国产精品电影_久久视频免费_欧美日韩国产激情_成年人视频免费在线播放_日本久久亚洲电影_久久都是精品_66av99_九色精品美女在线_蜜臀a∨国产成人精品_冲田杏梨av在线_欧美精品在线一区二区三区_麻豆mv在线看

如何正確地對接口進行防御式編程

作者:寫bug的高哈哈
開發 前端
假設我們有這樣一個需求:設計一個訂單商城系統。它會涉及到商品創建、商品發布、用戶購物車管理、用戶下單、購買、取消訂單等非常多的用例。以商戶端創建商品這個接口設計為例,我們看下如何運用防御式編程來處理。

我們平時做業務開發工作,本質上是處理數據與存儲、邏輯的關系。而我們程序的數據,絕大部分來自外部接口輸入,對接口輸入的檢查必須要做。否則就會導致應用和各個微服務的數據被寫臟,出現各種數據不一致的問題,進而引發運行時邏輯出錯和程序 crash 等問題。這時防御式編程的重要性就體現出來了,而大家也清楚這一點。

但是在具體的工作中,我發現很多同學沒有做對接口入參的校驗,完全信任外部系統的入參;有部分同學做了校驗,但是不全面。那到底該怎么正確、優雅、全面地對接口入參進行校驗,做好防御式編程呢?這就是我們接下來要討論的問題。

假設我們有這樣一個需求:設計一個訂單商城系統。它會涉及到商品創建、商品發布、用戶購物車管理、用戶下單、購買、取消訂單等非常多的用例。以商戶端創建商品這個接口設計為例,我們看下如何運用防御式編程來處理。

class CreateProductRequestData {
privateProductproduct;
}
classProduct {
privateStoreIdstoreId;
privateStringname;
privateStringimageId;
privateTypetype;
privateList<SKU> skus;
  ...
}

針對前端提交的創建商品的數據,我們必須對數據做正確、全面的校驗,防止客戶端寫 Bug 或者黑客攻擊導致系統應用數據被寫臟。

在這個 case 中,我們要根據產品需求校驗參數,在和前端開發同學定義好接口文檔后,也同樣要按照定義去校驗參數。storeId 必傳、商品 name 必傳、type 必須為枚舉中的值、以及逐個校驗 skus 中的 sku。

if (storeId == null) {
  throw new ApiException("storeId 不允許為 null");
}
if (Strings.isNullOrEmpty(name)) {
  throw new ApiException("name 不允許為 null");
}
if (type == null) {
  throw new ApiException("產品類型 type 不允許為 null");
}
if (CollectionUtils.isEmpty(skus)) {
  throw new ApiException("skus 不允許為空");
}
// 校驗skus

我們來看上面這段校驗代碼。其實在工作中,我們通常不會這么寫,而是抽出單獨的工具類,對前端接口或者微服務跨系統之間的調用參數進行斷言校驗。如果參數內容和接口定義不符或者和產品需求不一致,就拋出 Exception,由自定義的全局異常處理器捕獲 Exception。在我們的例子里是 ApiException,然后生成 response 返回前端。ApiException 代表客戶端寫出了 Bug,或者有黑客對接口進行攻擊,亂傳入參數引發的異常。

這段代碼片段是我們抽出的通用工具類,可以用來校驗前端參數和微服務跨系統調用的入參:

public class Asserts {
    //校驗表達式,可以用來檢查客戶端接口數據的邏輯關聯性
    publicstaticvoidassertTrue(String description, boolean value) {
        if(!value) {
            thrownewApiException(description);
        }
    }
    //校驗字段不為空
    publicstaticvoidassertFieldNotEmpty(String field, String value)    {
        assertFieldNotEmpty(field, value, false /* trim */);
    }
    // 校驗字段不為空的重載方法
    publicstaticStringassertFieldNotEmpty(String field, String value, boolean trim) {
        booleanfieldNotEmpty = value != null;
        if(fieldNotEmpty) {
            if(trim) {
                value = value.trim();
            }
            if(Strings.isNullOrEmpty(value)) {
                fieldNotEmpty = false;
            }
        }
        if(!fieldNotEmpty) {
            thrownewApiException("字段" + field + "不應為空。");
        }
        returnvalue;
    }
    //校驗字段不為null
    publicstaticvoidassertFieldNotNull(String field, Object value) {
        if(value == null) {
            thrownewApiException(field + " 不應為 Null.");
        }
    }
    //... 其他校驗方法
}

這里需要提醒你一點,在防御式編程中,我們要盡可能地處理錯誤,而不是異常。這句話怎么理解呢?還是拿剛才的例子來說,假如不校驗 storeId,任由 null 值進入系統,那么在系統運行中,我們就必然要處理因為 storeId 為 null 而產生的 crash,例如 NullPointerException。現在我們在接口層校驗處理了這個錯誤(校驗 storeId 不為 null),那么就可以保證應用中的數據是安全的,是經過檢查的,沒有臟數據。其他字段的校驗也是一樣的作用,通過對外部數據進行校驗,做防御性保護,盡可能處理錯誤,我們的系統就會非常干凈,運行狀態也會非常健康。

你可能會問,那如果接口數量很多,該怎么設計,在什么地方校驗這些參數?針對這個問題,可以這么解決,我們定義一個 Validatable 通用接口,里面只有一個方法 validate(),它是一個通用校驗的鉤子方法。我們的各種 RequestData、各種 model(可以是 RequestVO) 實現這個接口,實現 validate 鉤子方法,做業務相關的參數檢查。

比如這段代碼片段,我們可以對之前的代碼做改造和重構,讓它們變得更加優雅。這樣每個 RequestData 只關心自己的校驗邏輯,做好自己的防御性保護就行了。

public interface Validatable {
  void validate();
}
public class ProductimplementsValidatable {
privateStoreIdstoreId;
privateStringname;
privateStringimageId;
privateTypetype;
privateList<SKU> skus;
  // product的其他屬性
  @Override
publicvoidvalidate() {
    Asserts.assertFieldNotNull("storeId", this.storeId);
    Asserts.assertFieldNotEmpty("name", this.name);
    Asserts.assertFieldNotNull("type", this.type);
    Asserts.assertTrue("skus 不允許為空",!CollectionUtils.isEmpty(skus));
    for(SKU sku : skus) {
      sku.validate();
    }
    // ...校驗product的其他字段
  }
}
publicclassSKUimplementsValidatable {
privateintordinal;
privateStringname;
  // ...sku的其他屬性
  @Override
publicvoidvalidate() {
    Asserts.assertFieldNotEmpty("name", this.name);
    // ...校驗sku的其他字段
  }
}
publicclassCreateProductRequestDataimplementsValidatable{
privateProductproduct;
  @Override
publicvoidvalidate() {
    Asserts.assertFieldNotNull("product", this.product);
    product.validate();
  }
}

這里有一個問題,這么多 RequestData,我們在開發中到底如何關聯具體的處理器呢?我在這里也分享一種解決方案。你可以定義與 RequestData 對應的 RequestHandler,然后通過泛型綁定 RequestData 和 ResponseData。通過一個特定的 handlerRepo 在容器啟動的時候就把這些 handler 全部組裝好。這樣,我們增加一個接口時只需要增加對應的 RequestData、ResponseData 和 handler,滿足了對擴展開放,對修改關閉。請求來的時候,根據請求路徑能知道具體的 handler,在這里可以回調 validate 鉤子完成校驗。你可以參考這段代碼:

@Service
public class CreateProductRequestHandlerextendsRequestHandler<CreateProductRequestData,CreateProductResponseData>{
  @Override
publicCreateProductResponseDataexecuteRequest(RequestContext,
  CreateProductRequestData req) {
    // ...
  }
}
@Service
publicclassHandlerRepo {
// 當web容器接收請求(請求url約定就是key)后,通過key拿到RequestEntry中的handler,根據requestClazz反序列化出對應的RequestData,再統一校驗,調用validate鉤子方法。validateRequestData可以做在RequestHandler抽象類中,讓具體開發接口的同學無需關心如何調用validate方法。此處設計不在本次課程中。
classRequestEntry {
    finalRequestHandlerhandler;
    finalClass<? extendsApiRequestData> requestClazz;
    finalClass<? extendsApiResponseData> responseClazz;
    // ...
  }
privatefinalMap<String, RequestEntry> map = Maps.newHashMap();
  @Autowired
publicvoidinitHandlers(RequestHandler<? extends ApiRequestData,
  ? extends ApiResponseData>[]) {
    // 把每一個RequestHandler解析成RequestEntry,key可以是包名加類名的分割,如
    /api/com/abc/xyx/createProduct
  }
}

在關于接口相關的防御式編程中,除了要校驗系統外部數據的格式和合法性之外,有的校驗還需要上下文的支持。

例如,在我們這一講的例子中,除了常規參數校驗,還需要校驗 storeId 的邏輯關系。這句話怎么理解?當商戶端在后臺登錄時,登錄態中可以拿到當前商家信息。接口提交上來的 storeId,必須是當前商家所屬的 Store,因為肯定不能創建其他商家的產品。這種校驗,其實很多同學都會忽略,但又是非常重要的。假如不校驗,有人繞過界面調用接口,傳入其他 storeId,就會引發服務器 Bug,造成應用數據被寫臟。這種錯誤校驗也屬于 ApiException,我們認為也是客戶端 Bug。

正確的校驗命令,你可以參考這段代碼:

public void createProduct(Product product) {
  Asserts.assertTrue("只能創建自己的商品:" + product.getStoreId(), product.getStoreId() == RequestContext().getSession().getStoreId());
  //... 產品信息入庫邏輯
}

當然了,在實際的工作中,還有很多情況是需要結合上下文來校驗前端參數的。比如刪除文章這個接口,在產品設計上,我們只能刪除自己的文章,如果客戶端提交上來的文章作者是其他用戶,你沒有經過校驗就做刪除,那就是不對的。在我的職業經歷中,無論是大型互聯網公司,還是創業公司,很多業務代碼都沒有這種防御處理,完全信任客戶端的入參,這種做法非常危險。所以,服務器對于這種在異常交互下提交上來的參數,必須做檢查。我們考慮得越全面,寫出來的代碼就越健壯,應用數據越安全。

我用一張思維導圖給你總結一下講的內容。對于接口的防御式編程處理方式呢,我們首先要進行契約檢查,也就是數據格式、定義是不是合法的,這是最基本的校驗要素。其次,還要檢查接口入參有沒有邏輯上的 Bug,這需要結合你當前的具體業務來判斷,因為接口本質上只是一個輸入輸出,不應該和具體的界面聯系起來。

圖片圖片

責任編輯:武曉燕 來源: 程序員技術充電站
接口防御式編程
相關推薦

2022-11-23 08:00:00

開發Regulator調試

2015-10-28 10:29:09

數據中心運輸硬驅

2011-05-13 09:01:33

2022-08-02 09:56:47

入口文件代碼

2025-02-18 09:00:00

JOINMySQL查詢

2020-08-19 14:22:09

程序員測試互聯網

2015-03-23 11:42:54

2022-09-16 14:13:50

人工智能樓宇自動化

2021-11-05 15:10:28

UbuntuLinuxJAVA_HOME

2024-04-02 11:38:31

模型訓練

2023-04-06 19:06:28

ChatGPT開發摔倒識別

2025-11-04 08:21:39

2015-02-12 09:53:50

云存儲中小企業IT建設

2016-03-01 17:48:32

WLAN控制器網絡管理

2016-11-23 13:46:08

Android

2010-02-02 14:11:14

Python 進行編程

2020-12-22 13:50:56

物聯網5G大數據

2020-06-01 11:01:28

智慧城市物聯網技術

2019-08-23 09:27:25

機器學習NLP誤差分析

2010-02-26 11:15:51

WCF接口方法
點贊
收藏

51CTO技術棧公眾號

五月天色婷婷综合| 欧美美乳在线| 色综合天天狠狠| 成人国产精品一级毛片视频| 99电影在线观看| 高清日韩av电影| 国产精品一在线观看| 欧美另类视频在线| 亚洲午夜在线电影| 东北一级毛片| 欧美精品高清视频| 一本色道久久| 91精品网站在线观看| 亚洲free性xxxx护士白浆| 亚洲精品在线二区| 婷婷激情在线| 色综合激情久久| 日韩视频一区二区三区四区| 国产精品男人的天堂| 色哟哟一区二区三区| 在线视频亚洲| www.亚洲免费| 国产精品毛片一区视频| 美女999久久久精品视频| 91影院在线观看| www黄色av| 亚洲精品久久嫩草网站秘色| 日韩欧美看国产| 黄色免费观看视频网站| 国产性色av一区二区| 欧美在线看片| 阿v天堂2017| 亚洲欧美成人一区二区在线电影| 亚洲三级国产| 亚洲女优视频| 91精品久久久久久久99蜜桃| 成人在线爆射| 国产欧美精品一区二区三区介绍 | 欧美日韩亚洲综合在线 欧美亚洲特黄一级 | 日韩视频在线播放| 极品尤物久久久av免费看| 黄页视频在线免费观看| 91精品在线观看入口| 欧美黑白配在线| 亚洲欧洲国产日韩精品| 91久久一区二区| 欧美伦理影院| 成人免费淫片95视频观看网站| 伊人av综合网| 国产麻豆午夜三级精品| 国产h片在线观看| 六十路精品视频| 亚洲精品美腿丝袜| 日本欧美高清| 人妻丰满熟妇av无码区app| 久久久91精品国产| 国产91精品精华液一区二区三区| 久久www人成免费看片中文| 99久久精品免费看国产一区二区三区| 亚洲天堂成人在线观看| 日韩www.| h视频在线观看免费| 亚洲电影网站| 精品中文视频在线| 久久综合中文字幕| 国产一区二区三区四区五区| 亚洲精品动漫| 国产精品久久亚洲7777| 国产女同互慰高潮91漫画| 国产精品原创| 日韩欧美精品一区二区三区经典| 久久久久一本一区二区青青蜜月| 天天影视网天天综合色在线播放| 乱馆动漫1~6集在线观看| 欧美激情视频三区| 亚洲成人av一区| 欧美aⅴ一区二区三区视频| 搜成人激情视频| 99热在线免费| 欧美日韩在线精品一区二区三区| 一区二区三区在线免费| 香蕉国产精品偷在线观看不卡| 中文在线最新版地址| 日韩三级电影网站| 国产69精品久久久久9| 5566中文字幕一区二区电影| 日韩中文字幕1| 国产美女情趣调教h一区二区| 99蜜桃臀久久久欧美精品网站| 日韩美女在线观看一区| 在线亚洲免费视频| 成人激情小说网站| 第九色区aⅴ天堂久久香| 偷拍视频一区二区三区| 三级毛片在线免费看| 国产a级一级片| 粉嫩av四季av绯色av第一区| 国产亚洲人成网站在线观看| 色综合欧美在线视频区| 99久久精品99国产精品| 男人的天堂成人在线| 国产一区二区亚洲| 999久久久精品一区二区| h片在线观看视频免费| 看欧美ab黄色大片视频免费 | 午夜视频在线观看精品中文| 福利网站在线观看| 黄色免费在线观看网站| 日日躁夜夜躁aaaabbbb| 成年女人18级毛片毛片免费| 国产模特精品视频久久久久| 黄色av网址在线播放| 影音先锋欧美资源| 欧美一区二区综合| 免费日韩av电影| 欧美黑人3p| 日韩欧美视频一区二区| 欧美重口乱码一区二区| 性欧美xxxx视频在线观看| 中文字幕日本欧美| 欧美成人合集magnet| 欧美日韩亚洲一区| a视频在线播放| 久久视频社区| 久久bbxx| 国产一区二区在线免费播放| 国产av熟女一区二区三区| 国产对白在线播放| 精品久久av| 在线观看污网站| 国产一区国产精品| 国产视频不卡| www.久久爱.cn| 开心色怡人综合网站| 亚洲女人毛片| 大片在线观看网站免费收看| 黄色一级片在线看| 国产96在线 | 亚洲| 亚洲少妇第一页| 四虎国产精品成人免费4hu| 国产又黄又猛又粗又爽的视频| 无码内射中文字幕岛国片| 在线观看成人网| 成年人免费在线播放| 亚洲激情在线观看视频| 1024在线视频| √天堂资源地址在线官网| av日韩国产| 欧美一性一交| 久久国产99| 久久这里都是精品| 欧美日韩一区二区不卡| 亚洲激情久久久| 国内精品久久久| 激情五月综合色婷婷一区二区| 日韩精品久久一区| 亚洲中文字幕无码不卡电影| 国产主播福利在线| 日韩一区二区三区在线免费观看| 日本在线中文字幕一区| 国产精品美女| 久久久久久久网| 3atv一区二区三区| 欧美一级淫片播放口| 2021国产视频| 国产视频网址在线| 国产欧美三级电影| 国内久久精品视频| 在线观看91精品国产入口| 99久久国产综合精品色伊| 欧美午夜精品免费| 试看120秒一区二区三区| 免费高清在线| 国产传媒视频在线观看| 欧美日韩中文字幕在线播放| 欧美成人高清电影在线| 91精品国产一区二区| 亚洲第一精品电影| 久久久黄色av| 国产一级精品aaaaa看| 老司机色在线视频| 成人免费视屏| 亚洲v.com| 伊人成人网在线看| 中日韩免费视频中文字幕| 日韩在线一二三区| 久久女同精品一区二区| 亚洲成人免费在线| 日韩欧美久久久| 国产精品丝袜久久久久久高清| 国产一区二区影视| 日韩综合一区二区三区| 激情久久一区二区| 日韩精品电影在线观看| 亚洲精品国产a久久久久久| 亚洲综合丝袜美腿| 久久久国产视频| 26uuu成人| 国产免费不卡| 亚洲免费观看高清完整版在线|