本文为掘金社区首发签约文章，14天内禁止转载，14天后未获授权禁止转载，侵权必究！

上篇文章「为什么我们家里的IP都是192.168开头的？」提到，因为IPv4地址有限，最大42亿个。为了更好的利用这有限的IP数量，网络分为局域网和广域网，将IP分为了私有IP和公网IP，一个局域网里的N多台机器都可以共用一个公网IP，从而大大增加了"可用IP数量"。

当我们需要发送网络包的时候，在IP层，需要填入源IP地址，和目的IP地址，也就是对应快递的发货地址和收货地址。

但是我们家里的局域网内，基本上都用192.168.xx.xx这样的私有IP。

如果我们在发送网络包的时候，这么填。对方在回数据包的时候该怎么回？毕竟千家万户人用的都是192.168.0.1，网络怎么知道该发给谁？

所以肯定需要将这个192.168.xx私有IP转换成公有IP。

因此在上篇文章最后，留了这么个问题。局域网内用的是私有IP，公网用的都是公有IP。一个局域网里的私有IP想访问局域网外的公有IP，必然要做个IP转换，这是在哪里做的转换呢？

答案是NAT设备，全称Network Address Translation，网络地址转换。基本上家用路由器都支持这功能。

我们来聊下它是怎么工作的。

NAT的工作原理

为了简单，我们假设你很富，你家里分到了一个公网IP地址 20.20.20.20，对应配到了你家自带NAT功能的家用路由器上，你家里需要上网的设备有很多，比如你的手机，电脑都需要上网，他们构成了一个局域网，用的都是私有IP，比如192.168.xx。其中你在电脑上执行ifconfig命令，发现家里的电脑IP是192.168.30.5。 你要访问的公网IP地址是30.30.30.30。

于是就有下面这样一张图

当你准备发送数据包的时候，你的电脑内核协议栈就会构造一个IP数据包。这个IP数据包报头里的发送端IP地址填的就是192.168.30.5，接收端IP地址就是30.30.30.30。将数据包发到NAT路由器中。

此时NAT路由器会将IP数据包里的源IP地址修改一下，私有IP地址192.168.30.5改写为公网IP地址20.20.20.20，这叫SNAT（Source Network Address Translation，源地址转换）。并且还会在NAT路由器内部留下一条 192.168.30.5 -> 20.20.20.20的映射记录，这个信息会在后面用到。之后IP数据包经过公网里各个路由器的转发，发到了接收端30.30.30.30，到这里发送流程结束。

如果接收端处理完数据了，需要发一个响应给你的电脑，那就需要将发送端IP地址填上自己的30.30.30.30，将接收端地址填为你的公网IP地址20.20.20.20，发往NAT路由器。NAT路由器收到公网来的消息之后，会检查下自己之前留下的映射信息，发现之前留下了这么一条 192.168.30.5 -> 20.20.20.20记录，就会将这个数据包的目的IP地址修改一下，变成内网IP地址192.168.30.5, 这也叫DNAT（Destination Network Address Translation，目的地址转换）。 之后将其转发给你的电脑上。

整个过程下来，NAT悄悄的改了IP数据包的发送和接收端IP地址，但对真正的发送方和接收方来说，他们却对这件事情，一无所知。

这就是NAT的工作原理。

NAPT的原理

到这里，相信大家都有一个很大的疑问。

局域网里并不只有一台机器，局域网内 每台机器都在NAT下留下的映射信息都会是 192.168.xx.xx -> 20.20.20.20，发送消息是没啥事，但接收消息的时候就不知道该回给谁了。

这问题相当致命，因此实际上大部分时候不会使用普通的NAT。

那怎么办呢？

问题出在我们没办法区分内网里的多个网络连接。

于是乎。

我们可以加入其他信息去区分内网里的各个网络连接，很自然就能想到端口。

但IP数据包（网络层）本身是没有端口信息的。常见的传输层协议TCP和UDP数据报文里才有端口的信息。

于是流程就变成了下面这样子。

当你准备发送数据包的时候，你的电脑内核协议栈就会先构造一个TCP或者UDP数据报头，里面写入端口号，比如发送端口是5000，接收端口是3000，然后在这个基础上，加入IP数据报头，填入发送端和接收端的IP地址。

那数据包长这样。

假设，发送端IP地址填的就是192.168.30.5，接收端IP地址就是30.30.30.30。

将数据包发到NAT路由器中。

此时NAT路由器会将IP数据包里的源IP地址和端口号修改一下，从192.168.30.5:5000改写成20.20.20.20:6000。并且还会在NAT路由器内部留下一条 192.168.30.5:5000 -> 20.20.20.20:6000的映射记录。之后数据包经过公网里各个路由器的转发，发到了接收端30.30.30.30:3000，到这里发送流程结束。

接收端响应时，就会在数据包里填入发送端地址是30.30.30.30:3000，将接收端是20.20.20.20:6000，发往NAT路由器。NAT路由器发现下自己之前留下过这么一条 192.168.30.5:5000 -> 20.20.20.20:6000的记录，就会将这个数据包的目的IP地址和端口修改一下，变回原来的192.168.30.5:5000。 之后将其转发给你的电脑上。

如果局域网内有多个设备，他们就会映射到不同的公网端口上，毕竟端口最大可达65535，完全够用。这样大家都可以相安无事。

像这种同时转换IP和端口的技术，就是NAPT（Network Address Port Transfer , 网络地址端口转换 ）。

看到这里，问题就来了。

那这么说只有用到端口的网络协议才能被NAT识别出来并转发？

但这怎么解释ping命令？ping基于ICMP协议，而ICMP协议报文里并不带端口信息。我依然可以正常的ping通公网机器并收到回包。

事实上针对ICMP协议，NAT路由器做了特殊处理。ping报文头里有个Identifier的信息，它其实指的是放出ping命令的进程id。

对NAT路由器来说，这个Identifier的作用就跟端口一样。

另外，当我们去抓包的时候，就会发现有两个Identifier，一个后面带个BE（Big Endian），另一个带个LE（Little Endian）。

其实他们都是同一个数值，只不过大小端不同，读出来的值不一样。就好像同样的数字345，反着读就成了543。这是为了兼容不同操作系统（比如linux和Windows）下大小端不同的情况。

内网穿透是什么

看到这里，我们大概也发现了。使用了NAT上网的话，前提得内网机器主动请求公网IP，这样NAT才能将内网的IP端口转成外网IP端口。

反过来公网的机器想主动请求内网机器，就会被拦在NAT路由器上，此时由于NAT路由器并没有任何相关的IP端口的映射记录，因此也就不会转发数据给内网里的任何一台机器。

举个现实中的场景就是，你在你家里的电脑上启动了一个HTTP服务，地址是192.168.30.5:5000，此时你在公司办公室里想通过手机去访问一下，却发现访问不了。

那问题就来了，有没有办法让外网机器访问到内网的服务？

有。

大家应该听过一句话叫，"没有什么是加中间层不能解决的，如果有，那就再加一层"。

放在这里，依然适用。

说到底，因为NAT的存在，我们只能从内网主动发起连接，否则NAT设备不会记录相应的映射关系，没有映射关系也就不能转发数据。

所以我们就在公网上加一台服务器x，并暴露一个访问域名，再让内网的服务主动连接服务器x，这样NAT路由器上就有对应的映射关系。接着，所有人都去访问服务器x，服务器x将数据转发给内网机器，再原路返回响应，这样数据就都通了。这就是所谓的内网穿透。

像上面提到的服务器x，你也不需要自己去搭，已经有很多现成的方案，花钱就完事了，比如花某壳。

到这里，我们就可以回答文章标题的问题。

为什么我在公司里访问不了家里的电脑？

那是因为家里的电脑在局域网内，局域网和广域网之间有个NAT路由器。由于NAT路由器的存在，外网服务无法主动连通局域网内的电脑。

两个内网的聊天软件如何建立通讯

好了，问题就叒来了。

我家机子是在我们小区的局域网里，班花家的机子也是在她们小区的局域网里。都在局域网里，且NAT只能从内网连到外网，那我电脑上登录的QQ是怎么和班花电脑里的QQ连上的呢？

上面这个问法其实是存在个误解，误以为两个qq客户端应用是直接建立连接的。

然而实际上并不是，两个qq客户端之间还隔了一个服务器。

也就是说，两个在内网的客户端登录qq时都会主动向公网的聊天服务器建立连接，这时两方的NAT路由器中都会记录有相应的映射关系。当在其中一个qq上发送消息时，数据会先到服务器，再通过服务器转发到另外一个客户端上。反过来也一样，通过这个方式让两台内网的机子进行数据传输。

两个内网的应用如何直接建立连接

上面的情况，是两个客户端通过第三方服务器进行通讯，但有些场景就是要抛开第三端，直接进行两端通信，比如P2P下载，这种该怎么办呢？

这种情况下，其实也还是离不开第三方服务器的帮助。

假设还是A和B两个局域网内的机子，A内网对应的NAT设备叫NAT_A，B内网里的NAT设备叫NAT_B，和一个第三方服务器server。

流程如下。

step1和2: A主动去连server，此时A对应的NAT_A就会留下A的内网地址和外网地址的映射关系，server也拿到了A对应的外网IP地址和端口。

step3和4: B的操作和A一样，主动连第三方server，NAT_B内留下B的内网地址和外网地址的映射关系，然后server也拿到了B对应的外网IP地址和端口。

step5和step6以及step7: 重点来了。此时server发消息给A，让A主动发UDP消息到B的外网IP地址和端口。此时NAT_B收到这个A的UDP数据包时，这时候根据NAT_B的设置不同，导致这时候有可能NAT_B能直接转发数据到B，那此时A和B就通了。但也有可能不通，直接丢包，不过丢包没关系，这个操作的目的是给NAT_A上留下有关B的映射关系。

step8和step9以及step10: 跟step5一样熟悉的配方，此时server再发消息给B，让B主动发UDP消息到A的外网IP地址和端口。NAT_B上也留下了关于A到映射关系，这时候由于之前NAT_A上有过关于B的映射关系，此时NAT_A就能正常接受B的数据包，并将其转发给A。到这里A和B就能正常进行数据通信了。这就是所谓的NAT打洞。

step11: 注意，之前我们都是用的UDP数据包，目的只是为了在两个局域网的NAT上打个洞出来，实际上大部分应用用的都是TCP连接，所以，这时候我们还需要在A主动向B发起TCP连接。到此，我们就完成了两端之间的通信。

这里估计大家会有疑惑。

端口已经被udp用过了，TCP再用，那岂不是端口重复占用（address already in use）？

其实并不会，端口重复占用的报错常见于两个TCP连接在不使用SO_REUSEADDR的情况下，重复使用了某个IP端口。而UDP和TCP之间却不会报这个错。之所以会有这个错，主要是因为在一个linux内核中，内核收到网络数据时，会通过五元组（传输协议，源IP，目的IP，源端口，目的端口）去唯一确定数据接受者。当五元组都一模一样的时候，内核就不知道该把数据发给谁。而UDP和TCP之间"传输协议"不同，因此五元组也不同，所以也就不会有上面的问题。

NAPT还分为好多种类型，上面的nat打洞方案，都能成功吗？

关于NAPT，确实还细分为好几种类型，比如完全锥形NAT和限制型NAT啥的，但这并不是本文的重点。所以我就略过了。我们现在常见的都是锥形NAT。上面的打洞方案适用于大部分场景，这其中包括限制最多的端口受限锥形NAT。

总结

• IPV4地址有限，但通过NAT路由器，可以使得整个内网N多台机器，对外只使用一个公网IP，大大节省了IP资源。


• 内网机子主动连接公网IP，中间的NAT会将内网机子的内网IP转换为公网IP，从而实现内网和外网的数据交互。


• 普通的NAT技术，只会修改网络包中的发送端和接收端IP地址，当内网设备较多时，将有可能导致冲突。因此一般都会使用NAPT技术，同时修改发送端和接收端的IP地址和端口。


• 由于NAT的存在，公网IP是无法访问内网服务的，但通过内网穿透技术，就可以让公网IP访问内网服务。一波操作下来，就可以在公司的网络里访问家里的电脑。

最后留个问题，有了NAT之后，原本并不富裕的IPv4地址突然就变得非常够用了。

那我们为什么还需要IPv6？

另外IPv6号称地址多到每粒沙子都能拥有自己的IP地址，那我们还需要NAT吗？

最后

最近原创更文的阅读量稳步下跌，思前想后，夜里辗转反侧。

我有个不成熟的请求。

离开广东好长时间了，好久没人叫我靓仔了。

大家可以在评论区里，叫我一靓仔吗？

最近评论区里叫我diao毛的兄弟越来越多了。

so emo. 哪有什么diao毛，在你面前的，不过是一个漂泊在外，思念故乡的可怜打工人而已。

所以。

我这么善良质朴的愿望，能被满足吗？

别说了，一起在知识的海洋里呛水吧

一、遇到的坑

一个月前，我们在测试环境部署了一套 MySQL 高可用架构，也就是 MySQL 双主 + Keepalived 的模式。

在这一个月遇到了很多坑：

• 因为两个 MySQL 节点都可以写入，极其容易造成主键重复，进而导致主从同步失败。


• 同步失败后，Slave_SQL_Thread 线程就停了，除非解决了同步的错误，才能继续进行同步。


• 同步失败的错误，不会只有一条记录有问题，往往是一大片的同步问题。


• 两个节点互相缺少对方的数据。


• 主从的同步延迟，切换到新主库后，数据不是最新。


• 当出现不一致时，无法确定以哪个库为准。

造成上面问题的主要原因就是因为两个节点都支持写入 + 双主可以随时切换。

解决这种问题的方案有 改进自增主键的步长（影响未评估），使用 GTID 方案（未验证）。即使这样，双主同步的风险还是有，而且不同步后，如何处理是个大难题。

那么回到我们最初的想法：为什么会选择双主？

最开始的目的就是为了高可用。双主就是说有一台 MySQL 节点挂了，另外一台能够顶上，对于用户来说是无感的，给运维人员一定的缓冲时间来排查 MySQL 故障。另外老的主节点恢复后，不用改配置就能立即成为从节点。

经过这一个月的 MySQL 双主模式的试运行，最后我们还是决定切换到 MySQL 主 - 从模式。

双主模式就是两个节点即是主节点也是从节点，那我们现在切换到一主一从模式，就可以认为是降级。接下来我们聊聊双主换成主从的思路和步骤。

二、双主降为主从

双主模式

双主模式的原理图如下：

两个主节点，都安装了 KeepAlived 高可用组件，对外提供了一个 VIP，只有一个节点接管 VIP，客户端访问的请求都是到这个 VIP，另外一个节点处于待机状态。

主从模式

和双主不一样的地方如下，从节点是只读的。

一主一从是主从模式中的一种，具有以下特点：

• 一个主节点，一个从节点，主节点提供给客户端访问，从节点只通过主节点的 binlog 进行数据同步。


• 从节点是只读的。从节点可以作为只读节点提供类似报表查询等耗时读操作。


• 主节点宕机后，从节点成为主节点，也是高可用的一种方案。

相对于双主的高可用方案，不同之处如下：

• 主从切换需要用脚本将从库设置为可读可写。


• 主从切换后，需要将从库设置为不同步老主库。


• 主从切换后，老的主库恢复后，需要人工设置为只读，且开启同步新主库的功能。

这样来看，主从模式在异常情况下，多了些人工操作。

在异常情况下，主从切换一般是这样处理的：通过脚本监测主节点是否宕机，如果主库宕机了，则从库自动切换为新的主库，待老主库恢复后，就作为从库同步新主库数据，新主库上的 Keepalived 接管 VIP。

目前改为主从模式有两种方式：

• 简单方式：人工切换模式，主节点故障后需要人工切换主从。


• 复杂方式：高可用方式，主节点故障后，主从自动切换，读写分离自动切换。

本篇只涉及简单方式，复杂方式的原理和配置步骤放到下篇专门讲解。

三、改为主从的简单方式

简单方式的主从切换流程如下：

和双主模式的主从切换的区别是，从节点是只读的，Keepalived 没有启动，需要人工操作主从切换和启动 Keepalived。

修改配置的步骤如下：

① 为了避免从节点上的 Keepalived 自动接管 VIP 的情况出现，将从节点的 Keepalived 停止，如果遇到主节点故障，则需要人工干预来进行主从切换。从节点切换为主节点后，重新启动从节点 Keepalived。

systemctl status keepalived

② 保留主节点的 Keepalived，保证 MySQL 的连接信息都不需要变。

③ 主节点 node1 停用 MySQL 的同步线程。

STOP SLAVE

④ 从节点 node2 设置 MySQL 为只读模式。

# 修改 my.cnf 文件read_only = 1

⑤ 移除主节点 node1 同步 node2 MySQL 的权限。

⑥ 从节点 node1 的开机启动项中移除 keepalived 服务自启动。

# 修改启动项配置sudo vim /etc/rc.local# 移除以下脚本systemctl start keepalived

四、总结

双主高可用的坑确实比较多，没有 MySQL 的硬核知识真的很难搞定。笔者在这一个月的实践中，深刻体会到了双主同步的难点所在，最后还是选择了一主一从的模式。

另外因为最开始的配置都是双主模式下的，所以要修改一些配置，来改为主从模式。因项目时间比较紧，目前采取的是非高可用的主从模式。

访问敏感数据的 App 新规

苹果最近在 Apple Developer 上发了篇新闻公告，对需要访问用户敏感数据的 App 增加了审核要求。

这件事的缘由是苹果发现有一小部分 API 可能会被开发者滥用，通过信息指纹收集有关用户设备的信息。

早在今年 6 月的 WWDC23 上苹果就宣布，开发人员需要在其应用程序的隐私清单中声明使用某些 API 的原因，目前正式放出了这份需要声明的 API 列表。

新规详情

从今年（2023年）秋天开始，大概是 9 月中旬左右，如果你将你的 App 上传到 App Store Connect，你的应用程序使用到了需要声明原因的 API（也包括你引入的第三方 SDK），但是你没有在隐私清单文件中添加原因，那么 Apple 会给你发送一封警告性的邮件。

从 2024 年春季开始，大概是 3 月左右，没有在隐私清单文件中说明使用原因的 App 将会被拒审核。

需要声明原因的 API 有哪些？

1、NSUserdefaults 相关 API

这个 API 是被讨论最多争议最大的，因为几乎每个 App 都会用到，而且因为有沙盒保护，每个 app 的存储空间是隔离的，这都要申报理由，的确十分荒谬。

2、获取文件时间戳相关的 API

3、获取系统启动时间的 API

大多数衡量 App 启动时间的 APM 库会用到这个 API。

• systemUptime
• mach_absolute_time()

4、磁盘空间 API

5、活动键盘 API

这个 API 可以来确定当前用户文本输入的主要语言，有些 App 可能会用来标记用户。

• activeInputModes

如何在 Xcode 中配置

由于目前 Xcode 15 正式版还没有发布，下边的操作是在 Beta 版本进行的。

在 Xcode 15 中隐私部分全部归类到了一个后缀为 .xcprivacy 的文件中，创建项目时默认没有生成这个文件，我们先来创建一下。

打开项目后，按快捷键 Command + N 新建文件，在面板中搜索 privacy，选择 App Pirvacy 点击下一步创建这个文件。

这个文件是个 plist 格式的面板，默认情况下长这样：

然后点击加号，创建一个 Privacy Accessed API Types 的 Key，这是一个数组，用来包含所有你 App 使用到需要申明原因的 API。

在这个数组下继续点击加号，创建一个 Item，会看到两个选项：

• Privacy Accessed API Type：用到的 API 类型
• Privacy Accessed API Reasons：使用这个 API 的原因（也是个数组，因为可能包含多个原因）

这两个 Key 都创建出来，然后在 Privacy Accessed API Type 一栏点击右侧的菜单，菜单中会列出上边提到的所有 API，选择你需要申报的 API，我这里就拿 UserDefault 来举例：

然后在 Privacy Accessed API Reasons 一览中点击加号，在右侧的选项框中选择对应的原因，每个 API 对应的原因都会列出来，可以到苹果的官方文档上查看这个 API 的原因对应的是哪个，比如 UserDefault 对应的是 CA92.1，我这里就选择这个：

到此，申报原因就完成了，原因不需要自己填写，直接使用苹果给出的选项就可以了，还是蛮简单的。

参考资料

[1]公告原文: developer.apple.com/news/?id=z6…

[2]需要在 App 内声明的 API 列表: developer.apple.com/documentati…

[3]API 列表对应的原因: developer.apple.com/documentati…

懂点心理学，生活工作两不误～

什么是踢猫效应

某公司董事长为了重整公司事务，许诺自己将早到晚归。有一次，他在家看报太入迷以至于忘记了时间，为了不迟到，他在公路上超速驾驶，结果被警察开了罚单，最后还耽误了时间。这位老董愤怒之极，回到办公室，为了转移他人的注意，他将销售经理叫到办公室训斥了一顿。

销售经理挨训之后，气急败坏地走出办公室，将秘书叫到自己的办公室并对他挑剔一顿。

秘书无言无故被人挑剔，自然是一肚子气，故意找接线员的茬儿。

接线员无可奈何垂头丧气地回到家，对着自己的儿子大发雷霆。

儿子莫名其妙地被父亲痛斥之后，也很恼火，便将自己家里的猫狠狠地踢了一脚。

可怜的猫🥺。

提猫效应指的是坏情绪的传达，并且承受最多最痛的人，是弱小的群体。

其他案例

笔者在工作中也会遇到这样的人：

**主管，因为任务的延期完成或者任务出现问题，并没能完成上面的 OKR。受到经理的警告，然后 TA 会找茬自己手下的人，对其一顿 PUA。有时候，TA 还直接跟经理火拼，美其名曰为公司着想，吵着吵着就哭起来，然后任性连休几天假...

这是一种病态的社会表现。也是个人情绪无法抑制的无良的宣泄渠道。更是一种伤害集体利益和他人利益的一种行为。

当然，现实生活中还有很多这种鲜活的案例，比如：

所谓的专家，建议老百姓城市买房去库存，买车带动经济，再开车回农村耕田。升斗小民们可真是惨啊～

如何应对

1. 认清自己的角色：自己的角色是相对，有时候你是弱者，有时候你是施暴者。我们要正确认识到自己当前所处的角色，尊重善待无辜的人和动物。


2. 情绪管理：人不是神，会有喜怒哀乐愁，适当给自己放松一下，拥抱下大自然，请别压抑情绪，更不能为了释放情绪而转嫁情绪给他人。「亲人最容易受伤」


3. 规范和法律：当自己的权益受到了侵害，需要我们拿起法律的武器。比如，公司无缘无故裁了你，但是又没有给赔偿你，甚至在推荐信上恶意差评你。

参考

• wikipedia 踢猫效应


• 踢猫效应|谁是谁的出气筒<
  
  作者：Jimmy
  来源：juejin.cn/post/7264756009887989812
  /a>

大家好，我卡颂。

最近，群里一个刚入职的小伙因为用公司电脑访问奇怪的网站，被约谈了。他很困惑 —— 访问的都是HTTPS的网站，公司咋知道他访问了啥？

实际上，由于网络通信有很多层，即使加密通信，仍有很多途径暴露你的访问地址，比如：

• 
  

  DNS查询：通常DNS查询是不会加密的，所以，能看到你DNS查询的观察者（比如运营商）是可以推断出访问的网站

  
  


• 
  

  IP地址：如果一个网站的IP地址是独一无二的，那么只需看到目标 IP地址，就能推断出用户正在访问哪个网站。当然，这种方式对于多网站共享同一个IP地址（比如CDN）的情况不好使

  
  


• 
  

  流量分析：当访问一些网站的特定页面，可能导致特定大小和顺序的数据包，这种模式可能被用来识别访问的网站

  
  


• 
  

  cookies或其他存储：如果你的浏览器有某个网站的cookies，显然这代表你曾访问过该网站，其他存储信息（比如localStorage）同理

  
  

除此之外，还有很多方式可以直接、间接知道你的网站访问情况。

本文将聚焦在HTTPS协议本身，聊聊只考虑HTTPS协议的情况下，你的隐私是如何泄露的。

欢迎围观朋友圈、加入人类高质量前端交流群，带飞

HTTPS简介

我们每天访问的网站大部分是基于HTTPS协议的，简单来说，HTTPS = HTTP + TLS，其中：

• 
  

  HTTP是一种应用层协议，用于在互联网上传输超文本（比如网页内容）。由于HTTP是明文传递，所以并不安全

  
  


• 
  

  TLS是一种安全协议。TLS在传输层对数据进行加密，确保任何敏感信息在两端（比如客户端和服务器）之间安全传输，不被第三方窃取或篡改

  
  

所以理论上，结合了HTTP和TLS特性的HTTPS，在数据传输过程是被加密的。但是，TLS建立连接的过程却不一定是加密的。

TLS的握手机制

当我们通过TLS传递加密的HTTP信息之前，需要先建立TLS连接，比如：

• 
  

  当用户首次访问一个HTTPS网站，浏览器开始查询网站服务器时，会发生TLS连接

  
  


• 
  

  当页面请求API时，会发生TLS连接

  
  

建立连接的过程被称为TLS握手，根据TLS版本不同，握手的步骤会有所区别。

但总体来说，TLS握手是为了达到三个目的：

1. 
   

   协商协议和加密套件：通信的两端确认接下来使用的TLS版本及加密套件

   
   


2. 
   

   验证省份：为了防止“中间人”攻击，握手过程中，服务器会向客户端发送其证书，包含服务器公钥和证书授权中心（即CA）签名的身份信息。客户端可以使用这些信息验证服务器的身份

   
   


3. 
   

   生成会话密钥：生成用于加密接下来数据传输的密钥

   
   

TLS握手机制的缺点

虽然TLS握手机制会建立安全的通信，但在握手初期，数据却是明文发送的，这就造成隐私泄漏的风险。

在握手初期，客户端、服务端会依次发送、接收对方的打招呼信息。首先，客户端会向服务端打招呼（发送client hello信息），该消息包含：

• 
  

  客户端支持的TLS版本

  
  


• 
  

  支持的加密套件

  
  


• 
  

  一串称为客户端随机数（client random）的随机字节

  
  


• 
  

  SNI等一些服务器信息

  
  

服务端接收到上述消息后，会向客户端打招呼（发送server hello消息），再回传一些信息。

其中，SNI（Server Name Indication，服务器名称指示）就包含了用户访问的网站域名。

那么，握手过程为什么要包含SNI呢？

这是因为，当多个网站托管在一台服务器上并共享一个IP地址，且每个网站都有自己的SSL证书时，那就没法通过IP地址判断客户端是想和哪个网站建立TLS连接，此时就需要域名信息辅助判断。

打个比方，快递员送货上门时，如果快递单只有收货的小区地址（IP地址），没有具体的门牌号（域名），那就没法将快递送到正确的客户手上（与正确的网站建立TLS连接）。

所以，SNI作为TLS的扩展，会在TLS握手时附带上域名信息。由于打招呼的过程是明文发送的，所以在建立HTTPS连接的过程中，中间人就能知道你访问的域名信息。

企业内部防火墙的访问控制和安全策略，就是通过分析SNI信息完成的。

虽然防火墙可能已经有授信的证书，但可以先分析SNI，根据域名情况再判断要不要进行深度检查，而不是对所有流量都进行深度检查

那么，这种情况下该如何保护个人隐私呢？

Encrypted ClientHello

Encrypted ClientHello（ECH）是TLS1.3的一个扩展，用于加密Client Hello消息中的SNI等信息。

当用户访问一个启用ECH的服务器时，网管无法通过观察SNI来窥探域名信息。只有目标服务器才能解密ECH中的SNI，从而保护了用户的隐私。

当然，对于授信的防火墙还是不行，但可以增加检查的成本

开启ECH需要同时满足：

• 
  

  服务器支持TLS的ECH扩展

  
  


• 
  

  客户端支持ECH

  
  

比如，cloudflare SNI测试页支持ECH扩展，当你的浏览器不支持ECH时，访问该网站sni会返回plaintext：

对于chrome，在chrome://flags/#encrypted-client-hello中，配置ECH支持：

再访问上述网站，sni如果返回encrypted则代表支持ECH。

总结

虽然HTTPS连接本身是加密的，但在建立HTTPS的过程中（TLS握手），是有数据明文传输的，其中SNI中包含了服务器的域名信息。

虽然SNI信息的本意是解决同一IP下部署多个网站，每个网站对应不同的SSL证书，但也会泄漏访问的网站地址。

ECH通过对TLS握手过程中的敏感信息（主要是SNI）进行加密，为用户提供了更强的隐私保护。

写在前面

好像很久没有更文了，感觉有很多想写的，但却又不知道该写些什么了。。。

近阶段，整个人的状态都好，本计划这月想给自己充电，做一些自己想做的事，结果真的就是事与愿违吧。

好像每个人都一样，都是为了生活而疲于奔命，依然忙碌于各种事情之间。

整个过程

没经过深思熟虑的计划制定

两周前，组内同事想让我帮忙做冒烟测试脚本，原因是因为每次发版测试的时间耗时特别长，所以在结束批量测试工具的开发工作后，我便主动和领导请缨做冒烟测试脚本的开发工作。

和领导说，脚本开发需要5天，整个冒烟测试每次需要大约5分钟！

领导听完很吃惊，我自己说应该差不多吧。

迷之自信？

可能很多同学也会和我的领导一样吃惊，为什么？

系统发版后的回归测试，就测试场景和流程来看，工作量肯定不小，姑且不说技术问题，就业务流程的梳理就很费时间了。

而我却说整个过程只需要五天，可见我是多想证明自己了

其实不然，我自己还是有一些考量的，才说出五天，原因有两个：

• 因为信任，所以备受期待，同事信任我，真的感觉自己被需要，并且想为团队贡献出一份自己的力量；


• 因为之前做过测试环境的性能测试脚本，以为很多接口可以直接拿来就用（我天真了，因为改了不少，需要重做）。

理性永远在给感性收拾烂摊子

整个系统总共6个测试流程，也就是说我每天要完成1.2个流程的脚本开发。

我特别喜欢现在团队的氛围，第一天到下班点时，差一个模块就完成了一个流程。

所以在责任心的驱使下，心想加个班吧，今天能赶出来这个模块，明天其他的流程就能复用了。

一切看似很好，也正是这个模块把我彻底卡住了，我遇到了一个让我很抓狂的问题：

打个类比，比如发起申请接口，申请成功了，到领导审批，点击同意的时候报错，而发起申请这个接口却不报错，你在页面同样的操作，领导同意却是正常好用的。

被问题卡住，心态开始崩盘

这个问题，我反复查了近两天......

这期间我积极的找开发同事帮忙排查问题，并确认是否是我的入参不对导致节点数据不正确。

由于开发同事比较忙，能帮我排查问题的时间有限，所以只有在开发稍微有点时间，才能帮忙排查联调。

也正因为开发同事的尽心尽力帮忙，几次下来，让我感觉离问题根源好像又进了一步。

也知道为什么不能审批了，因为虽然请求成功了，但是没走业务逻辑，导致部分数据还是默认值，所以审批报错。

关于入参的排查，暂时告一段落了，因为数据状态不对，无法进行审批，意味着还是没有解决问题。

到这已经是第三天了，一个流程都没整完，感觉整个人都不好了，心态有点崩了......

于是向领导说明原因，领导了解后，并说先把耗时最长的做完，虽然没那么大压力，但是心里还是有些深深地自责。

我还是没忍住，终于哭了出来......

距离周五晚上发版测试还有两天，这个问题不解决，怎么也说不过去，心里一直憋着这个劲特别难受。

当时的想法，真的是谁能帮帮我，帮帮我行么？

但是我也不知道该找谁帮忙，谁又能帮助我？

为什么？说是业务问题吧？还不算？技术问题吧，入参还查不出来啥问题？真的就是进退两难！

因为开发太忙，实在没时间，暂时也没想到什么好的解决办法，我就先下班回了家。

把车停好后，习惯性地给女友打了电话，那天还是我的生日，再加上那阶段烦心事特别多，说着说着我哭了出来，突然感觉好无助而且很没用，最后彻底哭了出来，为什么就那么难？

我以为我很颓废，今天我才知道，原来我早废了。

因为烦心事特别多，导致整个人都不好了，哭出来后，感觉真的很舒服，而且整个人平和了许多。

没人能教你，只有自己能拯救自己

回到家后，搭建好环境，改用工具进行测试，使用jmeter+fiddler抓包开始，重新调接口来模拟测试，结果居然成功了，真的很意外，难道是我代码写的有问题？

第二天上班，我把自己代码接口调用及入参与昨天做好的jmeter脚本一一对照，发现入参一模一样，这让我产生了怀疑，是我封装的工具类有问题？

我代码走的HTTP协议，而jmeter脚本是HTTPS协议才成功的。

这让我想到，可能我的httpclient需要走HTTPS协议请求会让接口调用后，数据应该会正常显示吧。

有了思路，就开始找httpclient如何进行HTTPS请求的相关文章。

经过一番搜索，找到的重点都是围绕使用ssl和根证书的使用的代码片段，我又对httpclient底层封装进行改造，改造完再次使用封装工具类调用接口，结果还是数据状态不对，我真的彻底绝望了。

于是，我又去找到了强哥（我北京的同事），强哥说你干嘛自己封装，用hutool呀。

我照着强哥的思路，又去照着hutool中的工具类，开始写demo，逐一调用接口，结果竟然成功了，这让我欣喜若狂，真的好用。

于是，我对写好的demo，再次进行封装，也就是hutool中的工具类封装，封装好后，再次使用封装好的工具类调用，结果数据状态又不对了。

我真的服了，这是玩我吗？分开就好使，封装就不行。

有的同学说了，应该是你封装的有问题，那为什么其他模块都好用，就这个模块不行？

后来，我灵机一动，那就都对分开可用这部分代码进行简单封装，保证流程跑通就行，算是退而求其次的解决方法，虽然，它很low，但是能用。

也正因为这个临时解决方案，助力我在周五发版前成功的让同事用上了，一个流程的冒烟测试，跑完这一个流程仅需113秒，比手动回归快了近10倍的时间。

写在最后

整个过程让我记忆深刻，在此特别记录一下，真的是头一次被问题卡的这么难受，那种既生气，又干不掉难题的感觉，太难受了!

你有被难题阻塞，一直无法继续下去的情况吗？

最近老板的老婆在参加一项什么“指尖博物馆”的评选，因此老板每天在群里给我们发链接让我们投票。我们兢兢业业每天一投，甚至还相互提醒，完全把这个当成事业在努力。结果，对面直接不按常理出牌，一夜就刷了300票，我们一早来，发现这个数据，面面相觑：这绝对是刷票了吧！

这就是现在网络投票的现状，可能一开始开启网络刷票的人并没有想到会变成这样。本以为这将是民意的体现，具有公平、公正、透明的特质。而且它不需要场地、设备、人力，更不需要大量资金，极大地节省了人力成本。最重要的是，它能通过网络迅速传播活动信息、扩大影响规模，最后的数据一导出，妥妥一大亮点。

事与愿违，网络投票中的刷票行为，让这原本可以最大体现民意的设置，成了黑灰产牟利的“利器”。“某某评选开始啦，请动动你的手指为我们投上宝贵的一票”“本次评选活动对我们很重要，我们需要您的支持，鞠躬感谢”……每次朋友圈看到这样的话，我都心有戚戚：发了也没用呀，对面可能直接机器刷票了！

网络刷票的两种形式

网络刷票背后有一群分工明确的黑灰产业。所谓黑灰产是指利用计算机、网络等手段，基于各类漏洞，通过恶意程序、木马病毒、网络、电信等形式，以非法盈利为目的规模化、组织化、分工明确的群体组织。

网络刷票形式，主要有人工刷票与机器刷票两种。

人工刷票：就是一些空闲时间多的人士，以帮助参赛选手投票来获得“佣金”为主要工作。这些人多数为兼职投票手，外界称之为投票水军。

**技术刷票：**通过抓包工具分析提交投票时所产生的数据，然后使用脚本程序批量提交数据的刷票方式。

通过分析可以发现，网络刷票黑灰产揽客主要分为三步：第一步，在网上搜索这类评选活动，通过冒充主办方或媒体等方式，拨打参选对象单位公开的办公电话，索要参选者私人联系方式。第二步，抛诱饵强卖。会以“专业低价、保证安全”、“先刷后付”等话术来诱骗参选人交钱刷票，不管参选人是否同意，团伙都会假意进行少量刷票，为下一步诈骗进行铺垫。第三步，威胁+诈骗。即便参选者交了一部分的预付金，诈骗团伙也不会再帮你刷票了。而是以此为要挟不断加价，等到活动快结束时，再以冲击排名为由诈骗一笔。

此外，为了吸引参与者自发的去拉票刷票，商家往往会将投票配合奖励去吸引投票用户。由此经引起“羊毛党”注意，出现组队集团化刷票薅礼品的现象。

如何防止网络刷票

毫无疑问，网络刷票对于发起者（商家）、参与者、投票用户这三方来说，都是会造成损失的。我们需要采取一定的措施来防止黑灰产进行刷票。

比较简单的方式有以下集中：

1. 验证码： 在投票页面中加入验证码功能，通过输入验证码来确认投票者是真实的人类用户，而不是机器人或其他自动程序。这里可以使用顶象的免费验证码，因此就不展开叙述了。

2. IP地址限制： 通过限制相同IP地址的投票次数，可以防止同一IP地址的用户对同一选项进行多次投票。P地址限制可以通过服务器端脚本语言（如PHP、Python等）或者Web服务器（如Apache、Nginx等）来实现。

<?php

// 获取投票者的IP地址

$ip = $_SERVER['REMOTE_ADDR'];



// 设置IP地址的投票次数上限为10次

$vote_limit = 10;



// 判断IP地址的投票次数是否已经超过上限

if(get_votes_count($ip) >= $vote_limit){

    // 如果超过了上限，提示投票失败

    echo "投票失败，您已经超过投票次数限制！";

}else{

    // 如果没有超过上限，进行投票操作

    do_vote();

    // 记录投票记录

    record_vote($ip);

    // 提示投票成功

    echo "投票成功，谢谢您的支持！";

}



// 获取指定IP地址的投票次数

function get_votes_count($ip){

    // 连接数据库

    $conn = mysqli_connect('localhost', 'username', 'password', 'database');

    // 查询指定IP地址的投票次数

    $result = mysqli_query($conn, "SELECT COUNT(*) AS count FROM votes WHERE ip='$ip'");

    // 获取投票次数

    $row = mysqli_fetch_assoc($result);

    $count = $row['count'];

    // 关闭数据库连接

    mysqli_close($conn);

    return $count;

}



// 记录投票记录

function record_vote($ip){

    // 连接数据库

    $conn = mysqli_connect('localhost', 'username', 'password', 'database');

    // 插入投票记录

    mysqli_query($conn, "INSERT INTO votes (ip) VALUES ('$ip')");

    // 关闭数据库连接

    mysqli_close($conn);

}



// 进行投票操作

function do_vote(){

    // TODO：进行投票操作

}

?>

3. Cookie限制： 通过在用户浏览器中设置Cookie，可以限制同一浏览器的用户对同一选项进行多次投票。

<?php

// 获取投票者的Cookie

$cookie_name = "voted";

$voted = isset($_COOKIE[$cookie_name]) ? $_COOKIE[$cookie_name] : 0;



// 设置Cookie的过期时间为1天

$expire_time = time() + 86400;



// 判断投票者是否已经投过票

if($voted){

    // 如果已经投过票，提示投票失败

    echo "投票失败，您已经投过票！";

}else{

    // 如果还没有投票，进行投票操作

    do_vote();

    // 设置投票者的Cookie

    setcookie($cookie_name, 1, $expire_time);

    // 提示投票成功

    echo "投票成功，谢谢您的支持！";

}



// 进行投票操作

function do_vote(){

    // TODO：进行投票操作

}

?>

另外，在用户打开页面时，Cookie已经配置在用户浏览器中了，因为示例代码中的setcookie()函数会在服务器响应中设置Cookie并发送给客户端浏览器，当用户打开页面时，浏览器会检查本地是否存在该网站的Cookie，并将其附加在该请求中一同发送给服务器，以便服务器识别该用户的身份，或者保存一些用户相关的数据。因此，在示例代码中，当用户访问该网站时，Cookie已经生效并配置在用户浏览器中了。

4. 人工审核： 对投票结果进行人工审核，通过人工审核来确认投票者的身份和投票行为的真实性。但是，该方法需要投入较大的人力和时间成本，不适合大规模的投票活动。

结语

在2021年1月8日，国家互联网信息办公室公布《互联网信息服务管理办法（修订草案征求意见稿）》。对互联网信息发布、保存及个人信息安全保护等方面作出规定，并对日益泛滥的刷票、刷量、刷评论及制作虚假账号给出了处罚细则。其中特别第二十五条特提到，任何组织和个人不得以营利为目的或为获取其他非法利益，实施下列行为，扰乱网络秩序：
（一）明知是虚假信息而发布或者有偿提供信息发布服务的；
（二）为他人有偿提供删除、屏蔽、替换、下沉信息服务的；
（三）大量倒卖、注册并提供互联网信息服务账号，被用于违法犯罪的；
（四）从事虚假点击、投票、评价、交易等活动，破坏互联网诚信体系的。

希望在此基础上，网络刷票情况能够得到一定的缓解。<

以上。

努力干活就能赚多点钱

职场中最大的谎言可能是“工作越忙就能赚到更多的钱”。虽然在某些情况下这是真实的，但很多时候这只是一种误解。长时间超负荷工作可能会导致身体和心理健康问题，甚至影响到家庭生活和人际关系。此外，很多公司并不愿意在工作强度过高的员工身上支付额外的报酬，而是更倾向于平衡员工的工作与生活，提高员工的幸福感和满意度。因此，新进职场人士应该认识到，在职场中坚持适度的工作量、良好的工作习惯和优秀的职业素养才是取得成功的重要因素。

我都是为你好

“我都是为你好”可能是一种常见的谎言，在不同情境下被使用。在某些情况下，这可能真诚地表达出对他人的关心和照顾，但在其他情况下，这也可能成为掩盖自己私人动机或者行为错误的借口。因此，在职场和日常生活中，我们需要学会审视这句话所蕴含的背后意图，并判断其是否真实可信。同时，我们也应该秉持着开放、坦诚、尊重和理解的态度，与他人进行良好的沟通和相处，以建立健康、和谐的人际关系。

他做得比你好，向他好好学习

“他做得比你好，向他好好学习”是一句非常有益的建议，可以让人们从成功的经验中汲取营养，不断提高自己的能力和水平。在职场中，人们面对不同的工作任务和挑战，而且每个人的工作方式、思维模式和经验都不同，因此，我们应该善于借鉴他人的优点和长处，吸取别人的经验和教训，不断完善自己的职业素养和技能。然而，这并不意味着要完全依赖和模仿别人，而是应该在合适的时机，根据自身实际情况和需要，加以改进和创新，开拓自己的专业视野和发展空间。

在职场中，有些人可能会通过拍马屁、拉关系等不正当手段来获取自己的利益或者提高自己的地位。然而，这种做法可能会导致负面后果和损失，例如破坏工作团队的合作氛围、损害自己的职业形象和信誉等。因此，我们应该始终保持清醒和冷静的头脑，不受拍马屁等诱惑，专注于自己的工作和职责，努力提高自己的专业水平和职业素养。同时，我们也应该与他人建立良好的人际关系，以合理、公正、透明的方式展示自己的才华和成果，赢得别人的尊重和信任，并在适当的时刻借助他人的力量来实现共同的目标。

公司不怎么赚钱，理解一下，行情好了加工资

如果公司在过去设定了一些目标和承诺，但无法兑现或者没有达到预期的结果，那么这就是一种失信行为。画饼充当推销手段，可能会对员工、客户和利益相关方造成误导和不良影响，并破坏公司的商誉和形象。因此，公司应该根据市场实际情况和自身能力水平，制定合理、可行的计划和策略，避免过于浮夸和虚幻的承诺，注重落实和执行，加强与员工、客户和社会各方的沟通和互动，建立坦诚、透明的企业文化和价值观念。同时，员工也应该保持客观、谨慎、理性的态度，不盲目追求高回报或者虚假宣传，始终以个人职业道德和职责为先，为公司和自

大家好，我是冰河~~

今天发现Mysql的主从数据库没有同步

先上Master库：

mysql>show processlist;

查看下进程是否Sleep太多。发现很正常。

show master status;

也正常。

mysql> show master status;

+-------------------+----------+--------------+-------------------------------+

| File              | Position | Binlog_Do_DB | Binlog_Ignore_DB              |

+-------------------+----------+--------------+-------------------------------+

| mysqld-bin.000001 |     3260 |              | mysql,test,information_schema |

+-------------------+----------+--------------+-------------------------------+

1 row in set (0.00 sec)

再到Slave上查看

mysql> show slave status\G                                                

 

Slave_IO_Running: Yes

Slave_SQL_Running: No

可见是Slave不同步

解决方案

下面介绍两种解决方法

方法一：忽略错误后，继续同步

该方法适用于主从库数据相差不大，或者要求数据可以不完全统一的情况，数据要求不严格的情况

解决：

stop slave;

 

#表示跳过一步错误，后面的数字可变

set global sql_slave_skip_counter =1;

start slave;

之后再用mysql> show slave status\G 查看

mysql> show slave status\G

Slave_IO_Running: Yes

Slave_SQL_Running: Yes

ok，现在主从同步状态正常了。。。

方式二：重新做主从，完全同步

该方法适用于主从库数据相差较大，或者要求数据完全统一的情况

解决步骤如下：

1.先进入主库，进行锁表，防止数据写入

使用命令：

mysql> flush tables with read lock;

注意：该处是锁定为只读状态，语句不区分大小写

2.进行数据备份

#把数据备份到mysql.bak.sql文件

mysqldump -uroot -p -hlocalhost > mysql.bak.sql

这里注意一点：数据库备份一定要定期进行，可以用shell脚本或者python脚本，都比较方便，确保数据万无一失。

3.查看master 状态

mysql> show master status;

+-------------------+----------+--------------+-------------------------------+

| File              | Position | Binlog_Do_DB | Binlog_Ignore_DB              |

+-------------------+----------+--------------+-------------------------------+

| mysqld-bin.000001 |     3260 |              | mysql,test,information_schema |

+-------------------+----------+--------------+-------------------------------+

1 row in set (0.00 sec)

4.把mysql备份文件传到从库机器，进行数据恢复

scp mysql.bak.sql root@192.168.128.101:/tmp/

5.停止从库的状态

mysql> stop slave;

6.然后到从库执行mysql命令，导入数据备份

mysql> source /tmp/mysql.bak.sql

7.设置从库同步，注意该处的同步点，就是主库show master status信息里的| File| Position两项

change master to master_host = '192.168.128.100', master_user = 'rsync',  master_port=3306, master_password='', master_log_file =  'mysqld-bin.000001', master_log_pos=3260;

8.重新开启从同步

mysql> start slave;

9.查看同步状态

mysql> show slave status\G  



Slave_IO_Running: Yes

Slave_SQL_Running: Yes

10.回到主库并执行如下命令解除表锁定。

UNLOCK TABLES;

好了，今天就到这儿吧，小伙伴们点赞、收藏、评论，一键三连走起呀，我是冰河，我们下期见~

背景

某项目中有一个收费业务，生成订单，订单状态为待支付。在移动端上打开该功能时可查看到待支付的订单，然后用户可以对待支付的订单进行支付。但偶尔出现客户反馈支付后订单还是待支付的状态，导致用户无法继续使用接下来的功能，导致用户的体验行特别差。重新梳理一遍，排查该问题。

涉及服务：

• server1 主服务业务，提供所有业务的服务；


• m-server：提供移动端 H5 视图和部分业务功能，部分功能业务都直接请求 server1；

总体架构

总体流程：

• 用户打开移动端应用时，由 m-server 提供页面视图；


• 移动端相关业务数据由 server1 提供，即用户请求时，会到 m- server 再由其转发到 server1 服务上；


• 相关支付业务由 m-server 服务与微信支付交互，支付完成后再由 m-server 与 server1 交互，同步订单的状态；

详细支付时序图：

支付流程的时序图，可以参考微信的官网：pay.weixin.qq.com/wiki/doc/ap…

支付流程：

• 用户点击支付时，向 m-server 发起支付，然后生成订单


• 向微信支付发起生成预付单


• 点击微信支付的支付，此时会与微信支付进行验证支付授权权限


• 微信返回支付授权，然后用户输入密码，确认支付，向微信支付服务提交授权


• 微信支付返回支付结果给用户，并发微信消息提醒，同时会向 m-server 异步通知支付结果


• m-server 接收到支付结果将同步给 server ，然后server 变更订单状态结果


• m-server 显示最后结果给用户，如支付成功的订单详情

订单状态同步设计：

订单状态流程：

• server1 生成订单并记录到 db 中


• m-server 从 server 中获取到订单的列表


• m-server 接收到微信支付成功时，就会告知 server 支付成功，然后由 server 将订单状态修改为已支付

问题分析

已支付成功了，但订单状态却还是未支付成功？

首先，订单的状态由待支付到支付成功，必须是由微信支付服务异步通知 m-server 支付成功，然后再由 m-server 通知 server1 去修改订单状态。

所以，无论 m-server 还是 server1 服务在支付期间发生抖动都可能导致支付成功的信息成功通知给 server1 ，从而导致订单状态修改失败。还有一种可能性，微信支付服务可能没有异步通知。毕竟是第三方发起通知，所以也可能发生未通知情况。

优化方案

为了保证订单状态最终结果状态一致性，需要增加服务高可用，且可以支持自动重新发送订单状态变更的请求，及时重发重试。

详细设计

• m-server 确认支付时也将订单信息进行存储，状态为待支付


• m-server 接收到微信支付成功通知后，就转发告知server1 服务


• server1 修改订单状态进行响应，m-server 接收到响应进行删除或者修改订单状态(可按需进行)，m-server 这里订单信息没有用了就也可以删除


• 同时开启一个异步轮询 m-server 存储的订单信息，对于订单状态是待支付的，进行重发重试。这个过程需要先和微信支付服务确认确实是已支付，然后再将信息重新发送 server1，告知将订单状态调整为已支付

// 定时轮询订单信息状态

func notifyAuto() {

    // 异步定时监控订单状态的变化

    var changeOrder = func() {

        result := orderService.getUnPayOrder(0) // 获取当前未支付状态的订单

        if len(result) > 0 {

            for v := range result {

                status := wechat.getOrderStatus(v.orderId)

                if status == 1 { // 订单在微信上时已支付的，需重新调用server 修改订单状态

                    orderService.sendOrderFinish(v.orderId)

                }

            }

        }

    }



    go func() {

        time.AfterFunc(time.Minute*10, changeOrder)

    }()

}

复制代码
作者：小雄Ya
来源：juejin.cn/post/7138609603356901413
>

简言

在项目中，我使用了错误的除法，除零没有抛出错误，程序运行正常，但是数据异常。组长说要把我输送社会，老板说还可以挽留一下，我们来复盘一下这次错误。

先让我们来试一试

public class TestDouble {   

 public static void main(String[] args) {   

      System.out.println(1.0 / 0);   

 }

}

你认为的我认为的它应该会抛出 ArithmeticException 异常

但是它现在输出了 Infinity

为什么呢？

Double 数据类型支持无穷大

还有其他类型支持吗？

有，还有 Float

下面我们来查看 Double 源码，可以看到

/** 

  * 一个常数，保持类型的正无穷大 

 */

public static final double POSITIVE_INFINITY = 1.0 / 0.0;

/**

 * 一个常数，保持类型的负无穷大 

*/

public static final double NEGATIVE_INFINITY = -1.0 / 0.0;

/** 

  * 一个常数,非数值类型 

*/

public static final double NaN = 0.0d / 0.0;

下面来试验下 0.0/0 与 -1.0/0

Double 正无穷 = 1.0 / 0;

Double 负无穷 = -1.0 / 0;

System.out.println("正无穷:" + 正无穷);

System.out.println("负无穷:" + 负无穷);

Double 非数值 = 0.0 / 0;

System.out.println("非数值 0.0/0 ->" + 非数值);

输出：

正无穷:Infinity

负无穷:-Infinity

非数值 0.0/0 ->NaN

对无穷大进行运算

下面来测试对 Float 类型与 Doubloe 类型无穷大进行运算

public static void testFloatInfinity() {

     Float infFloat = Float.POSITIVE_INFINITY;     

     Double infDouble = Double.POSITIVE_INFINITY;     

     System.out.println("infFloat + 5 = " + (infFloat + 5));     

     System.out.println("infFloat - infDouble = " + (infFloat - infDouble));     

     System.out.println("infFloat * -1 = " + (infFloat * -1));

}

输出:

infFloat + 5 = InfinityinfFloat - infDouble = NaNinfFloat * -1 = -Infinity

可以注意到 1,3 行运算符合我们的预计结果

ps: Infinity- Infinity 的结果不是数字类型

对这些值进行判断

public static void checkFloatInfinity() {   

 Double 正无穷 = 1.0 / 0;    

 Double 负无穷 = -1.0 / 0;    

 Double 非数值 = 0.0 / 0;    

 System.out.println("判断正无穷: " + Double.isInfinite(正无穷));    

 System.out.println("判断负无穷: " + (Double.NEGATIVE_INFINITY == 负无穷));    

 System.out.println("判断非数值(==): " + (Double.NaN == 非数值));    

 System.out.println("判断非数值(isNaN):  " + Double.isNaN(非数值));

}

输出:

判断正无穷: true

判断负无穷: true

判断非数值(==): false

判断非数值(isNaN):  true

ps: 判断 NaN 不要使用 ==

作者：程序员鱼丸
来源：juejin.cn/post/7135621128818524174

因为工作的原因，我和一些外国前端开发有些交流。他们对于国内环境不了解，有时候会问出一些有趣的问题，大概是这些问题的启发，让我反复在思考一些更为深入的问题。

今天聊三个事情：

• 小程序


• 微前端


• 模块加载

小程序

每个行业都有一把银座，当坐上那把银座时，做什么便都是对的。

“我们为什么需要小程序？”

第一次被问到这个问题，是因为一个法国的同事。他被派去做一个移动端业务，刚好那个业务是采用小程序在做。于是一个法国小哥就在被痛苦的中文文档和黑盒逻辑中来回折磨着 🤦。

于是，当我们在有一次交流中，他问出了我这个问题：我们为什么需要小程序？

说实话，我试图解释了 19 年国内的现状，以及微信小程序推出时候所带来的便利和体验等等。总之，在我看来并不够深刻的见解。

即便到现在为止，每次当我使用小程序的时候，依旧会复现这个问题。在 ChatGPT 11 月份出来的时候，我也问了它这个很有国内特色的问题：

看起来它回答的还算不错，至少我想如果它来糊弄那些老外，应该会比我做的更好些。

但如果扪心自问，单从技术上来讲。以上这些事情，一定是有其他方案能解决的。

所以从某种程度上来看，这更像是一场截胡的商业案例：

应用市场

全世界的互联网人都知道应用市场是非常有价值的事情，可以说操作系统最值钱的部分就在于他们构建了自己的应用市场。

只要应用在这里注册发行，雁过拔毛，这家公司就是互联网世界里的统治阶级，规则的制定者。

反之则需要受制于人，APP 做的再大，也只是应用市场里的一个应用，做的好与坏还得让应用商店的评判。

另外，不得不承认的是，一个庞大如苹果谷歌这样的公司，他们的应用商店对于普通国内开发者来说，确实是有门槛的。

在国内海量的 APP 需求来临之前，能否提供一个更低成本的解决方案，来消化这些公司的投资？

毕竟不是所有的小企业都需要 APP，其实他们大部分需求 Web 就可以解决，但是 Web 没牌面啊，做 Web 还得砸搜索的钱才有流量。(某度搜索又做成那样...)

那做操作系统？太不容易，那么多人都溺死在水里了，这水太深。

那有没有一种办法可以既能构建生态，又有 APP 的心智，还能给入驻企业提供流量？

于是，在 19 年夏天，深圳滨海大厦下的软件展业基地里，每天都在轮番播放着，做 XX小程序，拥抱下一个风口...

全新体验心智

小程序用起来挺方便的。

你有没有想过，这些美妙感觉的具体都来自哪些？以及这些真的是 Web 技术本身无法提供的吗？

1. 靠谱感，每个小程序都有约束和规范，于是你可以将他们整整齐齐的陈放在你的列表里，仿佛你已经拥有了这一个个精心雕琢的作品，相对于一条条记不住的网页地址和鱼龙混杂的网页内容来说，这让你觉得小程序更加的有分量和靠谱。


2. 安全感，沉浸式的头部，没有一闪而过的加载条，这一切无打扰的设计，都让你觉得这是一个在你本地的 APP，而不是随时可能丢失网页。你不会因为网速白屏而感到焦虑，尽管网络差的时候，你的 KFC 依旧下不了单 😂


3. 沉浸感，我不知道是否打开网页时顶部黑黑的状态栏是故意留下的，还是不小心的... 这些限制都让用户非常强烈的意识到这是一个网页而不是 APP，而小程序中虽然上面也存在一个空间的空白，但是却可以被更加沉浸的主题色和氛围图替代。网页这个需求做不了？我不信。

H5	小程序

4. 顺滑感，得益于 Native 的容器实现，小程序在所有的视图切换时，都可以表现出于原生应用一样的顺滑感。其实这个问题才是在很多 Hybrid 应用中，主要想借助客户端来处理和解决的问题。类似容器预开、容器切换等技术是可以解决相关问题的，只是还没有一个标准。

我这里没有提性能，说实话我不认为性能在小程序中是有优势的（Native 调用除外，如地图等，不是一个讨论范畴）。作为普通用户，我们感受到的只是离线加载下带来的顺滑而已。

而上述提到的许多优势，这对于一个高品质的 Web 应用来说是可以做得到的，但注意这里是高品质的 Web 应用。而这种“高品质”在小程序这里，只是入驻门槛而已。

心智，这个词，听起来很黑话，但却很恰当。当小程序通过长期这样的筛选，所沉淀出来一批这样品质的应用时。就会让每个用户即便在还没打开一个新的小程序之前，也有不错体验的心理预期。这就是心智，一种感觉跟 Web 不一样，跟 APP 有点像的心智。

打造心智，这件事情好像就是国内互联网企业最擅长做的事情，总是能从一些细微的差别中开辟一条独立的领域，然后不断强化灌输本来就不大的差异，等流量起来再去捞钱变现。

我总是感觉现在的互利网充斥着如何赚钱的想法，好像永远赚不够。“赚钱”这个事情，在这些公司眼里就是圈人圈地抢资源，看看谁先占得先机，别人有的我也得有，这好像是最重要的事情。

很少有企业在思考如何创造些没有的市场，创造些真正对技术发展有贡献，对社会发展有推动作用的事情。所以在国内互联网圈也充斥着一种奇怪的价值观，有技术的不一定比赚过钱的受待见。

管你是 PHP 还是 GO，管你是在做游戏还是直播带货，只要赚到钱就是高人。并且端的是理所应当、理直气壮，有些老板甚至把拍摄满屋子的程序员为自己打工作为一种乐趣。什么情怀、什么优雅、什么愿景，人生就俩字：搞钱。

不是故意高雅，赚钱这件事情本身不寒碜，只是在已经赚到盆满钵满、一家独大的时候还在只是想着赚更多的钱，好像赚钱的目的就是为了赚钱一样，这就有点不合适。企业到一定程度是要有社会责任的，龙头企业每一个决定和举措，都有会影响接下来的几年里这个行业的价值观走向。

当然也不是完全没有好格局的企业，我非常珍惜每一个值得尊重的中国企业，来自一个蔚来车主。

小程序在商业上固然是成功的，但吃的红利可以说还是来自 网页 到 应用 的心智变革。将本来流向 APP 的红利，截在了小程序生态里。

但对于技术生态的发展却是带来了无数条新的岔路，小程序的玩法就决定了它必须生长在某个巨型应用里面，不论是用户数据获取、还是 API 的调用，其实都是取决于应用容器的标准规范。

不同公司和应用之间则必然会产生差异，并且这种差异是墒增式的差异，只会随着时间的推移越变越大。如果每个企业都只关注到自己业务的增长，无外部约束的话，企业必然会根据自己的业务发展和政策需要，选择成本较低的调整 API，甚至会故意制造一些壁垒来增加这种差异。

小程序，应该是 浏览器 与 操作系统 的融合，这本应该是推动这两项技术操刀解决的事情。

微前端

qiankun、wujie、single-spa 是近两年火遍前端的技术方案，同样一个问题：我们为什么需要微前端？

我不确定是否每个在使用这项技术的前端都想清楚了这个问题，但至少在我面试过的候选人中，我很少遇到对自己项目中已经在使用的微前端，有很深的思考和理解的人。

先说下我的看法：

1. 微前端，重在解决项目管理而不在用户体验。


2. 微前端，解决不了该优化和需要规范的问题。


3. 微前端，在挽救没想清楚 MPA 的 SPA 项目。

没有万能银弹

银色子弹（英文：Silver Bullet），或者称“银弹”“银质子弹”，指由纯银质或镀银的子弹。在欧洲民间传说及19世纪以来哥特小说风潮的影响下，银色子弹往往被描绘成具有驱魔功效的武器，是针对狼人、吸血鬼等超自然怪物的特效武器。后来也被比喻为具有极端有效性的解决方法，作为杀手锏、最强杀招、王牌等的代称。

所有技术的发展都是建立在前一项技术的基础之上，但技术依赖的选择过程中一定需要保留第一性原理的意识。

当 React、Vue 兴起，当 打包技术(Webpack) 兴起，当 网页应用(SPA) 兴起，这些杰出的技术突破都在不同场景和领域中给行业提供了新的思路、新的方案。

不知从何时开始，前端除了 div 竟说不出其他的标签(还有说 View 的)，项目中再也不会考虑给一个通用的 class 解决通用样式问题。

不知从何时开始，有没有权限需要等到 API 请求过后才知道，没有权限的话再把页面跳转过去申请。

不知从何时开始，大家的页面都放在了一个项目里，两个这样的巨石应用融合竟然变成了一件困难的事。

上面这些不合理的现状，都是在不同的场景下，不思考适不适合，单一信奉 “一招吃遍天” 下演化出的问题。

B 端应用，是否应该使用 SPA？ 这其实是一个需要思考的问题。

微前端从某种程度上来讲，是认准 SPA 了必须是互联网下一代应用标准的产物，好像有了 SPA 以后，MPA 就变得一文不值。甭管页面是移动端的还是PC的；甭管页面是面对 C 端的还是 B 端的；甭管一个系统是有 20 个页面还是 200 个页面，一律行这套逻辑。

SPA 不是万能银弹，React 不是万能银弹，Tailwind 不是万能银弹。在新技术出现的时候，保持热情也要保持克制。

ps. 我也十分痛恨 React 带来的这种垄断式的生态，一个 React 组件将 HTML 和 Style 都吃进去，让你即使在做一个移动端的纯展示页面时，也需要背上这些称重的负担。

质疑 “墨守成规”，打开视野，深度把玩，理性消费。

分而治之

分治法，一个很基本的工程思维。

在我看来在一个正常商业迭代项目中的主要维护者，最好不要超过 3 个人，注意是主要维护者(Maintainer) 。

你应该让每个项目都有清晰的责任人，而不是某行代码，某个模块。责任人的理解是有归属感，有边界感的那种，不是口头意义上的责任人。(一些公司喜欢搞这种虚头巴脑的事情，什么连坐…)

我想大部分想引入微前端的需求都是类似 如何更好的划分项目边界，同时保留更好的团队协同。

比如 导航菜单 应该是独立收口独立管理的，并且当其更新时，应该同时应用于所有页面中。类似的还有 环境变量、时区、主题、监控及埋点。微前端将这些归纳在主应用中。

而具体的页面内容，则由对应的业务进行开发子应用，最后想办法将路由关系注册进主应用即可。

当然这样纯前端的应用切换，还会出现不同应用之间的全局变量差异、样式污染等问题，需要提供完善的沙箱容器、隔离环境、应用之间通信等一系列问题，这里不展开。

当微前端做到这一部分的时候，我不禁在想，这好像是在用 JavaScript 实现一个浏览器的运行容器。这种本应该浏览器本身该做的事情，难道 JS 可以做的更好？

只是做到更好的项目拆分，组织协同的话，引入后端服务，由后端管控路由表和页面规则，将页面直接做成 MPA，这个方案或许并不比引入微前端成本高多少。

体验差异

从 SPA 再回 MPA，说了半天不又回去了么。

所以不防想想：在 B端 业务中使用 SPA 的优势在哪里？

流畅的用户体验：

这个话题其实涵盖范围很广，对于 SPA 能带来的 “流畅体验”，对于大多数情况下是指：导航菜单不变，内容变化 发生变化，页面切换中间不出现白屏。

但要做到这个点，其实对于 MPA 其实并没有那么困难，你只需要保证你的 FCP 在 500ms 以内就行。

以上的页面切换全部都是 MPA 的多页面切换，我们只是简单做了导航菜单的 拆分 和 SWR，并没有什么特殊的 preload、prefetch 处理，就得到了这样的效果。

因为浏览器本身在页面切换时会在 unload 之前先 hold 当前页面的视图不变，发起一下一个 document 的请求，当页面的视图渲染做到足够快和界面结构稳定就可以得到这样的效果。

这项浏览器的优化手段我找了很久，想找一篇关于它的博文介绍，但确实没找到相关内容，所以 500ms 也是我的一个大致测算，如果你知道相关的内容，可以在评论区补充，不胜感激。

所以从这个角度来看，浏览器本身就在尽最大的努力做这些优化，并且他们的优化会更底层、更有效的。

离线访问 (PWA)

SPA 确实会有更好的 PWA 组织能力，一个完整的 SPA 应用甚至可以只针对编译层做改动就可以支持 PWA 能力。

但如果看微前端下的 SPA 应用，需要支持 PWA 那就同样需要分析各子应用之间的元数据，定制 Service Worker。这种组织关系和定制 SW，对于元数据对于数据是来自前端还是后端，并不在意。

也就是说微前端模式下的 PWA，同样的投入成本，把页面都管理在后端服务中的 MPA 应用也是可以做到相同效果的。

项目协同、代码复用

有人说 SPA 项目下，项目中的组件、代码片段是可以相互之间复用的，在 MPA 下就相对麻烦。

这其实涉及到项目划分的领域，还是要看具体的需求也业务复杂度来定。如果说整个系统就是二三十个页面，这做成 SPA 使用前端接管路由高效简单，无可厚非。

但如果你本身在面对的是一个服务于复杂业务的 B 端系统，比如类似 阿里云、教务系统、ERP 系统或者一些大型内部系统，这种往往需要多团队合作开发。这种时候就需要跟完善的项目划分、组织协同和系统整合的方案。

这个时候 SPA 所体现出的优势在这样的诉求下就会相对较弱，在同等投入的情况下 MPA 的方案反而会有更少的执行成本。

也不是所有项目一开始就会想的那么清楚，或许一开始的时候就是个简单的 SPA 项目，但是随着项目的不断迭代，才变成了一个个复杂的巨石应用，现在如果再拆出来也会有许多迁移成本。引入微前端，则可以...

这大概是许多微前端项目启动的背景介绍，我想说的是：对于屎山，我从来不信奉“四两拨千斤”。

如果没有想好当下的核心问题，就引入新的“银弹”解决问题，只会是屎山雕花。

项目协同，抽象和复用这些本身不是微前端该解决的问题，这是综合因素影响下的历史背景问题。也是需要一个个资深工程师来把控和解决的核心问题，就是需要面对不同的场景给出不同的治理方案。

这个道理跟防沙治沙一样，哪有那么多一蹴而就、立竿见影的好事。

模块加载

模块加载这件事情，从玉伯大佬的成名作 sea.js 开始就是一个非常值得探讨的问题。在当时 jQuery 的时代里，这是一个绝对超前的项目，我也在实际业务中体会过在无编译的环境下 sea.js 的便捷。

实际上，不论是微前端、低代码、会场搭建等热门话题离不开这项技术基础。

import * from * 我们每天都在用，但最终的产物往往是一个自运行的 JS Bundle，这来自于 Webpack、Vite 等编译技术的发展。让我们可以更好的组织项目结构，以构建更复杂的前端应用。

模块的概念用久了，就会自然而然的在遇到浏览器环境中，遇到动态模块加载的需求时，想到这种类似模块加载的能力。

比如在遇到会场千奇百怪的个性化营销需求时，能否将模块的 Props 开放出来，给到非技术人员，以更加灵活的方式让他们去做自由组合。

比如在低代码平台中，让开发者自定义扩展组件，动态的将开发好的组件注册进低代码平台中，以支持更加个性的需求。

在万物皆组件的思想影响下，把一整个完整页面都看做一个组件也不是不可以。于是在一些团队中，甚至提倡所有页面都可以搭建、搭建不了的就做一个大的页面组件。这样及可以减少维护运行时的成本，又可以统一管控和优化，岂不美哉。

当这样大一统的“天才方案”逐渐发展成为标准后，也一定会出现一些特殊场景无法使用，但没关系，这些天才设计者肯定会提供一种更加天才的扩展方案出来。比如插件，比如扩展，比如 IF ELSE。再后来，就会有性能优化了，而优化的 追赶对象 就是用原来那种简单直出的方案。

有没有发现，这好像是在轮回式的做着自己出的数学题，一道接一道，仿佛将 1 + 1的结论重新演化了一遍。

题外话，我曾经自己实现过一套通过 JSON Schema 描述 React 结构的 “库” ，用于一个低代码核心层的渲染。在我的实现过程中，我越发觉得我在做一件把 JSX 翻译成 JS 的事情，但 JSX 或者 HTML 本身不就是一种 DSL 么。为什么一定要把它翻译成 JSON 来传输呢？或者说这样的封装其本身有意义么？这不就是在做 PHP、ASP 直接返回带有数据的 HTML Ajax 一样的事情么。

传统的浏览器运行环境下要实现一个模块加载器，无非是在全局挂载一个注册器，通过 Script 插入一段新的 JS，该 JS 通过特殊的头尾协议，将运行时的代码声明成一个函数，注册进事先挂载好的注册器。

但实际的实现场景往往要比这复杂的多，也有一些问题是这种非原生方式无法攻克的问题。比如全局注册器的命名冲突；同模块不同版本的加载冲突；并发加载下的时序问题；多次模块加载的缓存问题 等等等等等...

到最后发现，这些事情好像又是在用 JS 做浏览器该做的事情。然而浏览器果然就做了，<script type="module"></script>，Vite 就主要采用这种模式实现了它 1 年之内让各大知名项目切换到 Vite 的壮举。

“但我们用不了，有兼容性问题。”

哇哦，当我看着大家随意写出的 display: grid 样式定义，不禁再次感叹人们对未知的恐惧。

import.meta 的兼容性是另外一个版本，是需要 iOS12 以上，详情参考：caniuse.com/?search=imp…

试想一下，现在的低代码、会场搭建等等各类场景的模块加载部分，如果都直接采用 ESM 的形式处理，这对于整个前端生态和开发体验来说会有多么大的提升。

模块加载，时至今日，本来就已经不再需要 loader。 正如 seajs 中写的：前端模块化开发那点历史

历史不是过去，历史正在上演。随着 W3C 等规范、以及浏览器的飞速发展，前端的模块化开发会逐步成为基础设施。一切终究都会成为历史，未来会更好。

结语

文章的结尾，我想感叹另外一件事，国人为什么一定要有自己的操作系统？为什么一定需要参与到一些规范的制定中？

因为我们的智慧需要有开花的土壤。如果没有自己掌握核心技术，就是只能在问题出现的时候用另类的方式来解决。最后在一番折腾后，发现更底层的技术只要稍稍一改就可以实现的更好。这就像三体中提到的 “智子” 一样，不断在影响着我们前进的动力和方向。

不论是小程序、微前端还是模块加载。试想一下，如果我们有自己的互联网底蕴，能决定或者影响操作系统和浏览器的底层能力。这些 “怪啖” 要么不会出现，要么就是人类的科技创新。

希望未来技术人不用再追逐 Write Once, Run Everywhere 的事情...

前言

前几天突然接到一个技术需求，想要做一个功能。前端有一个表单，在页面上可以直接写 java 代码，写完后就能保存到数据库，并且这个代码实时生效。这岂非是不用发版就可以随时改代码了吗？而且有bug也不怕，随时改。

适用场景：代码逻辑需要经常变动的业务。

核心思想

• 页面改动 java 代码字符串


• java 代码字符串编译成 class


• 动态加载到 jvm

实现重点

JDK 提供了一个工具包 javax.tools 让使用者可以用简易的 API 进行编译。

这些工具包的使用步骤：

1. 获取一个 javax.tools.JavaCompiler 实例。


2. 基于 Java 文件对象初始化一个编译任务 CompilationTask 实例。


3. 因为JVM 里面的 Class 是基于 ClassLoader 隔离的，所以编译成功之后可以通过自定义的类加载器加载对应的类实例


4. 使用反射 API 进行实例化和后续的调用。

1. 代码编译

这一步需要将 java 文件编译成 class，其实平常的开发过程中，我们的代码编译都是由 IDEA、Maven 等工具完成。

内置的 SimpleJavaFileObject 是面向源码文件的，而我们的是源码字符串，所以需要实现 JavaFileObject 接口自定义一个 JavaFileObject。

public class CharSequenceJavaFileObject extends SimpleJavaFileObject {



    public static final String CLASS_EXTENSION = ".class";



    public static final String JAVA_EXTENSION = ".java";



    private static URI fromClassName(String className) {

        try {

            return new URI(className);

        } catch (URISyntaxException e) {

            throw new IllegalArgumentException(className, e);

        }

    }



    private ByteArrayOutputStream byteCode;

    private final CharSequence sourceCode;



    public CharSequenceJavaFileObject(String className, CharSequence sourceCode) {

        super(fromClassName(className + JAVA_EXTENSION), Kind.SOURCE);

        this.sourceCode = sourceCode;

    }



    public CharSequenceJavaFileObject(String fullClassName, Kind kind) {

        super(fromClassName(fullClassName), kind);

        this.sourceCode = null;

    }



    public CharSequenceJavaFileObject(URI uri, Kind kind) {

        super(uri, kind);

        this.sourceCode = null;

    }



    @Override

    public CharSequence getCharContent(boolean ignoreEncodingErrors) throws IOException {

        return sourceCode;

    }



    @Override

    public InputStream openInputStream() {

        return new ByteArrayInputStream(getByteCode());

    }



    // 注意这个方法是编译结果回调的OutputStream，回调成功后就能通过下面的getByteCode()方法获取目标类编译后的字节码字节数组

    @Override

    public OutputStream openOutputStream() {

        return byteCode = new ByteArrayOutputStream();

    }



    public byte[] getByteCode() {

        return byteCode.toByteArray();

    }

}

如果编译成功之后，直接通过 CharSequenceJavaFileObject#getByteCode()方法即可获取目标类编译后的字节码对应的字节数组（二进制内容）

2. 实现 ClassLoader

因为JVM 里面的 Class 是基于 ClassLoader 隔离的，所以编译成功之后得通过自定义的类加载器加载对应的类实例，否则是加载不了的，因为同一个类只会加载一次。

主要关注 findClass 方法

public class JdkDynamicCompileClassLoader extends ClassLoader {



    public static final String CLASS_EXTENSION = ".class";



    private final static Map<String, JavaFileObject> javaFileObjectMap = new ConcurrentHashMap<>();



    public JdkDynamicCompileClassLoader(ClassLoader parentClassLoader) {

        super(parentClassLoader);

    }





    @Override

    protected Class<?> findClass(String name) throws ClassNotFoundException {

        JavaFileObject javaFileObject = javaFileObjectMap.get(name);

        if (null != javaFileObject) {

            CharSequenceJavaFileObject charSequenceJavaFileObject = (CharSequenceJavaFileObject) javaFileObject;

            byte[] byteCode = charSequenceJavaFileObject.getByteCode();

            return defineClass(name, byteCode, 0, byteCode.length);

        }

        return super.findClass(name);

    }



    @Override

    public InputStream getResourceAsStream(String name) {

        if (name.endsWith(CLASS_EXTENSION)) {

            String qualifiedClassName = name.substring(0, name.length() - CLASS_EXTENSION.length()).replace('/', '.');

            CharSequenceJavaFileObject javaFileObject = (CharSequenceJavaFileObject) javaFileObjectMap.get(qualifiedClassName);

            if (null != javaFileObject && null != javaFileObject.getByteCode()) {

                return new ByteArrayInputStream(javaFileObject.getByteCode());

            }

        }

        return super.getResourceAsStream(name);

    }



    /**

     * 暂时存放编译的源文件对象,key为全类名的别名（非URI模式）,如club.throwable.compile.HelloService

     */

    void addJavaFileObject(String qualifiedClassName, JavaFileObject javaFileObject) {

        javaFileObjectMap.put(qualifiedClassName, javaFileObject);

    }



    Collection<JavaFileObject> listJavaFileObject() {

        return Collections.unmodifiableCollection(javaFileObjectMap.values());

    }

}

3. 封装了上面的 ClassLoader 和 JavaFileObject

public class JdkDynamicCompileJavaFileManager extends ForwardingJavaFileManager<JavaFileManager> {



    private final JdkDynamicCompileClassLoader classLoader;

    private final Map<URI, JavaFileObject> javaFileObjectMap = new ConcurrentHashMap<>();



    public JdkDynamicCompileJavaFileManager(JavaFileManager fileManager, JdkDynamicCompileClassLoader classLoader) {

        super(fileManager);

        this.classLoader = classLoader;

    }



    private static URI fromLocation(Location location, String packageName, String relativeName) {

        try {

            return new URI(location.getName() + '/' + packageName + '/' + relativeName);

        } catch (URISyntaxException e) {

            throw new IllegalArgumentException(e);

        }

    }



    @Override

    public FileObject getFileForInput(Location location, String packageName, String relativeName) throws IOException {

        JavaFileObject javaFileObject = javaFileObjectMap.get(fromLocation(location, packageName, relativeName));

        if (null != javaFileObject) {

            return javaFileObject;

        }

        return super.getFileForInput(location, packageName, relativeName);

    }



    /**

     * 这里是编译器返回的同(源)Java文件对象,替换为CharSequenceJavaFileObject实现

     */

    @Override

    public JavaFileObject getJavaFileForOutput(Location location, String className, JavaFileObject.Kind kind, FileObject sibling) throws IOException {

        JavaFileObject javaFileObject = new CharSequenceJavaFileObject(className, kind);

        classLoader.addJavaFileObject(className, javaFileObject);

        return javaFileObject;

    }



    /**

     * 这里覆盖原来的类加载器

     */

    @Override

    public ClassLoader getClassLoader(Location location) {

        return classLoader;

    }



    @Override

    public String inferBinaryName(Location location, JavaFileObject file) {

        if (file instanceof CharSequenceJavaFileObject) {

            return file.getName();

        }

        return super.inferBinaryName(location, file);

    }



    @Override

    public Iterable<JavaFileObject> list(Location location, String packageName, Set<JavaFileObject.Kind> kinds, boolean recurse) throws IOException {

        Iterable<JavaFileObject> superResult = super.list(location, packageName, kinds, recurse);

        List<JavaFileObject> result = new ArrayList<>();

        // 这里要区分编译的Location以及编译的Kind

        if (location == StandardLocation.CLASS_PATH && kinds.contains(JavaFileObject.Kind.CLASS)) {

            // .class文件以及classPath下

            for (JavaFileObject file : javaFileObjectMap.values()) {

                if (file.getKind() == JavaFileObject.Kind.CLASS && file.getName().startsWith(packageName)) {

                    result.add(file);

                }

            }

            // 这里需要额外添加类加载器加载的所有Java文件对象

            result.addAll(classLoader.listJavaFileObject());

        } else if (location == StandardLocation.SOURCE_PATH && kinds.contains(JavaFileObject.Kind.SOURCE)) {

            // .java文件以及编译路径下

            for (JavaFileObject file : javaFileObjectMap.values()) {

                if (file.getKind() == JavaFileObject.Kind.SOURCE && file.getName().startsWith(packageName)) {

                    result.add(file);

                }

            }

        }

        for (JavaFileObject javaFileObject : superResult) {

            result.add(javaFileObject);

        }

        return result;

    }



    /**

     * 自定义方法,用于添加和缓存待编译的源文件对象

     */

    public void addJavaFileObject(Location location, String packageName, String relativeName, JavaFileObject javaFileObject) {

        javaFileObjectMap.put(fromLocation(location, packageName, relativeName), javaFileObject);

    }

}

4. 使用 JavaCompiler 编译并反射生成实例对象

public final class JdkCompiler {



    static DiagnosticCollector<JavaFileObject> DIAGNOSTIC_COLLECTOR = new DiagnosticCollector<>();



    @SuppressWarnings("unchecked")

    public static <T> T compile(String packageName,

                                String className,

                                String sourceCode) throws Exception {

        // 获取系统编译器实例

        JavaCompiler compiler = ToolProvider.getSystemJavaCompiler();

        // 设置编译参数

        List<String> options = new ArrayList<>();

        options.add("-source");

        options.add("1.8");

        options.add("-target");

        options.add("1.8");

        // 获取标准的Java文件管理器实例

        StandardJavaFileManager manager = compiler.getStandardFileManager(DIAGNOSTIC_COLLECTOR, null, null);

        // 初始化自定义类加载器

        JdkDynamicCompileClassLoader classLoader = new JdkDynamicCompileClassLoader(Thread.currentThread().getContextClassLoader());



        // 初始化自定义Java文件管理器实例

        JdkDynamicCompileJavaFileManager fileManager = new JdkDynamicCompileJavaFileManager(manager, classLoader);

        String qualifiedName = packageName + "." + className;

        // 构建Java源文件实例

        CharSequenceJavaFileObject javaFileObject = new CharSequenceJavaFileObject(className, sourceCode);

        // 添加Java源文件实例到自定义Java文件管理器实例中

        fileManager.addJavaFileObject(

                StandardLocation.SOURCE_PATH,

                packageName,

                className + CharSequenceJavaFileObject.JAVA_EXTENSION,

                javaFileObject

        );

        // 初始化一个编译任务实例

        JavaCompiler.CompilationTask compilationTask = compiler.getTask(

                null,

                fileManager,

                DIAGNOSTIC_COLLECTOR,

                options,

                null,

                Collections.singletonList(javaFileObject)

        );

        Boolean result = compilationTask.call();

        System.out.println(String.format("编译[%s]结果:%s", qualifiedName, result));

        Class<?> klass = classLoader.loadClass(qualifiedName);

        return (T) klass.getDeclaredConstructor().newInstance();

    }

}

完成上面工具的搭建之后。我们可以接入数据库的操作了。数据库层面省略，只展示 service 层

service 层：

public class JavaService {



    public Object saveAndGetObject(String packageName,String className,String javaContent) throws Exception {

        Object object = JdkCompiler.compile(packageName, className, javaContent);

        return object;

    }



}

测试：

public class TestService {



    public static void main(String[] args) throws Exception {

        test();

    }



    static String content="package cn.mmc;\n" +

            "\n" +

            "public class SayHello {\n" +

            "    \n" +

            "    public void say(){\n" +

            "        System.out.println(\"11111111111\");\n" +

            "    }\n" +

            "}";



    static String content2="package cn.mmc;\n" +

            "\n" +

            "public class SayHello {\n" +

            "    \n" +

            "    public void say(){\n" +

            "        System.out.println(\"22222222222222\");\n" +

            "    }\n" +

            "}";



    public static void test() throws Exception {

        JavaService javaService = new JavaService();

        Object sayHello = javaService.saveAndGetObject("cn.mmc", "SayHello", content);

        sayHello.getClass().getMethod("say").invoke(sayHello);



        Object sayHello2 = javaService.saveAndGetObject("cn.mmc", "SayHello", content2);

        sayHello2.getClass().getMethod("say").invoke(sayHello2);

    }

}

我们在启动应用时，更换了代码文件内存，然后直接反射调用对象的方法。执行结果：

可以看到，新的代码已经生效！！！

注意，直接开放修改代码虽然方便，但是一定要做好安全防护

作者：女友在高考
来源：juejin.cn/post/7134155429147312141

说起来加班，别管什么80后，90后，00后，内心肯定都是非常抵制的，朝九晚六，平衡工作生活，想必是大多数人的梦想。

为什么突然想写一篇这样的文章，这两天确实有几件事情触动了我。

1.同事猝死

曾任职的一家公司，一名同事于4月1日猝死。以前总是看网上那些猝死的案例，感慨加班猝死，不曾想这件事生生的发生在自己身边，这名同事是一名销售，具体猝死缘由（前）公司并没有多谈，但我想一定是和熬夜加班息息相关。

这家公司的加班文化，我深有体会，去年11月初，各个项目组长在工作群先后通知强制要求加班，并不给你机会以及理由请假，反正加班给出的理由就是冲刺冲刺。

当时有同事用dingding和其他同事讨论加班的各种不情愿，聊天记录居然被公司扒出来并认为其散播负面言论，邮件全体对其进行警告，我大为震惊，当然这名同事后来也进入了裁员名单。

警告信发出之后越来越多的同事周末有一天不能来公司办公，其实他们在家根本也没闲着，这时候大老板急了，又发了这样的一封邮件。

（我看到这封邮件的时候，心里的想法就是作为公司的领头人，这格局不是一般的小,仅代表个人意见）

显然这封邮件是给那些不坚持10 10 7的人看的，对于那些不加班的人等待着的自然是优化。就这样还是有些同事继续坚持着10 10 7，在元旦之前大家终于把所有项目全部成功交付，本以为等待着大家的是老板分享喜悦的成果，结果等来的却是3/2的裁员，后来大家想明白了，就是催促着大家感觉把项目做完，裁掉你们。其中有位同事，前一天通宵加完班，第二天就被裁了，那时候整个办公室一片哗然。

2.持续加班住进icu

朋友的同事，据说刚刚升为一名奶爸，每天十点前不曾下班，大家问他为何这么拼，给出的理由是我刚刚生了娃，买了房子，工作一点不敢懈怠，怕惹得领导不高兴随时让我滚蛋。

是啊,谁想加班，谁愿意加班天天守着个破电脑，可是生活让我们不得不加班，不得不向一些不合理的规定屈服。

3.中国电科龙哥

这两天龙哥火遍了各个社交网络，龙哥痛批强制加班员工事情为什么能火，为什么传播速度这么快，我猜测是龙哥一人之言说出了很多打工人的心声，引起网友一片共鸣。

不过央视网的这文字怕是惹得大家一顿p喽。

职场人偶尔加下班，没有任何问题，毕竟工作中肯定会遇到一些紧急事件需要及时处理，作为公司员工，加班赶下进度也是应该的，可是长期被自愿加班就不合时宜了，毕竟身体是革命的本钱，一旦因为长期加班，出现问题就得不偿失了，所以加班文化不可取，尤其是超