前言

常常会苦恼，平常做的项目很普通，没啥亮点；面试中也经常会被问到：做过哪些亮点项目吗？

前端监控就是一个很有亮点的项目，各个大厂都有自己的内部实现，没有监控的项目好比是在裸奔

文章分成以下六部分来介绍：

• 自研监控平台解决了哪些痛点，实现了什么亮点功能？

• 相比sentry等监控方案，自研监控的优势有哪些？

• 前端监控的设计方案、监控的目的

• 数据的采集方式：错误信息、性能数据、用户行为、加载资源、个性化指标等

• 设计开发一个完整的监控SDK

• 监控后台错误还原演示示例

痛点

某⼀天用户：xx商品无法下单！
⼜⼀天运营：xx广告在手机端打开不了！

大家反馈的bug，怎么都复现不出来，尴尬的要死！😢

如何记录项目的错误，并将错误还原出来，这是监控平台要解决的痛点之一

错误还原

web-see 监控提供三种错误还原方式：定位源码、播放录屏、记录用户行为

定位源码

项目出错，要是能定位到源码就好了，可线上的项目都是打包后的代码，也不能把 .map 文件放到线上

监控平台通过 source-map 可以实现该功能

最终效果：

播放录屏

多数场景下，定位到具体的源码，就可以定位bug，但如果是用户做了异常操作，或者是在某些复杂操作下才出现的bug，仅仅通过定位源码，还是不能还原错误

要是能把用户的操作都录制下来，然后通过回放来还原错误就好了

监控平台通过 rrweb 可以实现该功能

最终效果：

回放的录屏中，记录了用户的所有操作，红色的线代表了鼠标的移动轨迹

前端录屏确实是件很酷的事情，但是不能走极端，如果把用户的所有操作都录制下来，是没有意义的

我们更关注的是，页面报错的时候用户做了哪些操作，所以监控平台只把报错前10s的视频保存下来（单次录屏时长也可以自定义）

记录用户行为

通过 定位源码 + 播放录屏 这套组合，还原错误应该够用了，同时监控平台也提供了 记录用户行为 这种方式

假如用户做了很多操作，操作的间隔超过了单次录屏时长，录制的视频可能是不完整的，此时可以借助用户行为来分析用户的操作，帮助复现bug

最终效果：

用户行为列表记录了：鼠标点击、接口调用、资源加载、页面路由变化、代码报错等信息

通过 定位源码、播放录屏、记录用户行为 这三板斧，解决了复现bug的痛点

自研监控的优势

为什么不直接用sentry私有化部署，而选择自研前端监控？

这是优先要思考的问题，sentry作为前端监控的行业标杆，有很多可以借鉴的地方

相比sentry，自研监控平台的优势在于：

1、可以将公司的SDK统一成一个，包括但不限于：监控SDK、埋点SDK、录屏SDK、广告SDK等

2、提供了更多的错误还原方式，同时错误信息可以和埋点信息联动，便可拿到更细致的用户行为栈，更快的排查线上错误

3、监控自定义的个性化指标：如 long task、memory页面内存、首屏加载时间等。过多的长任务会造成页面丢帧、卡顿；过大的内存可能会造成低端机器的卡死、崩溃

4、统计资源缓存率，来判断项目的缓存策略是否合理，提升缓存率可以减少服务器压力，也可以提升页面的打开速度

设计思路

一个完整的前端监控平台包括三个部分：数据采集与上报、数据分析和存储、数据展示

监控目的

异常分析

按照 5W1H 法则来分析前端异常，需要知道以下信息

1. What，发⽣了什么错误：JS错误、异步错误、资源加载、接口错误等

2. When，出现的时间段，如时间戳

3. Who，影响了多少用户，包括报错事件数、IP

4. Where，出现的页面是哪些，包括页面、对应的设备信息

5. Why，错误的原因是为什么，包括错误堆栈、⾏列、SourceMap、异常录屏

6. How，如何定位还原问题，如何异常报警，避免类似的错误发生

错误数据采集

错误信息是最基础也是最重要的数据，错误信息主要分为下面几类：

• JS 代码运行错误、语法错误等

• 异步错误等

• 静态资源加载错误

• 接口请求报错

错误捕获方式

1）try/catch

只能捕获代码常规的运行错误，语法错误和异步错误不能捕获到

示例：

// 示例1：常规运行时错误，可以捕获 ✅
 try {
   let a = undefined;
   if (a.length) {
     console.log('111');
   }
 } catch (e) {
   console.log('捕获到异常：', e);
}

// 示例2：语法错误，不能捕获 ❌  
try {
  const notdefined,
} catch(e) {
  console.log('捕获不到异常：', 'Uncaught SyntaxError');
}
  
// 示例3：异步错误，不能捕获 ❌
try {
  setTimeout(() => {
    console.log(notdefined);
  }, 0)
} catch(e) {
  console.log('捕获不到异常：', 'Uncaught ReferenceError');
}
复制代码

2） window.onerror

window.onerror 可以捕获常规错误、异步错误，但不能捕获资源错误

/**
* @param { string } message 错误信息
* @param { string } source 发生错误的脚本URL
* @param { number } lineno 发生错误的行号
* @param { number } colno 发生错误的列号
* @param { object } error Error对象
*/
window.onerror = function(message, source, lineno, colno, error) {
   console.log('捕获到的错误信息是：', message, source, lineno, colno, error )
}
复制代码

示例：

window.onerror = function(message, source, lineno, colno, error) {
  console.log("捕获到的错误信息是：", message, source, lineno, colno, error);
};

// 示例1：常规运行时错误，可以捕获 ✅
console.log(notdefined);

// 示例2：语法错误，不能捕获 ❌
const notdefined;

// 示例3：异步错误，可以捕获 ✅
setTimeout(() => {
  console.log(notdefined);
}, 0);

// 示例4：资源错误，不能捕获 ❌
let script = document.createElement("script");
script.type = "text/javascript";
script.src = "https://www.test.com/index.js";
document.body.appendChild(script);
复制代码

3） window.addEventListener

当静态资源加载失败时，会触发 error 事件， 此时 window.onerror 不能捕获到

示例：

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
</head>
<script>
  window.addEventListener('error', (error) => {
    console.log('捕获到异常：', error);
  }, true)
</script>

<!-- 图片、script、css加载错误，都能被捕获 ✅ -->
<img src="https://test.cn/×××.png">
<script src="https://test.cn/×××.js"></script>
<link href="https://test.cn/×××.css" rel="stylesheet" />

<script>
  // new Image错误，不能捕获 ❌
  // new Image运用的比较少，可以自己单独处理
  new Image().src = 'https://test.cn/×××.png'
</script>
</html>
复制代码

4）Promise错误

Promise中抛出的错误，无法被 window.onerror、try/catch、 error 事件捕获到，可通过 unhandledrejection 事件来处理

示例：

try {
  new Promise((resolve, reject) => {
    JSON.parse("");
    resolve();
  });
} catch (err) {
  // try/catch 不能捕获Promise中错误 ❌
  console.error("in try catch", err);
}

// error事件 不能捕获Promise中错误 ❌
window.addEventListener(
  "error",
  error => {
    console.log("捕获到异常：", error);
  },
  true
);

// window.onerror 不能捕获Promise中错误 ❌
window.onerror = function(message, source, lineno, colno, error) {
  console.log("捕获到异常：", { message, source, lineno, colno, error });
};

// unhandledrejection 可以捕获Promise中的错误 ✅
window.addEventListener("unhandledrejection", function(e) {
  console.log("捕获到异常", e);
  // preventDefault阻止传播，不会在控制台打印
  e.preventDefault();
});

复制代码

Vue 错误

Vue项目中，window.onerror 和 error 事件不能捕获到常规的代码错误

异常代码：

export default {
  created() {
    let a = null;
    if(a.length > 1) {
        // ...
    }
  }
};
复制代码

main.js中添加捕获代码：

window.addEventListener('error', (error) => {
  console.log('error', error);
});
window.onerror = function (msg, url, line, col, error) {
  console.log('onerror', msg, url, line, col, error);
};
复制代码

控制台会报错，但是 window.onerror 和 error 不能捕获到

vue 通过 Vue.config.errorHander 来捕获异常：

Vue.config.errorHandler = (err, vm, info) => {
    console.log('进来啦~', err);
}
复制代码

控制台打印:

errorHandler源码分析

在src/core/util目录下，有一个error.js文件

function globalHandleError (err, vm, info) {

  // 获取全局配置，判断是否设置处理函数，默认undefined

  // 配置config.errorHandler方法

  if (config.errorHandler) {

    try {

      // 执行 errorHandler

      return config.errorHandler.call(null, err, vm, info)

    } catch (e) {

      // 如果开发者在errorHandler函数中，手动抛出同样错误信息throw err，判断err信息是否相等，避免log两次

      if (e !== err) {

        logError(e, null, 'config.errorHandler')

      }

    }

  }

  // 没有配置，常规输出

  logError(err, vm, info)

}



function logError (err, vm, info) {

  if (process.env.NODE_ENV !== 'production') {

    warn(`Error in ${info}: "${err.toString()}"`, vm)

  }

  /* istanbul ignore else */

  if ((inBrowser || inWeex) && typeof console !== 'undefined') {

    console.error(err)

  } else {

    throw err

  }

}

复制代码

通过源码明白了，vue 使用 try/catch 来捕获常规代码的报错，被捕获的错误会通过 console.error 输出而避免应用崩溃

可以在 Vue.config.errorHandler 中将捕获的错误上报

Vue.config.errorHandler = function (err, vm, info) { 

  // handleError方法用来处理错误并上报

  handleError(err);

}

复制代码

React 错误

从 react16 开始，官方提供了 ErrorBoundary 错误边界的功能，被该组件包裹的子组件，render 函数报错时会触发离当前组件最近父组件的ErrorBoundary

生产环境，一旦被 ErrorBoundary 捕获的错误，也不会触发全局的 window.onerror 和 error 事件

父组件代码：

import React from 'react';

import Child from './Child.js';



// window.onerror 不能捕获render函数的错误 ❌

window.onerror = function (err, msg, c, l) {

  console.log('err', err, msg);

};



// error 不能render函数的错误 ❌

window.addEventListener( 'error', (error) => {

    console.log('捕获到异常：', error);

  },true

);



class ErrorBoundary extends React.Component {

  constructor(props) {

    super(props);

    this.state = { hasError: false };

  }



  static getDerivedStateFromError(error) {

    // 更新 state 使下一次渲染能够显示降级后的 UI

    return { hasError: true };

  }

  componentDidCatch(error, errorInfo) {

    // componentDidCatch 可以捕获render函数的错误 

    console.log(error, errorInfo)

    

    // 同样可以将错误日志上报给服务器

    reportError(error, errorInfo);

  }

  render() {

    if (this.state.hasError) {

      // 自定义降级后的 UI 并渲染

      return <h1>Something went wrong.</h1>;

    }

    return this.props.children;

  }

}



function Parent() {

  return (

    <div>

      父组件

      <ErrorBoundary>

        <Child />

      </ErrorBoundary>

    </div>

  );

}



export default Parent;

复制代码

子组件代码：

// 子组件 渲染出错

function Child() {

  let list = {};

  return (

    <div>

      子组件

      {list.map((item, key) => (

        <span key={key}>{item}</span>

      ))}

    </div>

  );

}

export default Child;

复制代码

同vue项目的处理类似，react项目中，可以在 componentDidCatch 中将捕获的错误上报

componentDidCatch(error, errorInfo) {

  // handleError方法用来处理错误并上报

  handleError(err);

}

复制代码

跨域问题

如果当前页面中，引入了其他域名的JS资源，如果资源出现错误，error 事件只会监测到一个 script error 的异常。

示例：

window.addEventListener("error", error => { 

  console.log("捕获到异常：", error);

}, true );



// 当前页面加载其他域的资源，如https://www.test.com/index.js

<script src="https://www.test.com/index.js"></script>



// 加载的https://www.test.com/index.js的代码

function fn() {

  JSON.parse("");

}

fn();

复制代码

报错信息：

只能捕获到 script error 的原因：

是由于浏览器基于安全考虑，故意隐藏了其它域JS文件抛出的具体错误信息，这样可以有效避免敏感信息无意中被第三方(不受控制的)脚本捕获到，因此，浏览器只允许同域下的脚本捕获具体的错误信息

解决方法：

前端script加crossorigin，后端配置 Access-Control-Allow-Origin

<script src="https://www.test.com/index.js" crossorigin></script>

复制代码

添加 crossorigin 后可以捕获到完整的报错信息：

如果不能修改服务端的请求头，可以考虑通过使用 try/catch 绕过，将错误抛出

<!doctype html>

<html>

<body>

  <script src="https://www.test.com/index.js"></script>

  <script>

  window.addEventListener("error", error => { 

    console.log("捕获到异常：", error);

  }, true );

  

  try {

    // 调用https://www.test.com/index.js中定义的fn方法

    fn(); 

  } catch (e) {

    throw e;

  }

  </script>

</body>

</html>

复制代码

接口错误

接口监控的实现原理：针对浏览器内置的 XMLHttpRequest、fetch 对象，利用 AOP 切片编程重写该方法，实现对请求的接口拦截，从而获取接口报错的情况并上报

1）拦截XMLHttpRequest请求示例：

function xhrReplace() {

  if (!("XMLHttpRequest" in window)) {

    return;

  }

  const originalXhrProto = XMLHttpRequest.prototype;

  // 重写XMLHttpRequest 原型上的open方法

  replaceAop(originalXhrProto, "open", originalOpen => {

    return function(...args) {

      // 获取请求的信息

      this._xhr = {

        method: typeof args[0] === "string" ? args[0].toUpperCase() : args[0],

        url: args[1],

        startTime: new Date().getTime(),

        type: "xhr"

      };

      // 执行原始的open方法

      originalOpen.apply(this, args);

    };

  });

  // 重写XMLHttpRequest 原型上的send方法

  replaceAop(originalXhrProto, "send", originalSend => {

    return function(...args) {

      // 当请求结束时触发，无论请求成功还是失败都会触发

      this.addEventListener("loadend", () => {

        const { responseType, response, status } = this;

        const endTime = new Date().getTime();

        this._xhr.reqData = args[0];

        this._xhr.status = status;

        if (["", "json", "text"].indexOf(responseType) !== -1) {

          this._xhr.responseText =

            typeof response === "object" ? JSON.stringify(response) : response;

        }

        // 获取接口的请求时长

        this._xhr.elapsedTime = endTime - this._xhr.startTime;



        // 上报xhr接口数据

        reportData(this._xhr);

      });

      // 执行原始的send方法

      originalSend.apply(this, args);

    };

  });

}



/**

 * 重写指定的方法

 * @param { object } source 重写的对象

 * @param { string } name 重写的属性

 * @param { function } fn 拦截的函数

 */

function replaceAop(source, name, fn) {

  if (source === undefined) return;

  if (name in source) {

    var original = source[name];

    var wrapped = fn(original);

    if (typeof wrapped === "function") {

      source[name] = wrapped;

    }

  }

}

复制代码

2）拦截fetch请求示例：

function fetchReplace() {

  if (!("fetch" in window)) {

    return;

  }

  // 重写fetch方法

  replaceAop(window, "fetch", originalFetch => {

    return function(url, config) {

      const sTime = new Date().getTime();

      const method = (config && config.method) || "GET";

      let handlerData = {

        type: "fetch",

        method,

        reqData: config && config.body,

        url

      };



      return originalFetch.apply(window, [url, config]).then(

        res => {

          // res.clone克隆，防止被标记已消费

          const tempRes = res.clone();

          const eTime = new Date().getTime();

          handlerData = {

            ...handlerData,

            elapsedTime: eTime - sTime,

            status: tempRes.status

          };

          tempRes.text().then(data => {

            handlerData.responseText = data;

            // 上报fetch接口数据

            reportData(handlerData);

          });



          // 返回原始的结果，外部继续使用then接收

          return res;

        },

        err => {

          const eTime = new Date().getTime();

          handlerData = {

            ...handlerData,

            elapsedTime: eTime - sTime,

            status: 0

          };

          // 上报fetch接口数据

          reportData(handlerData);

          throw err;

        }

      );

    };

  });

}

复制代码

性能数据采集

谈到性能数据采集，就会提及加载过程模型图：

以Spa页面来说，页面的加载过程大致是这样的：

包括dns查询、建立tcp连接、发送http请求、返回html文档、html文档解析等阶段

最初，可以通过 window.performance.timing 来获取加载过程模型中各个阶段的耗时数据

// window.performance.timing 各字段说明

{

    navigationStart,  // 同一个浏览器上下文中，上一个文档结束时的时间戳。如果没有上一个文档，这个值会和 fetchStart 相同。

    unloadEventStart,  // 上一个文档 unload 事件触发时的时间戳。如果没有上一个文档，为 0。

    unloadEventEnd, // 上一个文档 unload 事件结束时的时间戳。如果没有上一个文档，为 0。

    redirectStart, // 表示第一个 http 重定向开始时的时间戳。如果没有重定向或者有一个非同源的重定向，为 0。

    redirectEnd, // 表示最后一个 http 重定向结束时的时间戳。如果没有重定向或者有一个非同源的重定向，为 0。

    fetchStart, // 表示浏览器准备好使用 http 请求来获取文档的时间戳。这个时间点会在检查任何缓存之前。

    domainLookupStart, // 域名查询开始的时间戳。如果使用了持久连接或者本地有缓存，这个值会和 fetchStart 相同。

    domainLookupEnd, // 域名查询结束的时间戳。如果使用了持久连接或者本地有缓存，这个值会和 fetchStart 相同。

    connectStart, // http 请求向服务器发送连接请求时的时间戳。如果使用了持久连接，这个值会和 fetchStart 相同。

    connectEnd, // 浏览器和服务器之前建立连接的时间戳，所有握手和认证过程全部结束。如果使用了持久连接，这个值会和 fetchStart 相同。

    secureConnectionStart, // 浏览器与服务器开始安全链接的握手时的时间戳。如果当前网页不要求安全连接，返回 0。

    requestStart, // 浏览器向服务器发起 http 请求(或者读取本地缓存)时的时间戳，即获取 html 文档。

    responseStart, // 浏览器从服务器接收到第一个字节时的时间戳。

    responseEnd, // 浏览器从服务器接受到最后一个字节时的时间戳。

    domLoading, // dom 结构开始解析的时间戳，document.readyState 的值为 loading。

    domInteractive, // dom 结构解析结束，开始加载内嵌资源的时间戳，document.readyState 的状态为 interactive。

    domContentLoadedEventStart, // DOMContentLoaded 事件触发时的时间戳，所有需要执行的脚本执行完毕。

    domContentLoadedEventEnd,  // DOMContentLoaded 事件结束时的时间戳

    domComplete, // dom 文档完成解析的时间戳， document.readyState 的值为 complete。

    loadEventStart, // load 事件触发的时间。

    loadEventEnd // load 时间结束时的时间。

}

复制代码

后来 window.performance.timing 被废弃，通过 PerformanceObserver 来获取。旧的 api，返回的是一个 UNIX 类型的绝对时间，和用户的系统时间相关，分析的时候需要再次计算。而新的 api，返回的是一个相对时间，可以直接用来分析

现在 chrome 开发团队提供了 web-vitals 库，方便来计算各性能数据

用户行为数据采集

用户行为包括：页面路由变化、鼠标点击、资源加载、接口调用、代码报错等行为

设计思路

1、通过Breadcrumb类来创建用户行为的对象，来存储和管理所有的用户行为

2、通过重写或添加相应的事件，完成用户行为数据的采集

用户行为代码示例：

// 创建用户行为类

class Breadcrumb {

  // maxBreadcrumbs控制上报用户行为的最大条数

  maxBreadcrumbs = 20;

  // stack 存储用户行为

  stack = [];

  constructor() {}

  // 添加用户行为栈

  push(data) {

    if (this.stack.length >= this.maxBreadcrumbs) {

      // 超出则删除第一条

      this.stack.shift();

    }

    this.stack.push(data);

    // 按照时间排序

    this.stack.sort((a, b) => a.time - b.time);

  }

}



let breadcrumb = new Breadcrumb();



// 添加一条页面跳转的行为，从home页面跳转到about页面

breadcrumb.push({

  type: "Route",

  form: '/home',

  to: '/about'

  url: "http://localhost:3000/index.html",

  time: "1668759320435"

});



// 添加一条用户点击行为

breadcrumb.push({

  type: "Click",

  dom: "<button id='btn'>按钮</button>",

  time: "1668759620485"

});



// 添加一条调用接口行为

breadcrumb.push({

  type: "Xhr",

  url: "http://10.105.10.12/monitor/open/pushData",

  time: "1668760485550"

});



// 上报用户行为

reportData({

  uuid: "a6481683-6d2e-4bd8-bba1-64819d8cce8c",

  stack: breadcrumb.getStack()

});

复制代码

页面跳转

通过监听路由的变化来判断页面跳转，路由有history、hash两种模式，history模式可以监听popstate事件，hash模式通过重写 pushState和 replaceState事件

vue项目中不能通过 hashchange 事件来监听路由变化，vue-router 底层调用的是 history.pushState 和 history.replaceState，不会触发 hashchange

vue-router源码：

function pushState (url, replace) {

  saveScrollPosition();

  var history = window.history;

  try {

    if (replace) {

      history.replaceState({ key: _key }, '', url);

    } else {

      _key = genKey();

      history.pushState({ key: _key }, '', url);

    }

  } catch (e) {

    window.location[replace ? 'replace' : 'assign'](url);

  }

}

...



// this.$router.push时触发

function pushHash (path) { 

  if (supportsPushState) {

    pushState(getUrl(path));

  } else {

    window.location.hash = path;

  }

}

复制代码

通过重写 pushState、replaceState 事件来监听路由变化

// lastHref 前一个页面的路由

let lastHref = document.location.href;

function historyReplace() {

  function historyReplaceFn(originalHistoryFn) {

    return function(...args) {

      const url = args.length > 2 ? args[2] : undefined;

      if (url) {

        const from = lastHref;

        const to = String(url);

        lastHref = to;

        // 上报路由变化

        reportData("routeChange", {

          from,

          to

        });

      }

      return originalHistoryFn.apply(this, args);

    };

  }

  // 重写pushState事件

  replaceAop(window.history, "pushState", historyReplaceFn);

  // 重写replaceState事件

  replaceAop(window.history, "replaceState", historyReplaceFn);

}



function replaceAop(source, name, fn) {

  if (source === undefined) return;

  if (name in source) {

    var original = source[name];

    var wrapped = fn(original);

    if (typeof wrapped === "function") {

      source[name] = wrapped;

    }

  }

}

复制代码

用户点击

给 document 对象添加click事件，并上报

function domReplace() {

  document.addEventListener("click",({ target }) => {

      const tagName = target.tagName.toLowerCase();

      if (tagName === "body") {

        return null;

      }

      let classNames = target.classList.value;

      classNames = classNames !== "" ? `` : "";

      const id = target.id ? ` id="${target.id}"` : "";

      const innerText = target.innerText;

      // 获取包含id、class、innerTextde字符串的标签

      let dom = `<${tagName}${id}${

        classNames !== "" ? classNames : ""

      }>${innerText}</${tagName}>`;

      // 上报

      reportData({

        type: 'Click',

        dom

      });

    },

    true

  );

}

复制代码

资源加载

获取页面中加载的资源信息，比如它们的 url 是什么、加载了多久、是否来自缓存等

可以通过 performance.getEntriesByType('resource') 获取，包括静态资源和动态资源，同时可以结合 initiatorType 字段来判断资源类型，对资源进行过滤

其中 PerformanceResourceTiming 来分析资源加载的详细数据

获取资源加载时长为 duration 字段，即 responseEnd 与 startTime 的差值

获取加载资源列表：

一个真实的页面中，资源加载大多数是逐步进行的，有些资源本身就做了延迟加载，有些是需要用户发生交互后才会去请求一些资源

如果我们只关注首页资源，可以在 window.onload 事件中去收集

如果要收集所有的资源，需要通过定时器反复地去收集，并且在一轮收集结束后，通过调用 clearResourceTimings 将 performance entries 里的信息清空，避免在下一轮收集时取到重复的资源

个性化指标

long task

执行时间超过50ms的任务，被称为 long task 长任务

获取页面的长任务列表：

const entryHandler = list => {

  for (const long of list.getEntries()) {

    // 获取长任务详情

    console.log(long);

  }

};



let observer = new PerformanceObserver(entryHandler);

observer.observe({ entryTypes: ["longtask"] });

复制代码

memory页面内存

performance.memory 可以显示此刻内存占用情况，它是一个动态值，其中：

• jsHeapSizeLimit 该属性代表的含义是：内存大小的限制。

• totalJSHeapSize 表示总内存的大小。

• usedJSHeapSize 表示可使用的内存的大小。

通常，usedJSHeapSize 不能大于 totalJSHeapSize，如果大于，有可能出现了内存泄漏

// load事件中获取此时页面的内存大小

window.addEventListener("load", () => {

  console.log("memory", performance.memory);

});

复制代码

首屏加载时间

首屏加载时间和首页加载时间不一样，首屏指的是屏幕内的dom渲染完成的时间

比如首页很长需要好几屏展示，这种情况下屏幕以外的元素不考虑在内

计算首屏加载时间流程

1）利用MutationObserver监听document对象，每当dom变化时触发该事件

2）判断监听的dom是否在首屏内，如果在首屏内，将该dom放到指定的数组中，记录下当前dom变化的时间点

3）在MutationObserver的callback函数中，通过防抖函数，监听document.readyState状态的变化

4）当document.readyState === 'complete'，停止定时器和 取消对document的监听

5）遍历存放dom的数组，找出最后变化节点的时间，用该时间点减去performance.timing.navigationStart 得出首屏的加载时间

监控SDK

监控SDK的作用：数据采集与上报

整体架构

整体架构使用 发布-订阅 设计模式，这样设计的好处是便于后续扩展与维护，如果想添加新的hook或事件，在该回调中添加对应的函数即可

SDK 入口

src/index.js

对外导出init事件，配置了vue、react项目的不同引入方式

vue项目在Vue.config.errorHandler中上报错误，react项目在ErrorBoundary中上报错误

事件发布与订阅

通过添加监听事件来捕获错误，利用 AOP 切片编程，重写接口请求、路由监听等功能，从而获取对应的数据

src/load.js

用户行为收集

core/breadcrumb.js

创建用户行为类，stack用来存储用户行为，当长度超过限制时，最早的一条数据会被覆盖掉，在上报错误时，对应的用户行为会添加到该错误信息中

数据上报方式

支持图片打点上报和fetch请求上报两种方式

图片打点上报的优势：
1）支持跨域，一般而言，上报域名都不是当前域名，上报的接口请求会构成跨域
2）体积小且不需要插入dom中
3）不需要等待服务器返回数据

图片打点缺点是：url受浏览器长度限制

core/transportData.js

数据上报时机

优先使用 requestIdleCallback，利用浏览器空闲时间上报，其次使用微任务上报

监控SDK，参考了 sentry、 monitor、 mitojs

项目后台demo

主要用来演示错误还原功能，方式包括：定位源码、播放录屏、记录用户行为

后台demo功能介绍：

1、使用 express 开启静态服务器，模拟线上环境，用于实现定位源码的功能

2、server.js 中实现了 reportData（错误上报）、getmap（获取 map 文件）、getRecordScreenId（获取录屏信息）、 getErrorList（获取错误列表）的接口

3、用户可点击 'js 报错'、'异步报错'、'promise 错误' 按钮，上报对应的代码错误，后台实现错误还原功能

4、点击 'xhr 请求报错'、'fetch 请求报错' 按钮，上报接口报错信息

5、点击 '加载资源报错' 按钮，上报对应的资源报错信息

通过这些异步的捕获，了解监控平台的整体流程

安装与使用

npm官网搜索 web-see

仓库地址

监控SDK： web-see

监控后台： web-see-demo

总结

目前市面上的前端监控方案可谓是百花齐放，但底层原理都是相通的。从基础的理论知识到实现一个可用的监控平台，收获还是挺多的

有兴趣的小伙伴可以结合git仓库的源码玩一玩，再结合本文一起阅读，帮助加深理解

作者：海阔_天空
来源：juejin.cn/post/7172072612430872584

“一套代码，多端运行”是很多开发团队的梦想，基于 uni-app 跨平台框架支持 iOS、Android、Web以及各种小程序并支持平台间互通，快速实现搭建多端即时通讯功能，降低开发难度，提升开发效率。
12月13日 晚 19:00，环信线上公开课《使用 uniapp 30分钟快速开发即时通讯应用》为题，讲解多端 uni-app 基础框架知识及搭建即时通讯功能项目实战技巧，掌握开发步骤及思路，大大增强代码复用率，提升效率。来直播间 get 环信 IM 的正确打开方式！

一、时间地点

活动时间：12 月 13 日（星期二）19:00-20:00
活动地点：线上直播

二、演讲大纲

• uni-app 跨平台框架介绍
• 使用uni-app 生成 Android&iOS 应用
• 如何搭建自己的即时通讯应用
• IM实战篇-uni-app 经典问题答疑

三、活动报名

报名链接：https://mudu.tv/live/watch/meddae1l

“真正的教育，不传授任何的知识和技能 ”

——耶鲁大学校长 理查德莱文

1.一次飞速的转岗

2017年，因为我接手一个Go语言新项目，作为研发的leader，需要建设临时的团队完成这件事。拉到的其中一个人是公司对口的外包资源的总接口人，这位接口人其实原本管管外包，做个管理者即可，但是他跟我说特别想要做技术，就跟我一起干点事情。同时因为职务之便，也可以帮我甄别最适合的外包研发补充到队伍中。

作为leader，我则过着深圳北京2地周期往返的生活，这为后续我没办法很好的管理人的部分，埋下了伏笔。

这位外包leader很快为我物色了一位Java研发，他挺看好他的潜力，然而不到一周，这位研发就离开了队伍，理由是希望继续做深java这个语言，不想轻易换语言，赶上我不在现场，事出突然，我甚至没见过一面就这么离开了。

不可否认一门具体的编程语言的技术深度挺重要的，但是如果我在现场，或许有机会聊聊关于一些我曾经在Java，Ruby，python，nodejs间反复横跳，哪要救火就补哪的经历对我的帮助有哪些，即便留不住他，但或许我的观点对他未来的路有些帮助。

2.对领导者的失望

时间回到2015年，在另一家公司就职的我，听了高管在与研发的演讲中大概这么说：“大家不要看重编程语言啊，那只是一种具体的工具”。在台下的我深以为然。

没过多久，我短暂带过的一个研发离职了，临走时跟我说：你看这个高管说的话就是不重视技术，我还是走吧。听他这么说完，我直接愣了，虽然想要反驳，但是心想我年纪跟他一般，实在不配做教育他的那个人，毕竟不是他领导还是算了吧，毕竟离职已成定局。

现在的我不会那么腼腆，肯定会给他讲讲我背后的逻辑和观点。

那么我的观点是什么呢？我为何更认可高管。

3.第一次认知冲击

时间再回到2012年，工作了2年多的我入职这家公司。领导在面试我的最后，问的问题是我难以想象的题目：UTF8描述了什么，他的来历是怎样的，为何会有UTF8编码？

我直接放弃作答。领导说了至今让我受益终身的话，大概是这样的：了解技术本身的机制肯定是重要的，了解他背后产生的逻辑则更重要。面试就结束了，让我等消息

其实我现在再想想当初，领导或许只是想通过面试给我上一堂课吧（因为这问题问的“前不着村，后不着店”），但是却能一直不断影响我，我在进入任何一个技术领域后都将这种思维作为指导。

• 进入云计算领域学完技术后，就把背后的发展历史搞清楚。

• 从Java转Ruby就看看Ruby作者的一些思考，而不只是ruby语言的高级特性相关知识

等等，用这样的方式学习，我不会局限于工作安排所需我掌握的这些知识和技能，而是主动自学背后逻辑和发展演进历史。

4.高维度思考

那么领导想要我悟什么呢？相比知识和技能，更重要的是掌握产生这些东西的背后的思维逻辑是什么。不断积累这些思维，我才能逐渐的独立思考，创新。

• 看看第一个离职的研发：研发在意的Java是一种知识和工具，而Java的作者除此之外还掌握了思维，我希望研发掌握的应该包含2者

• 看看第二个离职的研发：高管期望大家不只是执着于工具，而是更高阶的思维，以创造新的商业模式，服务等等。而寻找技术和场景之间缺少的东西，跨越技术到商业成功的鸿沟，正是技术人员则无旁贷的事情，不积累是不行的。

去了解你所涉足的技术的前世今生，甚至细节到一个小小的功能特性，那么或许看透事物本质的你可以看到未来

来源：mp.weixin.qq.com/s/YBovCZ8OdELi17w_HFnvqg

前言

在做移动端的需求时，我们经常会开发一些列表页，这些列表页大多数有着相似的功能：分页获取列表、上拉加载、下拉刷新···

在 Vue 出来 compositionAPI之前，我们想要复用这样的逻辑还是比较麻烦的，好在现在 Vue2.7+都支持 compositionAPI语法了，这篇文章我将 手把手带你用 compositionAPI封装一个名为 useList的 hooks来实现列表页的逻辑复用。

基础版

需求分析

一个列表，最基本的需求应该包括: 发起请求，获取到列表的数组，然后将该数组渲染成相应的 DOM 节点。要实现这个功能，我们需要以下变量：

• list : 数组变量，用来存放后端返回的数据，并在 template模板中使用 v-for来遍历渲染成我们想要的样子。

• listReq: 发起 http 请求的函数，一般是 axios的实例

代码实现

有了上面的分析，我们可以很轻松地在 setup中写出如下代码:

import { ref } from 'vue'
import axios from 'axios' // 简单示例，就不给出封装axios的代码了

const list = ref([])

const listReq = () => {
  axios.get('/url/to/getList').then((res) => {
    list.value = res.list
  })
}

listReq()

这样，我们就完成了一个基本的列表需求的逻辑部分。大部分的列表需求都是类似的逻辑，既然如此，Don't Repeat Yourself!（不要重复写你的代码！），我们来把它封装成通用的方法：

• 首先，既然是通用的，会在多个地方使用，那么数据肯定不能乱了，我们要在每次使用 useList的时候都拿到独属于自己的那一份数据。是不是感觉很熟悉？对的，就是以前的 data为什么是一个函数那个问题！所以我们的 useList是需要导出一个函数，我们从这个函数中获取数据与方法。让这个函数导出一个对象/数组，这样调用的时候 解构就可以拿到我们需要的变量和方法了

// useList.js 中

const useList = () => {
  // 待补充的函数体
  return {}
}

export default useList

• 然后，不同的地方调用的接口肯定不一样，我们想一次封装，不再维护，那么咱们干脆在使用的时候，把调用接口的方法传进来就可以了

// useList.js 中
import { ref } from 'vue'
const useList = (listReq) => {
  if (!listReq) {
    return new Error('请传入接口调用方法!')
  }
  const list = ref([])
  const getList = () => {
    listReq().then((res) => (list.value = res.list))
  }

  return {
    list,
    getList,
  }
}

export default useList

这样，我们就完成了一个简单的列表 hooks，使用的时候直接：

// setup中
import useList from '@/utils'
const { list, getList } = useList(axios.get('url/to/get/list'))
getList()

等等！列表好像不涉及到 DOM操作，那咱们再偷点懒，直接在 useList内部就调用了吧！

// useList.js中
import { ref } from 'vue'
const useList = (listReq) => {
  if (!listReq) {
    return new Error('请传入接口调用方法!')
  }
  const list = ref([])
  const getList = () => {
    listReq().then((res) => (list.value = res.list))
  }
  getList() // 直接初始化，省去在外面初始化的步骤
  return {
    list,
    getList,
  }
}

export default useList

这时有老哥要说了，那我要是一个页面有多个列表怎么办？嘿嘿，别忘了，解构的时候是可以重命名的

// setup中

const { list: goodsList, getList: getGoodsList } = useList(
  axios.get('/url/get/goods')
)
const { list: recommendList, getList: getRecommendList } = useList(
  axios.get('/url/get/goods')
)

这样，我们就同时在一个页面里面，获取到了商品列表以及推荐列表所需要的变量与方法啦

带分页版

如果数据量比较大的话，所有的数据全部拿出来渲染显然不合理，所以我们一般要进行分页处理，我们来分析一下这个需求：

需求分析

• 要分页，那咱们肯定要告诉后端当前请求的是第几页、每页多少条，可能有些地方还需要展示总共有多少条，为了方便管理，咱们把这些分页数据统一放到 pageInfo对象中

• 分页了，那咱们肯定还有加载下一页的需求，需要一个 loadmore函数

• 分页了，那咱们肯定还会有刷新的需求，需要一个 initList函数

代码实现

需求分析好了，代码实现起来就简单了，废话少说，上代码！

// useList.js中
import { ref } from 'vue'
const useList = (listReq) => {
  if (!listReq) {
    return new Error('请传入接口调用方法!')
  }
  const list = ref([])

  // 新增pageInfo对象保存分页数据
  const pageInfo = ref({
    pageNum: 1,
    pageSize: 10,
    total: 0,
  })
  const getList = () => {
    // 分页数据作为参数传递给接口调用函数即可
    // 将请求这个Promise返回出去，以便链式then
    return listReq(pageInfo.value).then((res) => {
      list.value = res.list
      // 更新总数量
      pageInfo.value.total = res.total
      // 返回出去，交给then默认的Promise，以便后续使用
      return res
    })
  }

  // 新增加载下一页的函数
  const loadmore = () => {
    // 下一页，那咱们把当前页自增一下就行了
    pageInfo.value.pageNum += 1
    // 如果已经是最后一页了（本次获取到空数组）
    getList().then((res) => {
      if (!res.list.length) {
        uni.showToast({
          title: '没有更多了',
          icon: 'none',
        })
      }
    })
  }

  // 新增初始化
  const initList = () => {
    // 初始化一般是要把所有的查询条件都初始化，这里只有分页，咱就回到第一页就行
    pageInfo.value.pageNum = 1
    getList()
  }

  getList()
  return {
    list,
    getList,
    loadmore,
    initList,
  }
}

export default useList

完工！跑起来试试，Perfec......等等，好像不太对...

加载更多，应该是把两次请求的数据合并到一起渲染出来才对，这怎么直接替换掉了？

回头看看代码，原来是咱们漏了拼接的逻辑，补上，补上

// useList.js中

// ...省略其余代码
const getList = () => {
  // 分页数据作为参数传递给接口调用函数即可
  return listReq(pageInfo.value).then((res) => {
    // 当前页不为1则是加载更多，需要拼接数据
    if (pageInfo.value.pageNum === 1) {
      list.value = res.list
    } else {
      list.value = [...list.value, ...res.list]
    }
    pageInfo.value.total = res.total
    return res
  })
}
// ...省略其余代码

带 hooks 版

上面的分页版，我们给出了 加载更多和 初始化列表功能，但是还是要手动调用。仔细想想，咱们刷新列表，一般都是在页面顶部下拉的时候刷新的；而加载更多，一般都是在滚动到底部的时候加载的。既然都是一样的触发时机，那咱们继续封装吧！

需求分析

• uni-app 中提供了 onPullDownRefresh和 onReachBottom钩子，在其中处理相关逻辑即可

• 有些列表可能不是在页面中，而是在 scroll-view中，还是需要手动处理，因此上面的函数咱们依然需要导出

代码实现

钩子函数(hooks)接受一个回调函数作为参数，咱们直接把上面的函数传入即可

需要注意的是，uni-app 中，下拉刷新的动画需要手动关闭，咱们还需要改造一下 listReq函数

// useList中
import { onPullDownRefresh, onReachBottom } from '@dcloudio/uni-app'

// ...省略其余代码
onPullDownRefresh(initList)
onReachBottom(loadmore)

const getList = () => {
  // 分页数据作为参数传递给接口调用函数即可
  return listReq(pageInfo.value)
    .then((res) => {
      // ...省略其余代码
    })
    .finally((info) => {
      // 不管成功还是失败，关闭下拉刷新的动画
      uni.stopPullDownRefresh()
      // 在最后再把前面返回的消息return出去，以便后续处理
      return info
    })
}

// ...省略其余代码

带参数

其实在实际开发中，我们在发起请求时可能还需要其他的参数，上面我们都是固定的只有分页的参数，可以稍加改造

需求分析

可能大家第一反应是多一个参数，或者用 展开运算符 (...)再定义一个形参就行了。这么做肯定是没问题的，不过在这里的话不够优雅~

我们这里是要增加一个传给后端的参数，一般都是一起以 JSON 对象的形式传过去，既然如此，那咱们把所有的参数都用一个对象接受，发起请求的时候和分页参数对象合并为一个对象，代码的可读性会更高，使用者在使用时也可以自由地定义 key-value 键值对

代码实现

// useList中

const useList = (listReq, data) => {
  // ...省略其余代码

  // 判断第二个参数是否是对象，以免后面使用展开运算符时报错
  if (data && Object.prototype.toString.call(data) !== '[object Object]') {
    return new Error('额外参数请使用对象传入')
  }
  const getList = () => {
    const params = {
      ...pageInfo.value,
      ...data,
    }
    return listReq(params).then((res) => {
      // ...省略其余代码
    })
  }
  // ...省略其余代码
}

// ...省略其余代码

带默认配置版

有些时候我们的列表是在页面中间，不需要触底加载更多；有时候我们可能需要在不同的地方调用相同的接口，但是需要获取的数据量不一样....

为了适应各种各样的需求，我们可以稍加改造，添加一个带有默认值的配置对象，

// useList.js中

const defaultConfig = {
  pageSize: 10, // 每页数量，其实也可以在data里面覆盖
  needLoadMore: true, // 是否需要下拉加载
  data: {}, // 这个就是给接口用的额外参数了
  // 还可以根据自己项目需求添加其他配置
}

// 添加一个有默认值的参数，依然满足大部分列表页传入接口即可使用的需求
const useList = (listReq, config = defaultConfig) => {
  // 解构的时候赋上初始值，这样即使配置参数只传了一个参数，也不影响其他的配置
  const {
    pageSize = defaultConfig.pageSize,
    needLoadMore = defaultConfig.needLoadMore,
    data = defaultConfig.data,
  } = config

  // 应用相应的配置
  if (needLoadMore) {
    onReachBottom(loadmore)
  }

  const pageInfo = ref({
    pageNum: 1,
    pageSize,
    total: 0,
  })

  // ...省略其余代码
}

// ...省略其余代码

这样一来,咱们就实现了一个满足大部分移动端列表页的逻辑复用 hooks

web 端的几乎只有加载更多(翻页)的时候逻辑不太一样,不需要拼接数据，在封装的时候可以把分页器的处理逻辑一起封装进来

总结

在这篇文章中，咱们从需求分析开始，到代码关键逻辑分析，再到实现后的 bug 修复，再到功能扩展，基本完整地复现了编码的思考过程，希望能给大家带来一些收获~

同时，欢迎大家在评论区和谐讨论~

作者：八宝粥要加纯牛奶
来源：juejin.cn/post/7165467345648320520

背景

在android系统中，进程之间是相互隔离的，两个进程之间是没办法直接跨进程访问其他进程的空间信息的。那么在android平台中要对某个app进程进行内存操作，并获取目标进程的地址空间内信息或者修改目标进程的地址空间内的私有信息，就需要涉及到注入技术。

通过注入技术可以将指定so模块或代码注入到目标进程中，只要注入成功后，就可以进行访问和篡改目标进程空间内的信息，包括数据和代码。

Android的注入技术的应用场景主要是进行一些非法的操作和实现如游戏辅助功能软件、恶意功能软件。

zygote注入

zygote是一个在android系统中是非常重要的一个进程，因为在android中绝大部分的应用程序进程都是由它孵化(fork)出来的，fork是一种进程复用技术。也就是说在android系统中普通应用APP进程的父亲都是zygote进程。

zygote注入目的就是将指定的so模块注入到指定的APP进程中，这个注入过程不是直接向指定进程进程注入so模块，而是先将so模块注入到zygote进程。

在so模块注入到zygote进程后，在点击操作android系统中启动的应用程序APP进程，启动的App进程中包括需要注入到指定进程的so模块，太都是由zygote进程fork生成，因而在新创建的进程中都会包含已注入zygote进程的so模块。

这种的注入是通过间接注入方式完成的，也是一种相对安全的注入so模块方式。目前xposed框架就是基于zygote注入。

1.通过注入器将要注入的so模块注入到zygote进程；

2.手动启动要注入so模块的APP进程，由于APP进程是通过zygote进程fork出来的，所以启动的APP进程都包含zygote进程中所有模块；

3.注入的so模块劫持被注入APP进程的控制权，执行注入so模块的代码；

4.注入so模块归还APP进程的控制权，被注入进程正常运行。

(注入器主要是基于ptrace注入shellcode方式的进程注入)

通过ptrace进行附加到zygote进程。

调用mmap申请目标进程空间，用于保存注入的shellcode汇编代码。

执行注入shellcode代码（shellcode代码是注入目标进程中并执行的汇编代码）。

调用munmap函数释放申请的内存。

通过ptrace进行剥离zygote进程。

下面是关键的zygote代码注入实现

ptrace注入

ptrace注入实现上分类：

通过利用ptrace函数将shellcode注入远程进程的内存空间中，然后通过执行shellcode加载远程进程so模块。

通过直接远程调用dlopen、dlsym、dlclose等函数加载被注入so模块，并执行指定的代码。

ptrace直接调用函数注入流程：

通过利用ptrace进行附加到要注入的进程；

保存寄存环境；

远程调用mmap函数分配内存空间；

向远程进程内存空间写入加载模块名称和函数名称；

远程调用dlopen函数打开注入模块；

远程调用dlsym函数或需要调用的函数地址；

远程调用被注入模块的函数；

恢复寄存器环境；

利用ptrace从远程进程剥离。

关键的ptrace直接调用系统函数实现

shellcode注入就是通过将dlopen/dlsym库函数的操作放在shellcode代码中，注入函数只是通过对远程APP进程进行内存空间申请，接着修改shellcode 代码中有关dlopen、dlsymdlclose等函数使用到的参数信息，然后将shellcode代码注入到远程APP进程申请的空间中，最后通过修改PC寄存器的方式来执行shellcode 的代码。

关键 的ptrace注入shellcode代码实现

修改ELF文件注入

在android平台Native层的可执行文件SO文件，它是属于ELF文件格式，通过修改ELF文件格式可以实现对so文件的注入。

通过修改ELF二进制的可执行文件，并在ELF文件中添加自己的代码，使得可执行文件在运行时会先执行自定义添加的代码，最后在执行ELF文件的原始逻辑。

修改二进制ELF文件需要关注两个重要的结构体：

其中ELF Header 它是ELF文件中唯一的，一个固定位置的文件结构，它保存着Program Header Table和Section Header Table的位置和大小信息。

修改ELF文件实现so文件注入实现原理为：通过修改 Program Header Table中的依赖库信息，添加自定义的so文件信息，APP进程运行加载被该修改过的ELF文件，它也同时会加载并运行自定义的so文件。

Program Header Table表项结构

程序头表项中的类型选项有如下

当程序头表项结构中的类型为PT_DYNAMIC也就是动态链接信息的时候，它是由程序头表项的偏移(p_offset)和p_filesz(大小)指定的数据块指向.dynamic段。这个.dynamic段包含程序链接和加载时的依赖库信息。

关键ELF文件修改代码实现

作者：小道安全
来源：juejin.cn/post/7077940770941960223

什么是JWT

JWT是全称是JSON WEB TOKEN，是一个开放标准，用于将各方数据信息作为JSON格式进行对象传递，可以对数据进行可选的数字加密，可使用RSA或ECDSA进行公钥/私钥签名。

使用场景

JWT最常见的使用场景就是缓存当前用户登录信息，当用户登录成功之后，拿到JWT，之后用户的每一个请求在请求头携带上Author ization字段来辨别区分请求的用户信息。且不需要额外的资源开销。

相比传统session的区别

比起传统的session认证方案，为了让服务器能识别是哪一个用户发过来的请求，都需要在服务器上保存一份用户的登录信息（通常保存在内存中），再与浏览器的cookie打交道。

• 安全方面 由于是使用cookie来识别用户信息的，如果cookie被拦截，用户会很容易受到跨站请求伪造的攻击。

• 负载均衡 当服务器A保存了用户A的数据之后，在下一次用户A服务器A时由于服务器A访问量较大，被转发到服务器B，此时服务器B没有用户A的数据，会导致session失效。

• 内存开销 随着时间推移，用户的增长，服务器需要保存的用户登录信息也就越来越多的，会导致服务器开销越来越大。

为什么说JWT不需要额外的开销

JWT为三个部分组成，分别是Header，Payload，Signature，使用.符号分隔。

// 像这样子
xxxxx.yyyyy.zzzzz

标头 header

标头是一个JSON对象，由两个部分组成，分别是令牌是类型（JWT）和签名算法（SHA256，RSA）

{
  "alg": "HS256",
  "typ": "JWT"
}

负荷 payload

负荷部分也是一个JSON对象，用于存放需要传递的数据，例如用户的信息

{
  "username": "_island",
  "age": 18
}

此外，JWT规定了7个可选官方字段（建议）

签章 signature

这一部分，是由前面两个部分的签名，防止数据被篡改。 在服务器中指定一个密钥，使用标头中指定的签名算法，按照下面的公式生成这签名数据

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

在拿到签名数据之后，把这三个部分的数据拼接起来，每个部分中间使用.来分隔。这样子我们就生成出一个了JWT数据了，接下来返回给客户端储存起来。而且客户端在发起请求时，携带这个JWT在请求头中的Authorization字段，服务器通过解密的方式即可识别出对应的用户信息。

JWT优势和弊端

优势

• 数据体积小，传输速度快

• 无需额外资源开销来存放数据

• 支持跨域验证使用

弊端

• 生成出来的Token无法撤销，即使重置账号密码之前的Token也是可以使用的（需等待JWT过期）

• 无法确认用户已经签发了多少个JWT

• 不支持refreshToken

关于refreshToken

refreshToken是Oauth2认证中的一个概念，和accessToken一起生成出来的。

当用户携带的这个accessToken过期时，用户就需要在重新获取新的accessToken，而refreshToken就用来重新获取新的accessToken的凭证。

为什么要有refreshToken

当你第一次接触的时候，你有没有一个这样子的疑惑，为什么需要refreshToken这个东西，而不是服务器端给一个期限较长甚至永久性的accessToken呢？

抱着这个疑惑我在网上搜寻了一番，

其实这个accessToken的使用期限有点像我们生活中的入住酒店，当我们在入住酒店时，会出示我.们的身份证明来登记获取房卡，此时房卡相当于accessToken，可以访问对应的房间，当你的房卡过期之后就无法再开启房门了，此时就需要再到前台更新一下房卡，才能正常进入，这个过程也就相当于refreshToken。

accessToken使用率相比refreshToken频繁很多，如果按上面所说如果accessToken给定一个较长的有效时间，就会出现不可控的权限泄露风险。

使用refreshToken可以提高安全性

• 用户在访问网站时，accessToken被盗取了，此时攻击者就可以拿这个accessToke访问权限以内的功能了。如果accessToken设置一个短暂的有效期2小时，攻击者能使用被盗取的accessToken的时间最多也就2个小时，除非再通过refreshToken刷新accessToken才能正常访问。

• 设置accessToken有效期是永久的，用户在更改密码之后，之前的accessToken也是有效的

总体来说有了refreshToken可以降低accessToken被盗的风险

关于JWT无感刷新TOKEN方案（结合axios）

业务需求

在用户登录应用后，服务器会返回一组数据，其中就包含了accessToken和refreshToken，每个accessToken都有一个固定的有效期，如果携带一个过期的token向服务器请求时，服务器会返回401的状态码来告诉用户此token过期了，此时就需要用到登录时返回的refreshToken调用刷新Token的接口（Refresh）来更新下新的token再发送请求即可。

话不多说，先上代码

工具

axios作为最热门的http请求库之一，我们本篇文章就借助它的错误响应拦截器来实现token无感刷新功能。

具体实现

本次基于axios-bz代码片段封装响应拦截器 可直接配置到你的项目中使用 ✈️ ✈️

利用interceptors.response，在业务代码获取到接口数据之前进行状态码401判断当前携带的accessToken是否失效。 下面是关于interceptors.response中异常阶段处理内容。当响应码为401时，响应拦截器会走中第二个回调函数onRejected

下面代码分段可能会让大家阅读起来不是很顺畅，我直接把整份代码贴在下面，且每一段代码之间都添加了对应的注释

// 最大重发次数
const MAX_ERROR_COUNT = 5;
// 当前重发次数
let currentCount = 0;
// 缓存请求队列
const queue: ((t: string) => any)[] = [];
// 当前是否刷新状态
let isRefresh = false;

export default async (error: AxiosError<ResponseDataType>) => {
  const statusCode = error.response?.status;
  const clearAuth = () => {
    console.log('身份过期，请重新登录');
    window.location.replace('/login');
    // 清空数据
    sessionStorage.clear();
    return Promise.reject(error);
  };
  // 为了节省多余的代码，这里仅展示处理状态码为401的情况
  if (statusCode === 401) {
    // accessToken失效
    // 判断本地是否有缓存有refreshToken
    const refreshToken = sessionStorage.get('refresh') ?? null;
    if (!refreshToken) {
      clearAuth();
    }
    // 提取请求的配置
    const { config } = error;
    // 判断是否refresh失败且状态码401，再次进入错误拦截器
    if (config.url?.includes('refresh')) {
    clearAuth();
    }
    // 判断当前是否为刷新状态中（防止多个请求导致多次调refresh接口）
    if (isRefresh) {
      // 设置当前状态为刷新中
      isRefresh = true;
      // 如果重发次数超过，直接退出登录
      if (currentCount > MAX_ERROR_COUNT) {
        clearAuth();
      }
      // 增加重试次数
      currentCount += 1;

      try {
        const {
          data: { access },
        } = await UserAuthApi.refreshToken(refreshToken);
        // 请求成功，缓存新的accessToken
        sessionStorage.set('token', access);
        // 重置重发次数
        currentCount = 0;
        // 遍历队列，重新发起请求
        queue.forEach((cb) => cb(access));
        // 返回请求数据
        return ApiInstance.request(error.config);
      } catch {
        // 刷新token失败，直接退出登录
        console.log('请重新登录');
        sessionStorage.clear();
        window.location.replace('/login');
        return Promise.reject(error);
      } finally {
        // 重置状态
        isRefresh = false;
      }
    } else {
      // 当前正在尝试刷新token，先返回一个promise阻塞请求并推进请求列表中
      return new Promise((resolve) => {
        // 缓存网络请求，等token刷新后直接执行
        queue.push((newToken: string) => {
          Reflect.set(config.headers!, 'authorization', newToken);
          // @ts-ignore
          resolve(ApiInstance.request<ResponseDataType<any>>(config));
        });
      });
    }
  }

  return Promise.reject(error);
};

抽离代码

把上面关于调用刷新token的代码抽离成一个refreshToken函数，单独处理这一情况，这样子做有利于提高代码的可读性和维护性，且让看上去代码不是很臃肿

// refreshToken.ts
export default async function refreshToken(error: AxiosError<ResponseDataType>) {
    /* 
    将上面 if (statusCode === 401) 中的代码贴进来即可，这里就不重复啦
    代码仓库地址: https://github.com/QC2168/axios-bz/blob/main/Interceptors/hooks/refreshToken.ts
    */
}

经过上面的逻辑抽离，现在看下拦截器中的代码就很简洁了，后续如果要调整相关逻辑直接在refreshToken.ts文件中调整即可。

import refreshToken from './refreshToken.ts'
export default async (error: AxiosError<ResponseDataType>) => {
  const statusCode = error.response?.status;

  // 为了节省多余的代码，这里仅展示处理状态码为401的情况
  if (statusCode === 401) {
    refreshToken()
  }

  return Promise.reject(error);
};

作者：_island

来源：juejin.cn/post/7170278285274775560

开发一个APP多少钱？

开发一个APP要多少钱？相信不光是客户有这个疑问，就算是一般的程序员也想知道答案。很多程序员想在业余时间接外包挣外快，但是他们常常不知道该如何定价，如何有说服力的要价。这是因为没有一套好的计算APP开发成本的方法。由于国内没有公开的数据，而且大家对于报价都喜欢藏着掖着，这里我们就整理了国外一些软件外包平台的资料，帮助大家对Flutter APP开发成本有一个直观而立体的认识。（注意，这里是以美元单位计算，请不要直接转换为RMB，应当根据消费力水平来衡量）

跨平台项目正在慢慢取代原生应用程序的开发。跨平台的方法更省时，也更节省成本。最近，原生应用程序的主要优势是其性能。但随着新的跨平台框架给开发者带来更多的力量，这不再是它们的强项。

Flutter就是其中之一。这个框架在2017年发布，并成为跨平台社区中最受推崇的框架之一。Statista称，Flutter是2021年十大最受欢迎的框架之一，并在最受欢迎的跨平台框架中排名第一。对于这样一项新技术来说，这是一个相当不错的结果。它的高需求使我们可以定义软件建设的大致成本。

Flutter应用程序的开发成本根据项目定义的工作范围而变化：

• 简单的 Flutter 应用程序：$40,000 - $60,000

• 中等复杂度应用程序：$60,000 – $120,000

• 高度复杂的 Flutter 应用程序：$120,000 – $200,000+

有一些决定性的因素来回答Flutter应用开发的成本是多少。

在这篇文章中，我们将讨论不同行业的Flutter应用开发成本，找出如何计算精确的价格，以及如何利用这个框架削减项目开支。

Flutter应用的平均开发成本

应用程序的开发成本是一个复杂的数字，取决于各种因素 ——功能的复杂性，开发人员的位置，支持的平台，等等。如果不进行研究和了解所有的要求，就不可能得出项目的价格。

不过，你还是可以看看按项目复杂程度分类的估算：

• 一个具有简单功能的软件，如带有锻炼建议、膳食计划、个人档案和体重日记的健身应用，其成本从26,000美元到34,800美元

• 一个中等复杂度的软件，如带有语音通话、消息通信，Flutter应用的开发成本将从34,950美元到48,850美元不等

• 开发一个像 Instagram 这样具有复杂功能的应用程序的成本将从41,500美元到55,000美元不等

影响价格的因素

为了明确 Flutter 应用开发成本的所有组成部分，我们将挑选出每个因素并分析其对价格的影响。

原生应用开发 vs. Flutter

当我们估算一个原生项目时，我们要考虑到两个平台的开发时间。Flutter是一个跨平台的框架，可以让开发者为Android和iOS编写同一个代码库。这一特点使开发时间减半，使Flutter应用程序的开发成本比原生的低。

Flutter 的非凡之处在于它优化了代码并且没有性能问题。Flutter在所有设备上都能提供稳定的接近 60 FPS，如果设备支持，甚至可以提供120 FPS。

然而，Flutter也有一些缺点。如果你的项目需要Wear OS版本或智能电视应用，就会面临一些麻烦。从技术上讲，你可以为这些平台建立一个Flutter应用程序。但是，Flutter的很多开发功能并不被Wear OS所支持。在安卓电视的情况下，必须从头开始建立控制逻辑。原因是安卓电视只读取遥控器的输入，而Flutter则适用于触摸屏和鼠标移动。这一事实会减慢开发进程，给开发者带来麻烦，并增加Flutter应用的开发成本。

这就是为什么如果你的目标是特定的平台，最好去做原生开发。

功能的复杂性

功能是应用程序的主要组成部分。也是影响Flutter应用程序开发成本的主要因素。简单的功能（如登录）需要最少的工作量，而视频通话的集成可能需要长达 2-3 周的开发时间。

让我们想象一下，要建立一个类似 Instagram 的应用程序。照片上传功能需要大约13小时的开发时间。以每小时50美元的平均费率计算，这将花费650美元。然而，要建立用于照片编辑的过滤器，开发团队将不得不花费30至120小时，这取决于它们的类型和数量。一家软件开发公司将为这个功能收取1500-6000美元。

Flutter应用开发中最昂贵的功能

开发商的位置和所选择的雇用方式

影响总成本的另一个方面是你在雇用项目专家时选择的就业方式：

自由职业者

由于有机会减少开发费用，这种选择被广泛采用。然而，就Flutter应用的开发而言，无法保证自由职业者的能力和质量。此外，在支持、维护和更新服务方面，这样的专家也没有优势，因为他们可能会转到另一个项目，从而无法建立长期的合作伙伴关系。

内部团队

在这种情况下，你要负责项目开发管理，以及搜索和检查潜在雇主的经验和知识。此外，内部团队的聚集需要一排额外的费用，如购买硬件，租用办公室，病假，工资，等等。因此，这些条件大大增加了总成本。

外包公司

项目外包指的是已经组建的专家团队，具有成熟深入的资质，接手所有的创作过程。这种选择是一种节省开发投资和避免影响产品质量的好方法。除了这个事实之外，这里还有一些你将通过外包获得的好处。

• 成本的灵活性。全球市场提供了很多准备以合理价格提供服务的外包软件开发公司。中欧已经成为实现这一目标的顶级地区，许多企业已经从来自该地的优秀开发人员的一流表现中受益。

• 可扩展性。可以根据您的要求调整开发流程：此类公司的团队包括所有类型的开发人员，将在需要他们的能力时参与创建过程。此外，如果有必要的话，这也是加快项目完成的绝佳方式。外包提供了多种合作模式。 从专门的团队到工作人员的增援

• 更快的产品交付。有了外包，就不需要在招聘上花费时间。你可以调整项目创建速度，例如，让更多的专家参与进来。因此，进入市场的时间缩短了，支出也减少了。只为已完成的工作付费。

• 庞大的人才库。IT外包包括大量具有丰富专业知识和经验的技术专家。外包商为企业提供灵活的招聘机会。你可以在全球范围大量的的软件架构师中选择。

• 可应用的技术非常多样化。根据你的项目要求，你可以从这些公司中选择一个具有相关专业知识的专家。

除了雇佣选择，开发团队的位置可能会对Flutter应用程序的开发成本产生很大的影响。在不同地区，开发人员有不同的价格。在美国，开发人员的平均费率是60美元/小时，而在爱沙尼亚，只有37美元/小时。

在下面的表格中，可以找到开发人员的每小时费率，并将它们进行比较。

Flutter开发人员在不同地区的费率：

如何计算 Flutter 应用开发成本

正如前面提到的，功能对Flutter应用开发成本的影响最大。Flutter 适用于不包含原生功能的项目。但是当涉及到地图、流媒体、AR和后台进程时，开发人员必须为iOS和Android单独构建这些功能，然后再与Flutter结合。

让我们回到例子上。如果是原生开发，你将需要大约60-130个小时在你的应用程序中实现AR过滤器。Flutter开发将需要约80-150小时，因为AR是一个原生功能。考虑到50美元/小时的费率，我们应该把它乘以开发时间。这个公式可以用来计算出最终的Flutter应用开发成本。

除了这个公式外，还有一件事在初始阶段很重要。

发现阶段

一个糟糕的发现阶段可能导致整个项目的崩溃。但为什么这个阶段如此重要？在发现阶段，业务分析人员和项目经理与你举行会议，找出可能的风险，并提出消除这些风险的解决方案

粗略估算

粗略估算的精确度从75%到25%不等。这个评估包括在客户和软件团队合作的初级阶段。它也有助于双方决定是否成为合作伙伴。粗略估算的主要目的是计算完成项目所需的最短和最长时间以及大致的总成本，以便客户知道在开发流程中需要多少投资。此外，这个估算包括整个创建过程，分为几个阶段。这个文件不应该被认为是有固定条款和条件的文件。它是为客户准备的，只是为了通知他们。

一个粗略的估算包括：

• 主要部分包含准备工作。它们在不同的项目中都是一样的，包括产品描述、数据库设置、REST架构。该部分所指出的项目不一定一次就能完成。有些工作是在整个项目中完成的。

• 开发与加密过程有关。这部分包括要实现的功能、屏幕和特性。开发部分包括 "业务逻辑 "和 "UI/UX "要求，以及某部分工作的小时数。

• 为了更有效地实现功能，需要整合框架和库，并相应减少开发时间和相应的花费。

• 非开发工作主要与技术写作有关。专家们准备详细的代码文档和准备有关产品创建的其他数据。

• 建议部分包含了各种改进建议。

当所有的问题都解决后，会进入发现阶段并创建一个项目规范。客户必须积极参与，因为会根据客户提供的数据来建立项目规范。在下一个阶段，客户应当创建他们的应用程序草稿图。这是一个用户界面元素在屏幕上的位置示意图。

然后，开发人员和业务分析师会对客户的Flutter应用开发成本进行详细的估算。有了准确的预算、项目要求和草稿图，就可以签署合同并开始开发阶段。

如你所见，发现阶段是任何项目的关键部分。没有这个阶段，你就无法知道开发所需的价格和时间，因为会有太多的变数。如果在任何阶段出了问题，整个项目的计划就会出问题。这就是为什么客户必须与软件开发公司合作，使他们能够建立客户需要的项目。

额外费用

就像任何其他产品一样，客户的应用程序需要维护和更新，以便在市场上保持成功。这导致了影响Flutter应用程序开发成本的额外费用。

服务器

如果要处理和存储用户产生的数据，就必须考虑到服务器的问题。脆弱的服务器会导致用户方面的低性能和高响应时间。此外，不可靠的服务器和脆弱的保护系统会导致你的用户的个人数据泄露。为了减少风险，团队只信任可靠的供应商，如亚马逊EC2。根据AWS价格计算器，一台8核CPU和32G内存的工作服务器将花费大约1650美元/年。在计算整个Flutter应用程序的开发成本时，请牢记这笔费用。

UI/UX设计

移动应用的导航、排版和配色是UI/UX设计师应该注意的主要问题。他们还应该向你提供你的应用程序的原型。根据你的应用程序的复杂性，设计可能需要40到90多个小时。这一行的费用将使Flutter应用的开发成本提高到2000-4500美元

发布到应用商店

当你已经有了一个成品，你必须在某个地方发布它。Google Play和App Store是应用程序分发的主要平台。然而，这些平台在应用发布前会收取费用：

• Google Play 帐号一次收取25美元，可以永久使用

• 而Apple Store 收取99美元的年费，只要你的APP还想待在应用商店，每年都得花费这笔钱

除此之外，这两个平台对每次产生的应用内购买行为都有30%的分成。如果你通过订阅模式发布你的应用，那你只能得到70%收益。然而，最近Google Play和App Store已经软化了他们的政策。目前，他们对每一个购买了十二个月订阅的账户只收取15%的分成。

应用维护和更新

应用商店排行榜的应用能保持其地位是有原因的。他们通过不断的升级和全新的功能吸引客户。即使你的应用是完美的，但没有更新将导致停滞，用户可能卸载你的应用程序。在完美的构想里，你应该雇用一家开发应用程序的公司。他们从一开始就为你的项目工作。注意，应用程序的维护费用在应用程序的生命周期内会上升。公司通常将Flutter应用开发成本的15-20%纳入应用维护的预算。然而，你的应用程序拥有稳定受众的时间越长，需要投入的更新资金就越多。在一定时间内，你花在更新上的钱比花在实际开发上的钱多，这并不奇怪。尽管如此，但是你的应用产生的收入多于损失，所以这是一项值得的投资。不幸的是，随着新的功能发布可能出现新的错误和漏洞。你不能对这个问题视而不见，因为它使用户体验变差，并为欺诈者提供了新的漏洞。有一些软件开发公司会提供发布后的支持，包括开发新功能、测试和修复错误。

按类型划分的开发成本

由于你已经知道影响价格的主要和次要因素，现在是时候对不同应用程序的Flutter开发成本进行概述了。这里估算了来自不同行业和不同复杂程度的几个现有应用程序的开发成本。

分别是：