLimiter.trySetRate(RateType.OVERALL, blacklistInterceptor.rageLimit(), 1, RateIntervalUnit.SECONDS);

            userRateLimiters.put(keyAttr, rateLimiter);

        } else {

            rateLimiter = userRateLimiters.getIfPresent(keyAttr);

        }



        // 限流拦截

        if (rateLimiter != null && !rateLimiter.tryAcquire()) {

            if (blacklistInterceptor.protectLimit() != 0) {

                //封标识

                blacklist.put(keyAttr, blacklist.getOrDefault(keyAttr, 0L) + 1L);

                //封 IP

                blacklist.put(remoteHost, blacklist.getOrDefault(remoteHost, 0L) + 1L);

            }

            log.info("你刷这么快干嘛黑子：{}", keyAttr);

            return fallbackMethodResult(jp, blacklistInterceptor.fallbackMethod());

        }



        // 返回结果

        return jp.proceed();

    }



    private Object fallbackMethodResult(JoinPoint jp, String fallbackMethod) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {

        Signature sig = jp.getSignature();

        MethodSignature methodSignature = (MethodSignature) sig;

        Method method = jp.getTarget().getClass().getMethod(fallbackMethod, methodSignature.getParameterTypes());

        return method.invoke(jp.getThis(), jp.getArgs());

    }



    /**

     * 实际根据自身业务调整，主要是为了获取通过某个值做拦截

     */

    public String getAttrValue(String attr, Object[] args) {

        if (args[0] instanceof String) {

            return args[0].toString();

        }

        String filedValue = null;

        for (Object arg : args) {

            try {

                if (StringUtils.isNotBlank(filedValue)) {

                    break;

                }

                filedValue = String.valueOf(this.getValueByName(arg, attr));

            } catch (Exception e) {

                log.error("获取路由属性值失败 attr：{}", attr, e);

            }

        }

        return filedValue;

    }



    /**

     * 获取对象的特定属性值

     *

     * @param item 对象

     * @param name 属性名

     * @return 属性值

     * @author tang

     */

    private Object getValueByName(Object item, String name) {

        try {

            Field field = getFieldByName(item, name);

            if (field == null) {

                return null;

            }

            field.setAccessible(true);

            Object o = field.get(item);

            field.setAccessible(false);

            return o;

        } catch (IllegalAccessException e) {

            return null;

        }

    }



    /**

     * 根据名称获取方法，该方法同时兼顾继承类获取父类的属性

     *

     * @param item 对象

     * @param name 属性名

     * @return 该属性对应方法

     * @author tang

     */

    private Field getFieldByName(Object item, String name) {

        try {

            Field field;

            try {

                field = item.getClass().getDeclaredField(name);

            } catch (NoSuchFieldException e) {

                field = item.getClass().getSuperclass().getDeclaredField(name);

            }

            return field;

        } catch (NoSuchFieldException e) {

            return null;

        }

    }





}