[跨模块依赖下Spring Boot JS...]的搜索结果

...cle查询超时问题：Spring Boot与Druid集成场景？ 1. 引子 我的困惑之旅 作为一个刚入行不久的Java开发工程师，我最近在负责一个基于Spring Boot的项目。这个项目需要与Oracle数据库交互，而我选用了Druid作为数据源管理工具。事情本来挺顺的，大家都觉得没啥问题，结果有一天，我们的系统突然蹦出个消息，说啥“查询超时”！就那么一下，气氛瞬间紧张了，感觉空气都凝固了似的。 当时我整个人都懵了——这到底是什么情况？是Oracle的问题吗？还是Spring Boot的锅？或者是我对Druid的理解还不够深入？带着这些疑问，我开始了一段探索之旅。今天，我想把这段经历分享给大家，希望能帮助那些和我一样遇到类似问题的朋友。 --- 2. 什么是“查询超时”？ 简单来说，“查询超时”就是你的SQL语句执行的时间超过了设定的最大允许时间，导致系统直接抛出异常。哎呀，这种情况在实际开发里真的挺常见的，特别是那种高并发的场景。你要是数据库连接池没配好，那问题就容易冒出来了，简直防不胜防！ 对于我来说，这个问题尤其令人头疼，因为我们的项目依赖于Oracle数据库，而Oracle本身就是一个功能强大的关系型数据库，但同时也有一些“坑”。比如说啊，它的默认查询超时时间可能设得有点短，要是咱们不改一下这个设置，那查询的时候就容易卡壳儿，最后连结果都拿不到。 --- 3. Spring Boot与Druid集成的基本配置 首先，让我们回顾一下如何在Spring Boot项目中集成Druid。这是一个非常基础的操作，但也是解决问题的第一步。 3.1 添加依赖 在pom.xml文件中添加Druid的相关依赖： xml com.alibaba druid-spring-boot-starter 1.2.8 3.2 配置数据源 接着，在application.yml文件中配置Druid的数据源信息： yaml spring: datasource: type: com.alibaba.druid.pool.DruidDataSource driver-class-name: oracle.jdbc.driver.OracleDriver url: jdbc:oracle:thin:@localhost:1521:orcl username: your_username password: your_password druid: initial-size: 5 max-active: 20 min-idle: 5 max-wait: 60000 time-between-eviction-runs-millis: 60000 min-evictable-idle-time-millis: 300000 validation-query: SELECT 1 FROM DUAL test-while-idle: true test-on-borrow: false test-on-return: false 这段配置看似简单，但实际上每一项参数都需要仔细斟酌。比如说啊，“max-wait”这个参数呢，就是说咱们能等连接连上的最长时间，单位是毫秒，相当于给它设了个“最长等待时间”；然后还有个“validation-query”，这个名字听起来就挺专业的，它的作用就是检查连接是不是还正常好用；最后那个“test-while-idle”，它就像是个“巡逻兵”，负责判断要不要在连接空闲的时候去检测一下这条连接还能不能用。 --- 4. 查询超时问题的初步排查 当我第一次遇到查询超时问题时，我的第一反应是：是不是Oracle那边的SQL语句太慢了？于是，我开始检查SQL语句的性能。 4.1 检查SQL语句 我用PL/SQL Developer连接到Oracle数据库，运行了一下报错的SQL语句。结果显示，这条SQL语句确实需要花费较长时间才能完成。但问题是，为什么Spring Boot会直接抛出超时异常呢？ 这时，我才意识到，可能是Druid的数据源配置有问题。于是我翻阅了Druid的官方文档，发现了一个关键点：Druid默认的查询超时时间为10秒。 4.2 修改Druid的查询超时时间 为了延长查询超时时间，我在application.yml中加入了以下配置： yaml spring: datasource: druid: query-timeout: 30000 这里的query-timeout参数就是用来设置查询超时时间的，单位是毫秒。经过这次调整后，我发现查询超时的问题暂时得到了缓解。 --- 5. 进一步优化 结合Oracle的设置 虽然Druid的配置解决了部分问题，但我仍然觉得不够完美。于是，我又转向了Oracle数据库本身的设置。 5.1 设置Oracle的查询超时 在Oracle中，可以通过设置statement_timeout参数来控制查询超时时间。这个参数可以在会话级别或全局级别进行设置。 例如，在Spring Boot项目中，我们可以通过JDBC连接字符串传递这个参数： yaml spring: datasource: url: jdbc:oracle:thin:@localhost:1521:orcl?oracle.net.CONNECT_TIMEOUT=30000&oracle.jdbc.ReadTimeout=30000 这里的CONNECT_TIMEOUT和ReadTimeout分别表示连接超时时间和读取超时时间。通过这种方式，我们可以进一步提高系统的容错能力。 --- 6. 我的感悟与总结 经过这次折腾，我对Spring Boot与Druid的集成有了更深的理解。说实话，好多技术难题没那么玄乎，就是看着吓人而已。只要你肯静下心来琢磨琢磨，肯定能想出个辙来！ 在这里，我也想给新手朋友们一些建议： 1. 多看官方文档 无论是Spring Boot还是Druid，它们的官方文档都非常详细，很多时候答案就在那里。 2. 学会调试 遇到问题时，不要急于求解，先用调试工具一步步分析问题所在。 3. 保持耐心 技术问题往往需要反复尝试，不要轻易放弃。 最后，我想说的是，编程之路充满了挑战，但也正因为如此才显得有趣。希望大家都能在这个过程中找到属于自己的乐趣！ --- 好了，这篇文章就到这里啦！如果你也有类似的经历或想法，欢迎在评论区跟我交流哦！

...d：深入理解Lua模块加载机制与问题排查 在使用Lua编程的过程中，我们经常需要通过require函数来加载和使用其他模块。不过，有时候我们也会碰上个挺常见的小状况，就是电脑屏幕上蹦出个提示：“找不到ModuleName这个模块啦！”这篇文章会像一个探险家一样，带你深入挖掘这个问题的根本所在，咱们不仅会通过一些实实在在的代码实例，抽丝剥茧般详细解读问题背后的秘密，还会手把手教你如何搞定这类问题！ 1. Lua模块加载概述 Lua中，模块是组织代码的重要方式，通过require函数，我们可以方便地引入并使用其他模块中的功能。你知道吗，require这个函数啊，它就像个超级侦探，你只要告诉它想找哪个模块（也就是.lua文件），它就会立刻行动起来，在一堆文件中找到那个目标文件，然后把里面的代码统统执行一遍，这样一来，模块就被顺利加载到程序里头啦！ lua -- 尝试加载一个名为'myModule'的模块 local myModule = require 'myModule' 2. module 'ModuleName' not found 错误详解 当Lua运行环境尝试按照一定的路径规则寻找指定模块时，如果找不到对应名称的.lua文件或者加载过程中出错，就会抛出“module 'ModuleName' not found”的错误信息。 2.1 模块搜索路径 默认情况下，Lua遵循以下路径规则来查找模块： - 如果模块名包含点（例如 my.module），则从当前目录开始，依次查找每个点分隔的部分作为子目录，最后加上.lua扩展名。 - 如果模块名不包含点，则先检查package.path变量定义的路径列表，这些路径通常指向全局Lua库的位置。 2.2 示例分析 假设我们有一个模块 mathUtils，其实际路径为 /path/to/mathUtils.lua，但在当前环境下并未正确设置模块加载路径，这时尝试加载它会触发上述错误： lua -- 当前环境下未正确配置package.path local mathUtils = require 'mathUtils' -- 这将抛出"module 'mathUtils' not found" 2.3 解决方案 为了解决这个问题，我们需要确保Lua能够找到模块的存放位置。有几种常见方法： 2.3.1 设置package.path 修改Lua的全局变量package.path，添加模块的实际路径： lua package.path = package.path .. ';/path/to/?.lua' -- 添加新的搜索路径 local mathUtils = require 'mathUtils' -- 此时应该能成功加载模块 2.3.2 使用自定义loader 还可以自定义模块加载器，实现更复杂的模块定位逻辑： lua local function customLoader(name) local path = string.format('/path/to/%s.lua', name) if io.open(path, 'r') then return dofile(path) end end package.loaders[package.loaders+1] = customLoader local mathUtils = require 'mathUtils' -- 通过自定义加载器加载模块 3. 总结与思考 “module 'ModuleName' not found”这一错误提示实际上揭示了Lua在处理模块加载时的关键步骤，即根据给定的模块名和预设的搜索路径查找对应的.lua文件。所以，在写Lua模块或者引用的时候，咱们可别光盯着模块本身的对错，还要把注意力放到模块加载的那些门道和相关设定上，这样才能够把这类问题早早地扼杀在摇篮里，避免它们出来捣乱。同时呢，咱们也得积极地寻找最适合咱们项目需求的模块管理方法，让代码那个“骨架”更加一目了然，各个模块之间的关系也能整得明明白白、清清楚楚的。

...t：图像旋转角度参数设置无效的深度解析与解决策略 引言（1） 亲爱的开发者们，我们都知道Tesseract作为一款强大的开源OCR（光学字符识别）工具，在处理和识别图像中的文本信息时，展现出了非凡的能力。然而，在实际应用过程中，我们可能遇到过这样的困扰：“哎呀，我明明设置了图像旋转角度参数，为啥Tesseract就是不听话，无法正确地识别出旋转后的文字呢？”今天，我们就一起来揭开这个谜团，探讨一下“图像旋转角度参数设置无效”的问题及其解决方案，让我们一起走进Tesseract的世界，感受其背后的逻辑与奥秘。 问题阐述（2） 首先，让我们明确一下问题现象。在使用Tesseract进行图像识别时，有时候由于图片本身存在一定的倾斜角度，因此需要预先对图像进行旋转校正。其实呢，理论上讲，咱们可以通过调整--psm参数或者直接操作API接口来给图片“拧个角度”，但有时候你会发现，就算你把角度调得准准的，可识别出来的结果还是让人挠头，不太对劲儿。这正是我们今天要坐下来好好唠一唠的问题。 python import pytesseract from PIL import Image 假设我们有一张倾斜45度的图片 img = Image.open('rotated_text.jpg') rotated_img = img.rotate(45) 尝试设置旋转角度为45度进行识别 text = pytesseract.image_to_string(rotated_img, config='--psm 6 -c tessedit_pageseg_mode=6 --oem 3 --rotate-pages 45') print(text) 尽管我们已经尝试将图像旋转回正，并在配置中指定了旋转角度，但输出的识别结果却并不理想，这确实令人费解且头疼。 原因分析（3） 原因一：预处理的重要性 Tesseract对于图像的识别并非简单依赖于用户设定的旋转参数，而是基于内部的页面分割算法(Page Segmentation Mode)。如果原始图片质量不咋地，或者背景乱七八糟的，光靠调整旋转角度这一招，可没法保证一定能识别得准准的。在调用Tesseract前，往往需要对图像进行一系列预处理操作，比如灰度化、二值化、降噪等。 原因二：旋转参数的误解 --rotate-pages参数主要用于PDF文档旋转，而非单个图像的旋转矫正。对于单个图像，我们应先自行完成旋转操作后再进行识别。 解决方案（4） 策略一：手动预处理与旋转 正确的做法是先利用Python Imaging Library（Pillow）或其他图像处理库对图像进行旋转校正，然后再交给Tesseract进行识别： python 正确的做法：手动旋转图像并进行识别 corrected_img = img.rotate(-45, expand=True) 注意这里旋转的角度是负数，因为我们要将其逆向旋转回正 corrected_text = pytesseract.image_to_string(corrected_img, config='--psm 6') print(corrected_text) 策略二：结合Tesseract的内部矫正功能 Tesseract从v4版本开始支持自动检测并矫正文本方向，可通过--deskew-amount参数开启文本行的去斜功能，但这并不能精确到每个字符，所以对于严重倾斜的图像，仍需先进行手动旋转。 python 使用Tesseract的去斜功能 auto_corrected_text = pytesseract.image_to_string(img, config='--psm 6 --deskew-amount 0.2') print(auto_corrected_text) 结语（5） 总而言之，“图像旋转角度参数设置无效”这个问题，其实更多的是我们在理解和使用Tesseract时的一个误区。我们需要深入了解其工作原理，并结合恰当的预处理手段来提升识别效果。在这一趟探索的旅程中，我们又实实在在地感受了一把编程那让人着迷的地方——就是那种面对棘手问题时，不断挠头苦思、积极动手实践，然后欢呼雀跃地找到解题钥匙的时刻。而Tesseract，就像一位沉默而睿智的朋友，等待着我们去发掘它更多的可能性和潜力。

...开发中，Gradle依赖管理的重要性不言而喻。近日，Gradle官方发布了5.0版本的重大更新，其中对依赖管理功能进行了进一步优化和增强。新版本引入了更精细的依赖解析策略，允许开发者更加精确地控制项目的依赖关系，并提升了依赖解决的速度和效率。 此外，随着开源生态的发展和企业内部私有仓库的广泛应用，Gradle 5.0开始支持更灵活的仓库配置方式，不仅能够无缝对接Maven Central、JCenter等公共仓库，还能轻松集成Artifactory、Nexus等私有仓库服务，为大型项目和团队提供了更为便捷的依赖管理方案。 对于Java开发者而言，构建包含所有依赖的“全量jar”（fat jar）是一常见需求。Gradle社区也推荐使用新的插件，如Shadow或者Spring Boot Gradle Plugin，它们提供了开箱即用的功能，简化了将依赖打包进单一可执行jar文件的过程，极大地便利了应用部署和运维工作。 值得一提的是，为了应对日益增长的安全挑战，Gradle也开始关注依赖安全问题。其推出的dependency verification特性可以帮助开发者验证项目中的每个依赖是否来自预期的来源，有效防止依赖注入攻击，确保项目构建过程及运行时环境的安全性。 总之，深入理解和掌握Gradle依赖管理机制，并关注相关领域的最新发展动态，是提升项目构建效能与安全性的重要手段。通过持续学习和实践，开发者可以充分利用Gradle的强大功能，实现高效、安全的项目构建与依赖管理。

...最新趋势。近期，随着模块化编程的发展以及JDK 17的发布，对类加载机制和程序入口点有了更灵活的处理方式。例如，Java平台模块系统（JPMS）允许开发者定义模块化的组件，并通过明确指定模块间的依赖关系实现自动编译和加载，这使得即使没有传统意义上的main方法，也能构建可运行的Java应用程序。 同时，对于微服务架构和容器化部署场景，通常采用框架或容器（如Spring Boot、Docker等）来管理应用的生命周期，它们提供了自定义启动器和引导过程，不再强制要求每个服务包含一个main方法。在这种情况下，业务逻辑被封装在服务类中，由框架统一调度执行。 此外，随着函数式编程思想在Java领域的普及，Java开发者开始更多地利用Lambda表达式和函数接口，甚至借助第三方库（如JavaFX、Quarkus、Vert.x等）提供的无main方法运行模式，简化了小型脚本和事件驱动型应用的编写和执行流程。 总而言之，在当今Java开发领域中，虽然main方法仍然是独立Java应用程序的标准入口点，但随着技术进步和编程范式的演变，Java代码的执行和编译机制正变得日益丰富和多元化。为了紧跟这一发展步伐，开发者需要不断学习和掌握新的工具、框架及编程模式，以应对日益复杂的应用场景需求。

...ang中的“配置文件无效”错误：深入剖析与解决之道 1. 引言 配置管理的重要性与挑战 在软件开发的世界里，配置文件是不可或缺的一部分。它们承载着应用如何与外部环境交互、如何运行的各种细节设定。哎呀，你要是玩Golang（就是那个Go语言），那配置文件的管理可得上点心！这玩意儿可是Golang的一大特色——简洁又高效。所以，你得好好琢磨怎么管好这个小东西，别让它给你添乱。就像你在厨房里做菜，调料放好了，整个菜的味道就对了，对吧？配置文件也是这样，用得好，程序运行起来就像开了挂一样顺溜！ 然而，在实际开发过程中，我们时常会遇到“配置文件无效”的错误，这不仅打断了正常的开发流程，还可能掩盖了更深层次的问题。嘿，兄弟！这篇文章就像是一场侦探解谜之旅，咱们要一起深挖问题的底细，从那些捣蛋的源头开始，一步步拆解问题，找到解决之道。目的只有一个——让编程的勇士们在面对这些棘手难题时，能像打了鸡血一样，效率爆表，轻松应对！ 2. 错误根源分析 从代码到配置 当我们收到“配置文件无效”的错误时，首先应该检查的是配置文件本身以及加载配置文件的代码逻辑。在Golang中，通常使用flag包来解析命令行参数，或者通过自定义方式加载配置文件。错误发生的原因可能包括： - 格式不正确：配置文件的格式不符合预期。 - 值不合法：配置项的值不在允许的范围内。 - 路径问题：无法找到配置文件。 - 解析错误：代码逻辑存在缺陷，导致无法正确解析配置文件。 3. 实战案例 错误排查与修复 假设我们正在开发一个基于命令行的Golang服务，该服务依赖于一个配置文件来设置监听端口和日志级别。配置文件内容如下： yaml server: port: 8080 logLevel: info 代码示例： 示例代码1：基本的命令行参数解析 go package main import ( "fmt" "os" "strconv" "github.com/spf13/pflag" ) func main() { var port int var logLevel string pflag.IntVar(&port, "port", 8080, "Server listening port") pflag.StringVar(&logLevel, "log-level", "info", "Log level (debug|info|warn|error)") if err := pflag.Parse(); err != nil { fmt.Println("Error parsing flags:", err) os.Exit(1) } fmt.Printf("Listening on port: %d\n", port) fmt.Printf("Log level: %s\n", logLevel) } 示例代码2：加载配置文件并验证 go package main import ( "encoding/yaml" "fmt" "io/ioutil" "log" yamlfile "path/to/your/config.yaml" // 假设这是你的配置文件路径 ) type Config struct { Server struct { Port int yaml:"port" LogLevel string yaml:"logLevel" } yaml:"server" } func main() { configFile, err := ioutil.ReadFile(yamlfile) if err != nil { log.Fatalf("Failed to read config file: %v", err) } var config Config err = yaml.Unmarshal(configFile, &config) if err != nil { log.Fatalf("Failed to parse config: %v", err) } fmt.Printf("Configured port: %d\n", config.Server.Port) fmt.Printf("Configured log level: %s\n", config.Server.LogLevel) } 4. 错误处理与预防策略 当遇到“配置文件无效”的错误时，关键在于： - 详细的错误信息：确保错误信息足够详细，能够指向具体问题所在。 - 日志记录：在关键步骤加入日志输出，帮助追踪问题发生的具体环节。 - 输入验证：对配置文件的每一项进行严格验证，确保其符合预期格式和值域。 - 配置文件格式一致性：保持配置文件格式的一致性和规范性，避免使用过于灵活但难以解析的格式。 - 异常处理：在加载配置文件和解析过程中添加适当的错误处理逻辑，避免程序崩溃。 5. 结语 拥抱变化与持续优化 面对“配置文件无效”的挑战，关键是保持耐心与细致，从每一次错误中学习，不断优化配置管理实践。哎呀，兄弟！咱们的目标可不小。我们得把输入的东西好好检查一下，不让那些乱七八糟的玩意儿混进来。同时，咱们还得给系统多穿几层防护，万一出了啥差错，也能及时发现，迅速解决。这样，咱们的系统不仅能在风雨中稳如泰山，还能方便咱们后期去调整和优化，就像是自己的孩子一样，越养越顺手，你说是不是？嘿，兄弟！如果你在Golang的海洋里漂泊，那我这小文就是为你准备的一盏明灯。在这片充满智慧和创造力的社区里，大家互相分享经验，就像老渔民分享钓鱼秘籍一样，让每个人都能从前辈们的实战中汲取营养，共同进步。这篇文章，就像是你旅途中的指南针，希望能给你带来灵感，让你的编程之路不再孤单，走得更远，飞得更高！

...框架和工具中。例如，Spring Boot 社区最近也发布了一篇博客，探讨了如何优化配置文件的加载机制，以应对大规模分布式系统的挑战。这表明，随着技术的发展，配置管理正变得越来越复杂，同时也更加关键。 从现实案例来看，某知名电商企业在一次系统升级过程中，由于配置文件格式错误导致服务中断长达数小时。事后调查发现，问题的根本原因并非技术难度，而是团队缺乏对配置管理的重视。这一事件引发了行业内对于配置文件规范化管理的反思。一些专家指出，现代开发团队应当建立完善的 CI/CD 流程，将配置文件的检查纳入自动化测试环节，从而最大限度地减少人为失误。 此外，近年来 DevOps 思维的兴起也为配置管理带来了新的视角。传统的配置管理往往被视为运维人员的职责，但在 DevOps 文化中，开发与运维之间的界限逐渐模糊。这意味着开发者也需要具备一定的配置管理知识，以便更好地支持持续交付流程。例如，GitHub Actions 等工具集成了丰富的配置模板，帮助开发者快速搭建自动化工作流。这种趋势不仅提升了效率，还促进了跨部门协作。 回到 Beego 框架本身，其核心开发者也在积极迭代版本，引入更多智能化特性。例如，新版 Beego 支持基于环境变量的动态配置加载，允许用户在不同环境中灵活切换设置。这一改进既体现了技术的进步，也反映了社区对用户体验的关注。未来，随着 Go 语言生态的不断完善，配置管理工具可能会进一步集成到语言标准库中，形成更加统一的解决方案。 综上所述，无论是从技术趋势还是实际应用的角度看，配置文件管理始终是软件工程中的重要一环。希望本文能够激发读者对这一领域的兴趣，并鼓励大家在日常工作中投入更多精力去优化配置流程。毕竟，正如一句古话所言：“千里之堤，溃于蚁穴”，细微之处往往决定成败。

...在设计上应该尽量减少模块间的依赖性，将不会成为未来应用调整、发展的阻碍 松耦合模式的情况 不要标示（依赖）特定对象，依赖特定对象耦合性将非常高 – 使用负载均衡器 – 域名解析 – 弹性IP – 可以动态找到配合的对象，为松耦合带来方便，为应用将来的扩展带来好处 不要依赖其他模块的正确处理或及时的处理 – 使用尽量使用异步的处理，而不是同步的（SQS可以帮到用户） 4.2 模块出错后工作不会有问题 问问某个模块出了问题，应用会怎么样？ 在设计的时候，在出了问题会有影响的模块，进行处理，建立自动恢复性 4.3 实现弹性 在设计上，不要假定模块是正常的、始终不变的 – 可以配合AutoScaling、EIP和可用区AZ来满足 允许模块的失败重启 – 无状态设计比有状态设计好 – 使用ELB、云监控去检测“实例”运行状态 有引导参数的实例（实现自动配置） – 例如：加入user data在启动的时候，告知它应该做的事情 在关闭实例的时候，保存其配置和个性化 – 例如用DynamoDB保存session信息 弹性后就不会为了超配资源而浪费钱了 4.4 安全是整体的事，需要在每个层面综合考虑 基础架构层 计算/网络架构层 数据层 应用层 4.5 最小授权原则 只付于操作者完成工作的必要权限 所有用户的操作必须授权 三种类型的权限能操作AWS – 主账户 – IAM用户 – 授权服务(主要是开发的app） 5 设计：高可用、高效率、可容错、可扩展的系统 本部分的目标是设计出高可用、高效率低成本、可容错、可扩展的系统架构 - 高可用 – 了解AWS服务自身的高可靠性（例如弹性负载均衡）—-因为ELB是可以多AZ部署的 – 用好这些服务可以减少可用性的后顾之忧 - 高效率(低成本) – 了解自己的容量需求，避免超额分配 – 利用不同的价格策略，例如：使用预留实例 – 尽量使用AWS的托管服务（如SNS、SQS） - 可容错 – 了解HA和容错的区别 – 如果说HA是结果，那么容错则是保障HA的一个重要策略 – HA强调系统不要出问题，而容错是在系统出了问题后尽量不要影响业务 - 可扩展性 – 需要了解AWS哪些服务自身就可以扩展，例如SQS、ELB – 了解自动伸缩组（AS） 运用好 AWS 7大架构设计原则的：松耦合、实现弹性 6 实施和部署设计 本部分的在设计的基础上找到合适的工具来实现 对比第一部分“设计”，第一章主要针对用什么，而第二章则讨论怎么用 主要考核AWS云的核心的服务目录和核心服务，包括： 计算机和网络 – EC2、VPC 存储和内容分发 – S3、Glacier 数据库相关分类 – RDS 部署和管理服务 – CloudFormation、CloudWatch、IAM 应用服务 – SQS、SNS 7 数据安全 数据安全的基础，是AWS责任共担的安全模型模型，必须要读懂 数据安全包括4个层面：基础设施层、计算/网络层、数据层、应用层 - 基础设施层 1. 基础硬件安全 2. 授权访问、流程等 - 计算/网络层 1. 主要靠VPC保障网络（防护、路由、网络隔离、易管理） 2. 认识安全组和NACLs以及他们的差别 安全组比ACL多一点，安全组可以针对其他安全组，ACL只能针对IP 安全组只允许统一，ACL可以设置拒绝 安全组有状态！很重要（只要一条入站规则通过，那么出站也可以自动通过），ACL没有状态（必须分别指定出站、入站规则） 安全组的工作的对象是网卡（实例）、ACL工作的对象是子网 认识4种网关，以及他们的差别 共有4种网关，支撑流量进出VPC internet gatway：互联网的访问 virtual private gateway：负责VPN的访问 direct connect：负责企业直连网络的访问 vpc peering：负责VPC的peering的访问 数据层 数据传输安全 – 进入和出AWS的安全 – AWS内部传输安全 通过https访问API 链路的安全 – 通过SSL访问web – 通过IP加密访问VPN – 使用直连 – 使用OFFLINE的导入导出 数据的持久化保存 – 使用EBS – 使用S3访问 访问 – 使用IAM策略 – 使用bucket策略 – 访问控制列表 临时授权 – 使用签名的URL 加密 – 服务器端加密 – 客户端加密 应用层 主要强调的是共担风险模型 多种类型的认证鉴权 给用户在应用层的保障建议 – 选择一种认证鉴权机制（而不要不鉴权） – 用安全的密码和强安全策略 – 保护你的OS（如打开防火墙） – 用强壮的角色来控制权限（RBAC） 判断AWS和用户分担的安全中的标志是，哪些是AWS可以控制的，那些不能，能的就是AWS负责，否则就是用户（举个例子：安全组的功能由AWS负责—是否生效，但是如何使用是用户负责—自己开放所有端口跟AWS无关） AWS可以保障的 用户需要保障的 工具与服务 操作系统 物理内部流程安全 应用程序 物理基础设施 安全组 网络设施 虚拟化设施 OS防火墙 网络规则 管理账号 8 故障排除 问题经常包括的类型： - EC2实例的连接性问题 - 恢复EC2实例或EBS卷上的数据 - 服务使用限制问题 8.1 EC2实例的连接性问题 经常会有多个原因造成无法连接 外部VPC到内部VPC的实例 – 网关（IGW–internet网关、VPG–虚拟私有网关）的添加问题 – 公司网络到VPC的路由规则设置问题 – VPC各个子网间的路由表问题 – 弹性IP和公有IP的问题 – NACLs（网络访问规则） – 安全组 – OS层面的防火墙 8.2 恢复EC2实例或EBS卷上的数据 注意EBS或EC2没有任何强绑定关系 – EBS是可以从旧实例上分离的 – 如有必要尽快做 将EBS卷挂载到新的、健康的实例上 执行流程可以针对恢复没有工作的启动卷（boot volume） – 将root卷分离出来 – 像数据一样挂载到其他实例 – 修复文件 – 重新挂载到原来的实例中重新启动 8.3 服务使用限制问题 AWS有很多软性限制 – 例如AWS初始化的时候，每个类型的EBS实例最多启动20个 还有一些硬性限制例如 – 每个账号最多拥有100个S3的bucket – …… 别的服务限制了当前服务 – 例如无法启动新EC2实例，原因可能是EBS卷达到上限 – Trusted Advisor这个工具可以根据服务水平的不同给出你一些限制的参考（从免费试用，到商业试用，和企业试用的建议） 常见的软性限制 公共的限制 – 每个用户最多创建20个实例，或更少的实例类型 – 每个区域最多5个弹性ip – 每个vpc最多100个安全组 – 最多20个负载均衡 – 最多20个自动伸缩组 – 5000个EBS卷、10000个快照，4w的IOPS和总共20TB的磁盘 – …更多则需要申请了 你不需要记住限制 – 知道限制，并保持数值敏感度就好 – 日后遇到问题时可以排除掉软限制的相关的问题 9. 总结 9.1 认证的主要目标是： 确认架构师能否搜集需求，并且使用最佳实践，在AWS中构建出这个系统 是否能为应用的整个生命周期给出指导意见 9.2 希望架构师(助理或专家级)考试前的准备： 深度掌握至少1门高级别语言（c，c++，java等） 掌握AWS的三份白皮书 – aws概览 – aws安全流程 – aws风险和应对 – 云中的存储选项 – aws的架构最佳实践 按照客户需求，使用AWS组件来部署混合系统的经验 使用AWS架构中心网站了解更多信息 9.3 经验方面的建议 助理架构师 – 至少6个月的实际操作经验、在AWS中管理生产系统的经验 – 学习过AWS的基本课程 专家架构师 – 至少2年的实际操作经验、在AWS中管理多种不同种类的复杂生产系统的经验（多种服务、动态伸缩、高可用、重构或容错） – 在AWS中执行构建的能力，架构的高级概念能力 9.4 相关资源 认证学习的资源地址 - 可以自己练习，模拟考试需要付费的 接下来就去网上报名参加考试 本篇文章为转载内容。原文链接：https://blog.csdn.net/QXK2001/article/details/51292402。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...随笔的方式对它们做了分析和记录，以下与大家分享。 Ⅰ. 从感染到遗传：LibVNC与TightVNC系列漏洞 2018年12月10日晚9:03，OSS漏洞预警平台弹出的一封漏洞披露邮件，引起了我的注意。披露者是卡巴斯基工控系统漏洞研究组的Pavel Cheremushkin。 一些必要背景 VNC是一套屏幕图像分享和远程操作软件，底层通信为RFB协议，由剑桥某实验室开发，后1999年并入AT&T，2002年关停实验室与项目，VNC开源发布。 VNC本被设计用在局域网环境，且诞生背景决定其更倾向研究性质，商用级安全的缺失始终是个问题。后续有若干新的实现软件，如TightVNC、RealVNC，在公众认知中，AT&T版本已死，后起之秀一定程度上修正了问题。 目前各种更优秀的远程控制和分享协议取代了VNC的位置，尽管例如苹果仍然系统內建VNC作为远程方式。但在非桌面领域，VNC还有我们想不到的重要性，比如工控领域需要远程屏幕传输的场景，这也是为什么这系列漏洞作者会关注这一块。 漏洞技术概况 Pavel总结到，在阶段漏洞挖掘中共上报11个漏洞。在披露邮件中描述了其中4个的技术细节，均在协议数据包处理代码中，漏洞类型古典，分别是全局缓冲区溢出、堆溢出和空指针解引用。其中缓冲区溢出类型漏洞可方便构造PoC，实现远程任意代码执行的漏洞利用。 漏洞本身原理简单，也并不是关键。以其中一个为例，Pavel在发现时负责任地向LibVNC作者提交了issue，并跟进漏洞修复过程；在第一次修复之后，复核并指出修复代码无效，给出了有效patch。这个过程是常规操作。 漏洞疑点 有意思的是，在漏洞披露邮件中，Pavel重点谈了自己对这系列漏洞的一些周边发现，也是这里提到的原因。其中，关于存在漏洞的代码，作者表述： 我最初认为，这些问题是libvnc开发者自己代码中的错误，但看起来并非如此。其中有一些（如CoRRE数据处理函数中的堆缓冲区溢出），出现在AT&T实验室1999年的代码中，而后被很多软件开发者原样复制（在Github上搜索一下HandleCoRREBPP函数，你就知道），LibVNC和TightVNC也是如此。 为了证实，翻阅了这部分代码，确实在其中数据处理相关代码文件看到了剑桥和AT&T实验室的文件头GPL声明注释，中国菜刀 这证实这些文件是直接从最初剑桥实验室版本VNC移植过来的，且使用方式是 直接代码包含，而非独立库引用方式。在官方开源发布并停止更新后，LibVNC使用的这部分代码基本没有改动——除了少数变量命名方式的统一，以及本次漏洞修复。通过搜索，我找到了2000年发布的相关代码文件，确认这些文件与LibVNC中引入的原始版本一致。 另外，Pavel同时反馈了TightVNC中相同的问题。TightVNC与LibVNC没有继承和直接引用关系，但上述VNC代码同样被TightVNC使用，问题的模式不约而同。Pavel测试发现在Ubuntu最新版本TightVNC套件（1.3.10版本）中同样存在该问题，上报给当前软件所有者GlavSoft公司，但对方声称目前精力放在不受GPL限制的TightVNC 2.x版本开发中，对开源的1.x版本漏洞代码“可能会进行修复”。看起来，这个问题被踢给了各大Linux发行版社区来焦虑了——如果他们愿意接锅。 问题思考 在披露邮件中，Pavel认为，这些代码bug“如此明显，让人无法相信之前没被人发现过……也许是因为某些特殊理由才始终没得到修复”。 事实上，我们都知道目前存在一些对开源基础软件进行安全扫描的大型项目，例如Google的OSS；同时，仍然存活的开源项目也越来越注重自身代码发布前的安全扫描，Fortify、Coverity的扫描也成为很多项目和平台的标配。在这样一些眼睛注视下，为什么还有这样的问题？我认为就这个具体事例来说，可能有如下两个因素： ·上游已死。仍然在被维护的代码，存在版本更迭，也存在外界的持续关注、漏洞报告和修复、开发的迭代，对于负责人的开发者，持续跟进、评估、同步代码的改动是可能的。但是一旦一份代码走完了生命周期，就像一段史实一样会很少再被改动。 ·对第三方上游代码的无条件信任。我们很多人都有过基础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

Go-Spring与XMLbean定义文件：解析语法错误及其解决方案 1. 引言 在使用Go-Spring框架进行企业级应用开发时，我们经常会遇到XMLbean配置文件的编写和解析。Go-Spring，这可是个了不得的小家伙！它就像是Spring设计理念在Go语言世界里的轻巧化身，专门打造的一款轻量级依赖注入框架。嘿，别看它小，本领可大着呢！强大的IoC（控制反转）和AOP（面向切面编程）两大绝活，实实在在地帮我们把开发流程“瘦身”了一大圈，让我们的编程工作变得轻松又愉快！然而，在实际编写代码的时候，XMLbean配置文件的语法错误就像是个淘气的小妖精，老是爱出来捣乱，绊你一脚，让整个项目没法顺畅地跑起来。这篇东西，咱们就专门唠唠这个话题哈，会借助一些实实在在的代码例子，把XMLbean配置文件里可能蹦出来的语法错误，还有怎么对症下药、见招拆招的解决办法，掰扯得明明白白滴。 2. XMLbean定义文件基础 首先，让我们温习一下Go-Spring中的XMLbean定义文件基本结构。一个典型的XMLbean配置可能如下所示： xml xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://go-spring.org/schema/beans http://go-spring.org/schema/beans/go-spring-beans.xsd"> 这里，标签用于定义一个bean实例，id属性指定bean的唯一标识符，class属性指定了bean的实现类。标签则用来设置bean的属性值。 3. XMLbean定义文件常见语法错误分析 错误示例一： xml ... 上述代码中，我们在定义class属性时忘记用双引号将其包围，这会导致XML解析器无法正确识别属性值，从而引发语法错误。 错误示例二： xml 在这个例子中，标签没有被正确关闭，这也是XML语法错误的一种常见表现。 4. 解决方案与实战演练 面对这些XMLbean定义文件的语法错误，我们需要遵循XML的基本语法规则来进行修正： - 确保属性值始终被引号包围 xml - 保证所有标签均有正确的开闭配对 xml 在整个排查和修复过程中，我们可以借助IDE的XML语法检查工具或在线XML校验器来辅助查找问题。同时，养成良好的编码习惯，例如使用清晰的缩进和注释，也能帮助我们在编写XMLbean定义文件时减少出错的可能性。 5. 结语 对于Go-Spring开发者而言，熟练掌握XMLbean定义文件的编写规范至关重要。面对语法错误，我们要善于运用各种工具和技术手段快速定位并解决问题。只有这样，才能充分发挥Go-Spring框架的优势，提升开发效率，构建更为稳定、高效的软件系统。下一次当你遭遇XMLbean定义文件的“拦路虎”时，希望这篇充满情感化和探讨性话术的文章能帮你轻松化解困境！

...技术飞速发展的今天，JSP（JavaServer Pages）虽然曾作为构建动态网页的一种强大工具被广泛使用，但随着Spring Boot、Vue.js、React等前后端分离框架的崛起，其使用场景逐渐发生了变化。然而，对于学习Web开发基础和理解MVC模式的学生及开发者来说，深入理解和掌握JSP的工作原理仍然具有重要意义。 近期，有开发者回顾了使用JSP实现用户注册功能的经典案例，并指出其中存在的局限性，如单一用户注册处理与日期计算逻辑的不足。实际上，在实际项目中，为解决这些问题，可以引入数据库存储多用户信息，并利用Java 8的LocalDate类进行精准的日期处理，以适应闰年和平年的变化。 此外，为了提升用户体验和系统性能，现今推荐采用RESTful API设计原则，通过Ajax异步提交表单数据，后端用Spring MVC或Spring Boot框架接收并处理请求，前端则采用现代化的JavaScript库（例如Vue.js或React）实现实时验证和数据显示。 同时，为了确保数据安全，除了基本的字符编码设置避免乱码问题外，还需要对密码进行加密处理，并考虑XSS跨站脚本攻击和CSRF跨站请求伪造等安全风险，这在传统的JSP开发中往往需要借助额外的安全库来完成，而在现代框架中已内置了丰富的安全机制。 总之，尽管文中提到的基于JSP的用户注册页面在当下已不作为主流开发实践，但它为我们提供了理解Web开发流程的基础模型，而文中提及的问题改进方案恰好体现了现代Web开发技术的发展趋势——注重用户体验、数据安全以及前后端分离架构的设计理念。因此，无论是重温经典技术还是紧跟时代步伐，这篇文章都为我们提供了一个有价值的思考视角。

... 随着互联网的发展，SpringBoot已经成为Java开发中不可或缺的一部分。它可以帮助开发者快速构建和部署应用程序，并且有着丰富的内置功能和强大的扩展性。然而，在部署到某些数据库版本时，我们可能会遇到一些问题。 二、问题描述 当我们使用SpringBoot部署应用程序时，有时会发现程序无法正常运行，或者出现了错误。这种情况可能是由于数据库版本不兼容导致的。比方说，假设我们现在用的是MySQL 5.6版本的数据库，但咱们的应用程序却偷偷依赖了MySQL 5.7里的一些新功能。这样的话，就极有可能会闹点儿小矛盾，出点问题。 三、解决方案 那么，当我们在部署到某些数据库版本时出现问题时，我们应该如何解决呢？ 首先，我们需要检查我们的应用程序是否与目标数据库版本兼容。这可以通过查看应用程序的配置文件或者依赖关系来完成。比如，我们可以翻翻pom.xml这个配置文件，瞅瞅里面的依赖项是不是对某个特定的数据库版本提供了支持。 其次，如果我们的应用程序确实需要使用某些只在新版本数据库中提供的功能，那么我们需要更新我们的数据库。这可以通过使用数据库迁移工具来完成。例如，我们可以使用Flyway或者Liquibase这样的工具，将旧版本的数据库升级到新版本。 最后，如果我们不能更新数据库，那么我们可以考虑修改我们的应用程序代码，使其能够在旧版本数据库上运行。这可能意味着咱们得采取一些特别的手段，比如说，别去碰那些新潮的数据库功能，或者亲自动手编写额外的代码，来仿造这些特性的工作方式。就像是玩乐高积木一样，有时候我们不能用最新的配件，反而需要自己动手拼接出相似的部件来满足需求。 四、代码示例 接下来，我将以一个简单的示例来演示如何在SpringBoot应用程序中使用数据库迁移工具。假设我们有一个名为User的实体类，我们想要将其保存到数据库中。 java @Entity @Table(name = "users") public class User { @Id @GeneratedValue(strategy = GenerationType.AUTO) private Long id; @Column(nullable = false) private String name; // getters and setters } 然后，我们需要创建一个SpringBoot应用程序，并添加Spring Data JPA和HSQLDB依赖。 xml org.springframework.boot spring-boot-starter-data-jpa org.hsqldb hsqldb runtime 接着，我们需要创建一个application.properties文件，配置数据库连接信息。 properties spring.datasource.url=jdbc:hsqldb:mem:testdb spring.datasource.driverClassName=org.hsqldb.jdbcDriver spring.datasource.username=sa spring.datasource.password= spring.jpa.hibernate.ddl-auto=create 然后，我们需要创建一个UserRepository接口，定义CRUD操作方法。 java public interface UserRepository extends JpaRepository { } 最后，我们可以在控制器中调用UserRepository的方法，将用户保存到数据库中。 java @RestController public class UserController { private final UserRepository userRepository; public UserController(UserRepository userRepository) { this.userRepository = userRepository; } @PostMapping("/users") public ResponseEntity createUser(@RequestBody User user) { userRepository.save(user); return ResponseEntity.ok().build(); } } 以上就是使用SpringBoot进行数据库迁移的基本步骤。这样子做，我们就能轻轻松松地管理、更新咱们的数据库，确保我们的应用程序能够像老黄牛一样稳稳当当地运行起来，一点儿都不带出岔子的。

...强大的框架——Go-Spring，来探讨如何在实践中优化我们的应用程序在这两方面的表现。 2. Go-Spring 轻量级的Go应用框架 Go-Spring是一个基于Go语言构建的轻量级企业级微服务框架，借鉴了Spring Boot的思想，提供了诸多特性以提高代码质量和可维护性。它通过依赖注入、AOP面向切面编程等技术手段，让开发者能够写出更清晰、更具扩展性的代码。 3. 依赖注入提升代码质量 - 示例1 go type UserService struct { userRepository UserRepository } func NewUserService(repo UserRepository) UserService { return &UserService{userRepository: repo} } func (s UserService) GetUser(id int) User { return s.userRepository.FindById(id) } 上述代码展示了Go-Spring中的依赖注入实践。拿捏一下，我们这样来理解：就像给UserService找个得力助手UserRepository，通过一种叫做构造函数注入的方式，让它们俩能够独立工作又互相配合。这样一来，不仅让我们的代码更容易进行测试，还使得整个系统架构变得更灵活，想扩展或者维护的时候，那叫一个轻松加愉快啊！ 4. 面向切面编程增强可维护性 - 示例2 go type LoggingAspect struct{} func (l LoggingAspect) Before(target interface{}, method reflect.Method, args []reflect.Value) error { log.Printf("Executing method %s of type %T", method.Name, target) return nil } // 注册切面 spring.RegisterBean(new(LoggingAspect)).AsAop(".") // 假设我们有一个被切面拦截的方法 type MyService struct{} func (m MyService) Process() {} 在这个例子中，Go-Spring的AOP功能允许我们在不修改原有业务逻辑的前提下，对特定方法进行统一的日志处理。这种非侵入式的编程方式极大地增强了代码的可维护性和复用性。 5. 组件化管理与模块化设计 Go-Spring倡导组件化管理和模块化设计，通过其提供的自动配置、条件注解等功能，可以实现模块的独立开发、独立测试以及按需加载，从而降低模块间的耦合度，提高代码质量和可维护性。 6. 结语 在当今快节奏的开发环境中，选择正确的工具和技术框架至关重要。Go-Spring这个家伙，它有着自己独特的设计理念和牛哄哄的功能特性，实实在在地帮我们在提升Go应用程序的代码质量和维护便捷性上撑起了腰杆子。不过，要让这些特性真正火力全开，发挥作用，咱们得在实际开发的过程中，像啃透一本好书那样深入理解它们，并且练就得炉火纯青。同时，也要结合咱团队独家秘籍——最佳实践，不断打磨、优化我们的代码质量，让它既结实耐用又易于维护，就像保养爱车一样精心对待。毕竟，每个优秀的项目背后，都离不开一群热爱并执着于代码优化的人们，他们思考、探索，用智慧和热情塑造着每一行代码的质量和生命力。

...果噌噌噌地往上窜。而Spring Boot这款牛逼哄哄的Java框架呢，它可是自带了各种实用的小工具，全力支持你进行热部署操作，贼方便！这篇文儿呢，咱要手把手教你如何在Spring Boot里头实现那个热部署的骚操作，还会连带着代码实例，给你掰开了、揉碎了，细细道来，包你一看就明白！ 一、引入Spring Boot DevTools依赖 要实现热部署，首先我们需要在项目中引入Spring Boot DevTools依赖。这个依赖组件可是Spring Boot给咱们带来的一个超级实用的大宝贝，它能帮咱们轻轻松松、快速高效地搞定项目的搭建和各种配置问题，真是个不可或缺的小助手。 xml org.springframework.boot spring-boot-devtools true 二、开启热部署开关 在引入了Spring Boot DevTools依赖之后，我们还需要开启热部署开关。默认情况下，Spring Boot DevTools会根据项目的实际情况自动判断是否开启热部署。如果想要强制开启热部署，可以通过application.properties文件中的配置来实现： properties spring.devtools.restart.enabled=true 三、指定热部署路径 在启用了热部署开关之后，我们还可以指定热部署的路径。一般来说，Spring Boot DevTools会对指定的路径进行监控，一旦发现有代码改动，就会自动重启项目。我们可以指定多个路径进行监控，也可以排除一些不需要监控的路径： properties spring.devtools.restart.additional-paths=src/main/java spring.devtools.restart.exclude=test/ 四、编写代码示例 以上都是理论上的介绍，接下来我们将通过一个简单的Spring Boot项目来进行实战演示。 1. 创建一个新的Spring Boot项目，然后在pom.xml文件中添加Spring Boot DevTools的依赖。 2. 在application.properties文件中开启热部署开关，并指定热部署的路径。 3. 编写一个简单的Controller类，如下所示： java @RestController public class HelloController { @GetMapping("/hello") public String hello() { return "Hello, Spring Boot!"; } } 4. 启动项目，在浏览器中访问http://localhost:8080/hello，可以看到返回的结果为"Hello, Spring Boot!"。 5. 修改HelloController类中的某个方法，保存后关闭IDEA，再次打开项目，可以看到Spring Boot已经自动重启，并且页面上返回的结果已经被修改。 这就是Spring Boot如何实现热部署的过程。总的来说，Spring Boot真够意思，它提供了一种超级便捷的方式来实现热部署，你只需要动动手指做些简单的配置，就能轻轻松松把这事儿给办了。而且你知道吗，Spring Boot DevTools这玩意儿可是一个相当成熟的框架，所以它的性能那叫一个稳如老狗，你完全不用担心热部署的时候会出什么幺蛾子，把程序给整崩溃了这类的问题。因此，我强烈推荐大家在实际开发中使用Spring Boot DevTools来实现热部署。

...咱得更新项目里所有的依赖部分，这活儿可不轻松，既费时间又容易出岔子。幸运的是，Maven帮我们搞定了这个问题的大救星——dependencyManagement，它提供了一种贼方便的方法，让咱们能够轻松解决这个问题。 本文将深入介绍如何在dependencyManagement中替换springboot相关的所有组件的版本，希望能帮助你在日常工作中更加高效地管理工作。 二、什么是dependencyManagement？ dependencyManagement是Maven中的一个重要特性，它可以帮助我们在项目中集中管理和控制所有的依赖项。简而言之，就像是这样：咱们可以在这个“地方”一次性搞定所有项目的依赖声明，接着其他的各个模块就可以直接依赖这个“dependencyManagement”，这样一来，就再也不用在每个模块里头一遍又一遍地重复声明同样的依赖了，多省事儿啊！ 三、如何在dependencyManagement中替换springboot相关的所有组件的版本？ 在dependencyManagement中替换springboot相关的所有组件的版本，我们需要做以下几个步骤： 1. 创建一个独立的POM文件作为BOM（Bill Of Materials），这个文件的主要作用就是声明我们想要使用的springboot相关组件的版本，并将其打包成一个可下载的jar包。 xml xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> 4.0.0 com.example bom 1.0-SNAPSHOT pom BOM - Spring Boot Dependencies This is a Bill of Materials (BOM) for managing Spring Boot dependencies. 2.3.3.RELEASE 1.0.0 org.springframework.boot spring-boot-dependencies ${spring-boot.version} pom import com.example example-library ${other-dependency-version} 注意：在这个例子中，我们只是列出了两个依赖项，但实际上你可以列出所有的依赖项。 2. 在项目的顶级POM文件中引入这个BOM文件，这样其他的module就可以依赖这个BOM文件了。 xml xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> 4.0.0 com.example my-project 1.0-SNAPSHOT pom

...运行。它的主要特点是模块化、依赖管理和多平台支持。 2. Gradle的优势 a) 灵活性高：Gradle允许开发者根据自己的需求来定义构建任务，这使得构建过程更加自由。 b) 支持多种编程语言：除了Java，Gradle还支持Scala、Kotlin等多种编程语言。 c) 丰富的插件库：Gradle拥有丰富的插件库，可以满足各种复杂的构建需求。 d) 强大的依赖管理能力：Gradle可以有效地处理项目中的依赖关系，避免了重复的编译和部署。 三、Gradle在大型项目中的实践应用 1. 建立构建脚本 首先，我们需要建立一个Gradle构建脚本（build.gradle），在这个脚本中，我们可以定义构建任务，指定构建步骤，以及配置项目的相关信息。以下是一个简单的Gradle构建脚本的例子： groovy plugins { id 'java' } group = 'com.example' version = '1.0-SNAPSHOT' sourceCompatibility = 1.8 repositories { mavenCentral() } dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' } 2. 定义构建任务 在构建脚本中，我们可以通过apply方法来添加Gradle插件，然后通过tasks方法来定义构建任务。例如，我们可以通过下面的代码来定义一个名为"clean"的任务，用于清理构建目录： groovy task clean(type: Delete) { delete buildDir } 3. 使用Gradle进行版本控制 Gradle可以与Git等版本控制系统集成，这样就可以方便地跟踪项目的更改历史。以下是如何使用Gradle将本地仓库与远程仓库关联起来的例子： groovy allprojects { repositories { maven { url "https://repo.spring.io/libs-milestone" } mavenLocal() jcenter() google() mavenCentral() if (project.hasProperty('sonatypeSnapshots')) { maven { url "https://oss.sonatype.org/content/repositories/snapshots/" } } maven { url "file://${projectDir}/../libs" } } } 四、结论 总的来说，Gradle作为一个强大的构建工具，已经成为了大型项目不可或缺的一部分。用Gradle，咱们就能像变魔术一样，让项目的构建流程管理变得更溜、更稳当。这样一来，开发速度嗖嗖提升，产品质量也是妥妥的往上蹭，可带劲儿了！此外，随着Gradle社区的日益壮大和活跃，它的功能会越来越强大，实用性也会越来越高，这无疑让咱们在未来做项目时有了更多可以挖掘和利用的价值，绝对值得咱们进一步去探索和尝试。

一、引言 在SpringCloud的世界里，配置文件就像是船只的罗盘，指引着微服务架构的航向。哎呀，就像生活中偶尔的突发小状况，有时候配置文件不见了或者搞错了，这可真是让咱们的应用程序跑不起来，卡壳了呢。接下来，咱们一起踏上探索之旅，深入挖掘这个问题的奥秘，顺便给你几招独家秘籍，保证你的SpringCloud之路畅通无阻，轻松愉快！ 二、配置文件的重要性 1.1 什么是SpringCloud配置？ SpringCloud配置主要是通过Spring Cloud Config来管理应用的外部配置，允许你将配置存储在一个集中式的服务器上，而不是直接写在代码中，这样便于维护和版本控制。 java @ConfigurationProperties(prefix = "app") public class AppConfig { private String name; private int port; // getters and setters... } 2.2 配置文件的常见位置 通常，SpringCloud会从application.properties或application.yml文件中读取配置，这些文件位于项目的src/main/resources目录下。 三、配置文件丢失或错误的后果 3.1 丢失：如果配置文件丢失，应用可能无法找到必要的设置，如数据库连接信息、API地址等，导致启动失败或者运行异常。 3.2 错误：配置文件中的语法错误、键值对不匹配等问题，同样会导致应用无法正常运行，甚至引发难以追踪的运行时错误。 四、如何识别和解决配置问题 4.1 使用Spring Cloud Config客户端检查 Spring Cloud Config客户端提供了命令行工具，如spring-cloud-config-client，可以帮助我们查看当前应用正在尝试使用的配置。 bash $ curl http://localhost:8888/master/configprops 4.2 日志分析 查看应用日志是发现配置错误的重要手段。SpringCloud会记录关于配置加载的详细信息，包括错误堆栈和尝试过的配置项。 4.3 使用IDEA或IntelliJ的Spring Boot插件 这些集成开发环境的插件能实时检查配置文件，帮助我们快速定位问题。 五、配置错误的修复策略 5.1 重新创建或恢复配置文件 确保配置文件存在且内容正确。如果是初次配置，参考官方文档或项目文档创建。 5.2 修正配置语法 检查配置文件的格式，确保所有键值对都是正确的，没有遗漏或多余的部分。 5.3 更新配置属性 如果配置项更改，需要更新到应用的配置服务器，然后重启应用以应用新的配置。 六、预防措施与最佳实践 6.1 版本控制 将配置文件纳入版本控制系统，确保每次代码提交都有相应的配置备份。 6.2 使用环境变量 对于敏感信息，可以考虑使用环境变量替代配置文件，提高安全性。 7. 结语 面对SpringCloud配置文件的丢失或错误，我们需要保持冷静，运用合适的工具和方法，一步步找出问题并修复。记住，无论何时，良好的配置管理都是微服务架构稳定运行的关键。希望这篇文章能帮你解决遇到的问题，让你在SpringCloud的世界里更加游刃有余。

...就来聊聊在使用Go-Spring时遇到的缓存服务异常问题。 二、缓存服务异常的问题背景 在分布式系统中，缓存服务是非常重要的一环。这个东西能够帮我们在获取数据时，嗖嗖地提高速度，让整个系统的反应更加灵敏、迅速。而且，它还能悄悄地减轻数据库的压力，让系统运行更加轻松顺畅。然而，别以为缓存服务是个啥都能干的超人，有时候它也会闹点小脾气，出点小状况。比如说，存储的数据可能会过期变质，或者被一些无效信息“污染”，这些都可能是它罢工的原因呐。 三、如何处理缓存服务异常？ 面对缓存服务异常，我们需要做的是及时发现并解决问题。首先，我们要监控缓存服务的状态，及时发现异常。其次，我们要分析异常的原因，找出问题的根源。最后，我们要修复异常，保证缓存服务的正常运行。 四、Go-Spring中的缓存服务异常案例分析 在Go-Spring中，我们可以使用第三方库如go-cache来进行缓存管理。下面我们将通过一个实际的案例，来分析和解决Go-Spring中缓存服务异常的问题。 首先，我们在项目中引入了go-cache库，并创建了一个缓存实例： go import "github.com/patrickmn/go-cache" cache, _ := cache.New(time.Duration(5time.Minute), time.Minute) 然后，我们在某个业务逻辑中，使用这个缓存实例来获取数据： go val, ok := cache.Get("key") if !ok { val = doSomeExpensiveWork() cache.Set("key", val, 5time.Minute) } 在这个案例中，如果我们的缓存服务出现了异常，那么就会导致缓存无法正确工作，从而影响到整个系统的运行。 五、解决缓存服务异常的方法 针对上述案例中的缓存服务异常问题，我们可以采取以下几种方法进行解决： 1. 监控缓存服务状态 我们可以通过日志或者告警工具，对缓存服务的状态进行实时监控，一旦发现异常，就可以立即进行处理。 2. 分析异常原因 对于出现的异常，我们需要对其进行详细的分析，找出问题的根源。可能的原因包括缓存数据过期、缓存污染等。 3. 修复异常 根据异常的原因，我们可以采取相应的措施进行修复。比如说，如果是因为缓存数据过期引发的问题，我们在给缓存设定有效期的时候，可以适当把它延长一下，就像把牛奶的保质期往后推几天，保证它不会那么快变质一样。 六、结论 总的来说，缓存服务异常是我们在使用Go-Spring时经常会遇到的问题。对于这个问题，咱们得瞪大眼睛瞧清楚，心里有个数，这样才能在第一时间察觉到任何不对劲的地方，迅速把它摆平。同时呢，咱们也得不断给自己充电、提升技能，好让自己能更游刃有余地应对那些越来越复杂的开发难题。 七、结尾 希望通过这篇文章，大家能够对缓存服务异常有一个更深入的理解，并学会如何去解决这类问题。如果你有任何其他的问题或者建议，欢迎留言讨论。让我们一起进步，共同成长！

...受到开发者们的青睐。SpringCloud这款微服务框架可厉害了，它功能强大得不得了，而且还特别好上手，这使得无数开发者都对它爱不释手，真可谓圈粉无数啊！在 SpringCloud 这个大家族里，OpenFeign 可是个重量级角色。它相当于给咱们提供了一个超好用的 Java REST 客户端神器，让咱们能够轻轻松松地进行远程调用，可真是个不可或缺的小帮手呢！然而，在实际操作的时候，我们可能会遇到一些小插曲，比如 OpenFeign 里的那个 @FeignClient 注解，有时候它的 path 参数突然闹脾气、不工作了。 首先，我们需要了解什么是 @FeignClient 注解。这个东西啊，是SpringCloud带给我们的一个小神器，它是个注解，专门用来定义远程服务的。有了它，咱们就可以跟那些繁琐的传统XML配置说拜拜了，简单又高效，贼好用！用上 @FeignClient 这个注解，你就能把服务设计成一个接口的样子，然后就像操作本地接口那样，通过这个“伪装”的接口去调用远程的服务。这就像是给远程服务安了个门铃，我们只要按这个门铃（调用接口），远程服务就会响应我们的请求。下面是一个简单的 @FeignClient 注解的例子： less @FeignClient(name = "remote-service", url = "${remote.service.url}") public interface RemoteService { @GetMapping("/{id}") String sayHello(@PathVariable Long id); } 在这个例子中，我们定义了一个名为 remote-service 的远程服务，它的 URL 是 ${remote.service.url}。然后，我们捣鼓出一个叫 sayHello 的小玩意儿，这个方法可有意思了，它专门接收一个 Long 类型的 ID 号码作为“礼物”，然后呢，就精心炮制出一个 String 类型的结果送给你。 接下来，让我们来看看如何在实际项目中使用这个注解。首先，我们需要在项目的 pom.xml 文件中添加相应的依赖： php-template org.springframework.cloud spring-cloud-starter-openfeign 然后，我们可以在需要调用远程服务的地方使用上面定义的 RemoteService 接口： typescript @Autowired private RemoteService remoteService; public void test() { String result = remoteService.sayHello(1L); System.out.println(result); // 输出: Hello, 1 } 现在，我们可以看到，当我们调用 remoteService.sayHello 方法时，实际上是在调用远程服务的 /{id} 路径。这是因为我们在 @FeignClient 注解中指定了 URL。 但是，有时候我们可能需要自定义远程服务的 URL 路径。例如，我们的远程服务地址可能是 http://example.com/api 。如果我们想要调用的是 http://example.com/api/v1/{id} ，我们就需要在 @FeignClient 注解中指定 path 参数： kotlin @FeignClient(name = "remote-service", url = "${remote.service.url}", path = "/v1") public interface RemoteService { @GetMapping("/{id}") String sayHello(@PathVariable Long id); } 然而，此时我们会发现，当我们调用 remoteService.sayHello 方法时，实际上还是在调用远程服务的 /{id} 路径。这是因为我们在使用 @FeignClient 这个注解的时候，给它设定了一个 path 参数值，但是呢，我们却忘了在 RemoteService 接口里面也配上对应的路径。这就像是你给了人家地址的一部分，却没有告诉人家完整的门牌号，人家自然找不到具体的位置啦。 那么，我们如何才能让 RemoteService 接口调用 http://example.com/api/v1/{id} 呢？答案是：我们需要在 RemoteService 接口中定义对应的路径。具体来说，我们需要修改 RemoteService 接口如下： typescript @FeignClient(name = "remote-service", url = "${remote.service.url}", path = "/v1") public interface RemoteService { @GetMapping("/hello/{id}") String sayHello(@PathVariable Long id); } 这样，当我们调用 remoteService.sayHello 方法时，实际上是调用了 http://example.com/api/v1/hello/{id} 路径。这是因为我们在 RemoteService 接口里边，给它设计了一个特定的路径 "/hello/{id}"，想象一下，这就像是在信封上写了个地址。然后呢，我们又在 @FeignClient 这个神奇的小标签上，额外添加了一层邮编 "/v1"。所以，当这两者碰到一起的时候，就自然而然地拼接成了一个完整的、可以指引请求走向的最终路径啦。 总结起来，SpringCloud OpenFeign @FeignClient 注解的 path 参数不起作用的原因主要有两点：一是我们在 @FeignClient 注解中指定了 path 参数，但是在 RemoteService 接口中没有定义对应的路径；二是我们在 RemoteService 接口中定义了路径，但是没有正确地与我们在 @FeignClient 注解中指定的 path 参数结合起来。希望这篇文章能对你有所帮助！

...：GRUB.MBR（boot.img）, 硬盘扇区offset 1 到offset 62放置GRUB的core.img，/boot分区的boot/grub/grub.cfg 1.3 创建USB-FDD或者USB-ZIP格式U盘步骤 1）Android上：dd if=/dev/zero of=/dev/block/sda bs=512 count=4 2）Windows上：快速格式化该U盘，这个U盘就只有PBR扇区而没有MBR扇区 2 Windows安装 2.1 BIOS设置 进入BIOS设置，一般有Del、Enter、Esc等键。 2.2 Windows ISO刻录方法 Windows上的Universal USB Installer工具软件：刻录操作系统ISO文件到U盘 Linux下将操作系统ISO文件刻录到U盘：dd if=xxx.iso of=/dev/sda 注意使用的是整个磁盘，所以用的是sda而不是sda1 2.3 Windows GHO镜像安装方法 - 比较常见 1) 制作PE启动U盘 2) 下载Windows ISO镜像后（番茄花园），解压出来，里面包含GHO文件，拷贝到PE启动U盘的GHO文件夹（或者提前将文件.gho拷贝入待装系统的电脑D盘根目录）。 3) 插入PE启动U盘到电脑USB 2.0口，选择从U盘启动，启动到PE界面后，选ghost方式安装，ghost镜像的后缀名.gho。 2.4 Printer 1）HP LaserJet M1005 MFP 2）Nantian PR9 并口-OKI仿真驱动 2.5 Disable Driver Signature bcdedit /set testsigning on bcdedit /set testsigning off 3 Windows网络 3.1 CMD方式配置IP地址 :: netsh: Network Shell @echo off if [%1] == [] ( echo "Usage:" echo "WIN_IP.bat static" echo "WIN_IP.bat dhcp" echo "WIN_IP.bat speed" goto :EOF ) if %1 == static ( call :static_ip ) else if %1 == dhcp ( call :dhcp_ip ) else if %1 == speed ( call :nic_speed ) goto :EOF :: get interface name, use the following command :: getmac /V /FO LIST :static_ip set name="Ethernet" set ip=192.168.0.100 set mask=255.255.255.0 :: gwmetric=1 echo "setting static ip address..." netsh interface ipv4 set address %name% static %ip% %mask% none 1 :: netsh interface ipv4 set dns %name% static 114.114.114.114 :: netsh interface ipv4 add dns %name% 8.8.8.8 goto :EOF :dhcp_ip set name="Ethernet" echo "setting dhcp..." netsh interface ipv4 set address %name% dhcp netsh interface ipv4 set dns %name% dhcp goto :EOF :nic_speed wmic NIC where NetEnabled=true get Name, Speed 3.2 DNS查询流程 1) 现有的DNS缓存 ipconfig /displaydns 2) 查询hosts文件 C:\Windows\System32\drivers\etc\hosts 3) 请求发往DNS服务器 ipconfig /all 3.3 firewall appwiz.cpl msconfig wf.msc Inbound Rules and Outbound Rules Enable 4 File and Printer Sharing (Echo Request - ICMPv4-Out) netsh advfirewall firewall add rule name="UDP ports" protocol=UDP dir=in localport=8080 action=allow https://github.com/DynamoRIO/drmemory/wiki/Downloads 3.4 Multicast - Windows组播client需要使用setsockopt()设置IP_ADD_MEMBERSHIP（加入指定的组播组）才能接收组播server发送的数据。 - 组播MAC地址是指第一个字节的最低位是1的MAC地址。 - 组播MAC地址的前3个字节固定为01:00:5e，后3个字节使用组播IP的后23位。例如239.192.255.251的MAC地址为01:00:5e:40:ff:fb。 - Windows 10 Wireshark要抓取SOME/IP组播报文，需要使用SocketTool工具监听239.192.255.251:30490，然后Wireshark才会显示组播报文，否则不显示（Windows netmon不需要任何设置，就可以抓到全部报文）。 netsh interface ip show joins Win 10 PowerShell: Get-NetAdapter | Format-List -Property ifAlias,PromiscuousMode In Linux, map IP addr to multicast MAC is function ip_eth_mc_map(), kernel eventually calls driver ndo_set_rx_mode() to set multicast MAC to NIC RX MAC filter table. 3.5 NAT 查看当前机器的NAT端口代理表： netsh interface portproxy show all 1) 第三方软件PortTunnel。 2) ICS（Internet Connection Sharing）是NAT的简化版。 3) showcase: USB Reverse Tethering 3.6 route命令用法 route [-f] [-p] [command [destination] [mask netmask] [gateway] [metric metric] [if interface]] route print ::增加一条到192.168.0.10/24网络的路由，网关是192.168.0.1，最后一个if参数是数字，可以使用route print查询，类似于Android的NetId。 route add 192.168.0.0 mask 255.255.255.0 192.168.0.1 metric 1 if 11 ::删除192.168.0.10这条路由 route delete 192.168.0.0 3.7 VLAN PowerShell Get-NetAdapter PowerShell Set-NetAdapterAdvancedProperty -Name \"Ethernet 3\" -DisplayName \"VLAN ID\" -DisplayValue 24 PowerShell Reset-NetAdapterAdvancedProperty -Name \"Ethernet 3\" -DisplayName \"VLAN ID\" 3.8 WiFi AP 1) get password netsh wlan show profiles netsh wlan show profiles name="FAST_ABCD" key=clear 2) enable Soft AP netsh wlan show drivers ::netsh wlan set hostednetwork mode=allow netsh wlan set hostednetwork mode=allow ssid=myWIFI key=12345678 netsh wlan start hostednetwork ::netsh wlan stop hostednetwork 3.9 Malicious software Task Manager Find process name, open file location, remove xxx.exe, rename empty xxx.txt to xxx.exe 4 Office 4.1 Excel Insert Symbol More Symbols Wingdings 2 4.2 Outlook 4.2.1 邮箱清理 点击 自己的邮件名字 Data File Properties（数据文件属性） Folder Size（文件夹大小） Server Data（服务器数据） 从左下角“导航选项”中切换到“日历” View（视图） Change View（更改视图） List（列表） 删除“日历”中过期的项目。 Calendar (Left Bottom) - View (Change View to Calendar) - Choose Menu Month 4.2.2 TCAM filter rule Home - ... - Rules - Create Rule (Manage Rules & Alerts) - Title 4.3 Powerpoint画图 插入 - > 形状 Insert - > Shapes 4.4 Word 升级目录 [References][Update Table] 5 Sprax EA 5.1 Basic Design - Toolbox Message/Argument/Return Value Publish - Save - Save to Clipboard 5.2 Advanced Copy/Paste - Copy to Clipboard - Full Structure for Duplication Copy/Paste - Paste Package from Clipboard 6 USB Win7 CMD: wmic path Win32_PnPSignedDriver | find "Android" wmic path Win32_PnPSignedDriver | find "USB" :: similar to Linux lsusb wmic path Win32_USBControllerDevice get Dependent 7 Abbreviations CAB: Capacity Approval Board NPcap: Nmap Packet Capture wmic: Windows Management Instrumentation Command-line 本篇文章为转载内容。原文链接：https://blog.csdn.net/zoosenpin/article/details/118596813。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...计划 0x01 需求分析 0x02 Api接口 0x03 服务端开发 Controller Service 测试 0x04 前端开发 配置NGINX虚拟主机 前端 API 方法 前端 API 方法调用 测试 二、学习页面：获取视频播放地址 0x01 需求分析 0x02 课程发布：储存媒资信息 需求分析 数据模型 Dao Service 测试 0x03 Logstash：扫描课程计划媒资 创建索引 创建模板文件 配置 mysql.conf 启动 logstash.bat Logstash多实例运行 0x04 搜素服务：查询课程媒资接口 需求分析 Api接口定义 Service Controller 测试 三、在线学习：接口开发 0x01 需求分析 0x02 搭建开发环境 0x03 Api接口 0x04 服务端开发 需求分析 搜索服务注册Eureka 搜索服务客户端 自定义错误代码 Service Controller 测试 0x05 前端开发 需求分析 api方法 配置代理 视频播放页面 简单的测试 完整的测试 1、上传文件 一些问题 ~~方案1：删除本地分块文件重新尝试上传~~ 方案2：检查前端提交的MD5值是否正确 2、为课程计划选择媒资信息 3、前端门户测试 四、待完善的一些功能 😁 认识作者 一、学习页面：查询课程计划 0x01 需求分析 到目前为止，我们已可以编辑课程计划信息并上传课程视频，下一步我们要实现在线学习页面动态读取章节对应的视频并进行播放。在线学习页面所需要的信息有两类： 课程计划信息 课程学习信息（视频地址、学习进度等） 如下图： 在线学习集成媒资管理的需求如下： 1、在线学习页面显示课程计划 2、点击课程计划播放该课程计划对应的视频 本章节实现学习页面动态显示课程计划，进入不同课程的学习页面右侧动态显示当前课程的课程计划。 0x02 Api接口 课程计划信息从哪里获取？ 在课程发布完成后会自动发布到一个 course_pub 的表中，logstash 会自动将课程发布后的信息自动采集到 ES 索引库中，这些信息也包含课程计划信息。 所以考虑性能要求，课程发布后对课程的查询统一从 ES 索引库中查询。 前端通过请求 搜索服务 获取课程信息，需要单独在 搜索服务 中定义课程信息查询接口。 本接口接收课程id，查询课程所有信息返回给前端。 我们在搜素服务 API 下添加以下方法 @ApiOperation("根据id搜索课程发布信息")public Map<String,CoursePub> getdetail(String id); 返回的课程信息为 json 结构：key 为课程id，value 为课程内容。 0x03 服务端开发 在搜索服务中开发查询课程信息接口。 Controller 在搜素服务下添加以下方法 / 根据id搜索课程发布信息 @param id 课程id @return JSON数据/@Override@GetMapping("/getdetail/{id}")public Map<String, CoursePub> getdetail(@PathVariable("id")String id) {return esCourseService.getdetail(id);} Service / 根据id搜索课程发布信息 @param id 课程id @return JSON数据/public Map<String, CoursePub> getdetail(String id) {//设置索引SearchRequest searchRequest = new SearchRequest(es_index);//设置类型searchRequest.types(es_type);//创建搜索源对象SearchSourceBuilder searchSourceBuilder = new SearchSourceBuilder();//设置查询条件,根据id进行查询searchSourceBuilder.query(QueryBuilders.termQuery("id",id));//这里不使用source的原字段过滤,查询所有字段// searchSourceBuilder.fetchSource(new String[]{"name", "grade", "charge","pic"}, newString[]{});//设置搜索源对象searchRequest.source(searchSourceBuilder);//执行搜索SearchResponse searchResponse = null;try {searchResponse = restHighLevelClient.search(searchRequest);} catch (IOException e) {e.printStackTrace();}//获取搜索结果SearchHits hits = searchResponse.getHits();SearchHit[] searchHits = hits.getHits(); //获取最优结果Map<String,CoursePub> map = new HashMap<>();for (SearchHit hit: searchHits) {//从搜索结果中取值并添加到coursePub对象Map<String, Object> sourceAsMap = hit.getSourceAsMap();String courseId = (String) sourceAsMap.get("id");String name = (String) sourceAsMap.get("name");String grade = (String) sourceAsMap.get("grade");String charge = (String) sourceAsMap.get("charge");String pic = (String) sourceAsMap.get("pic");String description = (String) sourceAsMap.get("description");String teachplan = (String) sourceAsMap.get("teachplan");CoursePub coursePub = new CoursePub();coursePub.setId(courseId);coursePub.setName(name);coursePub.setPic(pic);coursePub.setGrade(grade);coursePub.setTeachplan(teachplan);coursePub.setDescription(description);//设置map对象map.put(courseId,coursePub);}return map;} 测试 使用 swagger-ui 或 postman 测试查询课程信息接口。 0x04 前端开发 配置NGINX虚拟主机 学习中心的二级域名为 ucenter.xuecheng.com ，我们在 nginx 中配置 ucenter 虚拟主机。 学成网用户中心server {listen 80;server_name ucenter.xuecheng.com;个人中心location / {proxy_pass http://ucenter_server_pool;} } 前端ucenterupstream ucenter_server_pool{server 127.0.0.1:7081 weight=10;server 127.0.0.1:13000 weight=10;} 在学习中心要调用搜索的 API，使用 Nginx 解决代理，如下图： 在 ucenter 虚拟主机下配置搜索 Api 代理路径 后台搜索（公开api）upstream search_server_pool{server 127.0.0.1:40100 weight=10;} 学成网用户中心server {listen 80;server_name ucenter.xuecheng.com;个人中心location / {proxy_pass http://ucenter_server_pool;}后端搜索服务location /openapi/search/ {proxy_pass http://search_server_pool/search/;} } 前端 API 方法 在学习中心 xc-ui-pc-leanring 对课程信息的查询属于基础常用功能，所以我们将课程查询的 api 方法定义在base 模块下，如下图： 在system.js 中定义课程查询方法： import http from './public'export const course_view = id => {return http.requestGet('/openapi/search/course/getdetail/'+id);} 前端 API 方法调用 在 learning_video.vue 页面中调用课程信息查询接口得到课程计划，将课程计划json 串转成对象。 xc-ui-pc-leanring/src/module/course/page/learning_video.vue 1、定义视图 课程计划 <!--课程计划部分代码--><div class="navCont"><div class="course-weeklist"><div class="nav nav-stacked" v-for="(teachplan_first, index) in teachplanList"><div class="tit nav-justified text-center"><i class="pull-left glyphicon glyphicon-th-list"></i>{ {teachplan_first.pname} }<i class="pull-right"></i></div><li v-if="teachplan_first.children!=null" v-for="(teachplan_second, index) in teachplan_first.children"><i class="glyphicon glyphicon-check"></i><a :href="url" @click="study(teachplan_second.id)">{ {teachplan_second.pname} }</a></li><!-- <div class="tit nav-justified text-center"><i class="pull-left glyphicon glyphicon-th-list"></i>第一章<i class="pull-right"></i></div><li ><i class="glyphicon glyphicon-check"></i><a :href="url" >第一节</a></li>--><!--<li><i class="glyphicon glyphicon-unchecked"></i>为什么分为A、B、C部分</li>--></div></div></div> 课程名称 <div class="top text-center">{ {coursename} }</div> 定义数据对象 data() {return {url:'',//当前urlcourseId:'',//课程idchapter:'',//章节Idcoursename:'',//课程名称coursepic:'',//课程图片teachplanList:[],//课程计划playerOptions: {//播放参数autoplay: false,controls: true,sources: [{type: "application/x-mpegURL",src: ''}]},} } 在 created 钩子方法中获取课程信息 created(){//当前请求的urlthis.url = window.location//课程idthis.courseId = this.$route.params.courseId//章节idthis.chapter = this.$route.params.chapter//查询课程信息systemApi.course_view(this.courseId).then((view_course)=>{if(!view_course || !view_course[this.courseId]){this.$message.error("获取课程信息失败，请重新进入此页面！")return ;} let courseInfo = view_course[this.courseId]console.log(courseInfo)this.coursename = courseInfo.nameif(courseInfo.teachplan){let teachplan = JSON.parse(courseInfo.teachplan);this.teachplanList = teachplan.children;} })}, 测试 在浏览器请求：http://ucenter.xuecheng.com//learning/4028e581617f945f01617f9dabc40000/0 4028e581617f945f01617f9dabc40000：第一个参数为课程 id，测试时从 ES索引库找一个课程 id 0：第二个参数为课程计划 id，此参数用于点击课程计划播放视频。 如果出现跨域问题，但是确定已经配置了跨域，请尝试结束所以 nginx.exe 的进程 和 清空浏览器缓存。 如果还没有解决？重启电脑试试。 二、学习页面：获取视频播放地址 0x01 需求分析 用户进入在线学习页面，点击课程计划将播放该课程计划对应的教学视频。 业务流程如下： 业务流程说明： 1、用户进入在线学习页面，页面请求搜索服务获取课程信息（包括课程计划信息）并且在页面展示。 2、在线学习请求学习服务获取视频播放地址。 3、学习服务校验当前用户是否有权限学习，如果没有权限学习则提示用户。 4、学习服务校验通过，请求搜索服务获取课程媒资信息。 5、搜索服务请求ElasticSearch获取课程媒资信息。 为什么要请求 ElasticSearch 查询课程媒资信息？ 出于性能的考虑，公开查询课程信息从搜索服务查询，分摊 mysql 数据库的访问压力。 什么时候将课程媒资信息存储到 ElasticSearch 中？ 课程媒资信息是在课程发布的时候存入 ElasticSearch，因为课程发布后课程信息将基本不再修改。 0x02 课程发布：储存媒资信息 需求分析 课程媒资信息是在课程发布的时候存入 ElasticSearch 索引库，因为课程发布后课程信息将基本不再修改，具体的业务流程如下。 1、课程发布，向课程媒资信息表写入数据。 1）根据课程 id 删除 teachplanMediaPub 中的数据 2）根据课程 id 查询 teachplanMedia 数据 3）将查询到的 teachplanMedia 数据插入到 teachplanMediaPub 中 2、Logstash 定时扫描课程媒资信息表，并将课程媒资信息写入索引库。 数据模型 在 xc_course 数据库创建课程计划媒资发布表： CREATE TABLE teachplan_media_pub (teachplan_id varchar(32) NOT NULL COMMENT '课程计划id',media_id varchar(32) NOT NULL COMMENT '媒资文件id',media_fileoriginalname varchar(128) NOT NULL COMMENT '媒资文件的原始名称',media_url varchar(256) NOT NULL COMMENT '媒资文件访问地址',courseid varchar(32) NOT NULL COMMENT '课程Id',timestamp timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT'logstash使用',PRIMARY KEY (teachplan_id)) ENGINE=InnoDB DEFAULT CHARSET=utf8 数据模型类如下： package com.xuecheng.framework.domain.course;import lombok.Data;import lombok.ToString;import org.hibernate.annotations.GenericGenerator;import javax.persistence.;import java.io.Serializable;import java.util.Date;@Data@ToString@Entity@Table(name="teachplan_media_pub")@GenericGenerator(name = "jpa-assigned", strategy = "assigned")public class TeachplanMediaPub implements Serializable {private static final long serialVersionUID = -916357110051689485L;@Id@GeneratedValue(generator = "jpa-assigned")@Column(name="teachplan_id")private String teachplanId;@Column(name="media_id")private String mediaId;@Column(name="media_fileoriginalname")private String mediaFileOriginalName;@Column(name="media_url")private String mediaUrl;@Column(name="courseid")private String courseId;@Column(name="timestamp")private Date timestamp;//时间戳} Dao 创建 TeachplanMediaPub 表的 Dao，向 TeachplanMediaPub 存储信息采用先删除该课程的媒资信息，再添加该课程的媒资信息，所以这里定义根据课程 id 删除课程计划媒资方法： public interface TeachplanMediaPubRepository extends JpaRepository<TeachplanMediaPub, String> {//根据课程id删除课程计划媒资信息long deleteByCourseId(String courseId);} 从TeachplanMedia查询课程计划媒资信息 //从TeachplanMedia查询课程计划媒资信息public interface TeachplanMediaRepository extends JpaRepository<TeachplanMedia, String> {List<TeachplanMedia> findByCourseId(String courseId);} Service 编写保存课程计划媒资信息方法，并在课程发布时调用此方法。 1、保存课程计划媒资信息方法 本方法采用先删除该课程的媒资信息，再添加该课程的媒资信息，在 CourseService 下定义该方法 //保存课程计划媒资信息private void saveTeachplanMediaPub(String courseId){//查询课程媒资信息List<TeachplanMedia> byCourseId = teachplanMediaRepository.findByCourseId(courseId);if(byCourseId == null) return; //没有查询到媒资数据则直接结束该方法//将课程计划媒资信息储存到待索引表//删除原有的索引信息teachplanMediaPubRepository.deleteByCourseId(courseId);//一个课程可能会有多个媒资信息,遍历并使用list进行储存List<TeachplanMediaPub> teachplanMediaPubList = new ArrayList<>();for (TeachplanMedia teachplanMedia: byCourseId) {TeachplanMediaPub teachplanMediaPub = new TeachplanMediaPub();BeanUtils.copyProperties(teachplanMedia, teachplanMediaPub);teachplanMediaPubList.add(teachplanMediaPub);}//保存所有信息teachplanMediaPubRepository.saveAll(teachplanMediaPubList);} 2、课程发布时调用此方法 修改课程发布的 coursePublish 方法： ....//保存课程计划媒资信息到待索引表saveTeachplanMediaPub(courseId);//页面urlString pageUrl = cmsPostPageResult.getPageUrl();return new CoursePublishResult(CommonCode.SUCCESS,pageUrl);..... 测试 测试课程发布后是否成功将课程媒资信息存储到 teachplan_media_pub 中，测试流程如下： 1、指定一个课程 2、为课程计划添加课程媒资 3、执行课程发布 4、观察课程计划媒资信息是否存储至 teachplan_media_pub 中 注意：由于此测试仅用于测试发布课程计划媒资信息的功能，可暂时将 cms页面发布的功能暂时屏蔽，提高测试效率。 测试结果如下 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Vrzs5589-1595567273126)(https://qnoss.codeyee.com/20200704_15/image7)] 0x03 Logstash：扫描课程计划媒资 Logstash 定时扫描课程媒资信息表，并将课程媒资信息写入索引库。 创建索引 1、创建 xc_course_media 索引 2、并向此索引创建如下映射 POST: http://localhost:9200/xc_course_media/doc/_mapping {"properties" : {"courseid" : {"type" : "keyword"},"teachplan_id" : {"type" : "keyword"},"media_id" : {"type" : "keyword"},"media_url" : {"index" : false,"type" : "text"},"media_fileoriginalname" : {"index" : false,"type" : "text"} }} 索引创建成功 创建模板文件 在 logstach 的 config 目录文件 xc_course_media_template.json 文件路径为 %ES_ROOT_DIR%/logstash6.8.8/config/xc_course_media_template.json %ES_ROOT_DIR% 为 ElasticSearch 和 logstash 的安装目录 内容如下： {"mappings" : {"doc" : {"properties" : {"courseid" : {"type" : "keyword"},"teachplan_id" : {"type" : "keyword"},"media_id" : {"type" : "keyword"},"media_url" : {"index" : false,"type" : "text"},"media_fileoriginalname" : {"index" : false,"type" : "text"} }},"template" : "xc_course_media"} } 配置 mysql.conf 在logstash的 config 目录下配置 mysql_course_media.conf 文件供 logstash 使用，logstash 会根据 mysql_course_media.conf 文件的配置的地址从 MySQL 中读取数据向 ES 中写入索引。 参考https://www.elastic.co/guide/en/logstash/current/plugins-inputs-jdbc.html 配置输入数据源和输出数据源。 input {stdin {} jdbc {jdbc_connection_string => "jdbc:mysql://localhost:3306/xc_course?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=UTC" 数据库信息jdbc_user => "root"jdbc_password => "123123" MYSQL 驱动地址,修改为maven仓库对应的位置jdbc_driver_library => "D:/soft/apache-maven-3.5.4/repository/mysql/mysql-connector-java/5.1.40/mysql-connector-java-5.1.40.jar" the name of the driver class for mysqljdbc_driver_class => "com.mysql.jdbc.Driver"jdbc_paging_enabled => "true"jdbc_page_size => "50000"要执行的sql文件statement_filepath => "/conf/course.sql"statement => "select from teachplan_media_pub where timestamp > date_add(:sql_last_value,INTERVAL 8 HOUR)"定时配置schedule => " "record_last_run => truelast_run_metadata_path => "D:/soft/elasticsearch/logstash-6.8.8/config/xc_course_media_metadata"} } output {elasticsearch {ES的ip地址和端口hosts => "localhost:9200"hosts => ["localhost:9200","localhost:9202","localhost:9203"]ES索引库名称index => "xc_course_media"document_id => "%{teachplan_id}"document_type => "doc"template => "D:/soft/elasticsearch/logstash-6.8.8/config/xc_course_media_template.json"template_name =>"xc_course_media"template_overwrite =>"true"} stdout {日志输出codec => json_lines} } 启动 logstash.bat 启动 logstash.bat 采集 teachplan_media_pub 中的数据，向 ES 写入索引。 logstash.bat -f ../config/mysql_course_media.conf 课程发布成功后，Logstash 会自动参加 teachplan_media_pub 表中新增的数据，效果如下 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ILPBxfXi-1595567273134)(https://qnoss.codeyee.com/20200704_15/image10)] Logstash多实例运行 由于之前我们还启动了一个 Logstash 对课程的发布信息进行采集，所以如果想两个 logstash 实例同时运行，因为每个实例都有一个.lock文件，所以不能使用同一个目录来存放数据，所以我们需要使用 --path.data= 为每个实例指定单独的数据目录，具体的代码如下： 该配置是在windows下进行的 课程发布实例 logstash_start_course_pub.bat @title logstash in course_publogstash.bat -f ..\config\mysql.conf --path.data=../data/course_pub 课程计划媒体发布实例 logstash_start_teachplan_media.bat @title logstash i n teachplan_media_publogstash.bat -f ../config/mysql_course_media.conf --path.data=../data/teachplan_media/ 同时运行效果如下 0x04 搜素服务：查询课程媒资接口 需求分析 搜索服务 提供查询课程媒资接口，此接口供学习服务调用。 Api接口定义 @ApiOperation("根据课程计划查询媒资信息")public TeachplanMediaPub getmedia(String teachplanId); Service 1、配置课程计划媒资索引库等信息 在 application.yml 中配置 xuecheng:elasticsearch:hostlist: ${eshostlist:127.0.0.1:9200} 多个结点中间用逗号分隔course:index: xc_coursetype: docsource_field: id,name,grade,mt,st,charge,valid,pic,qq,price,price_old,status,studymodel,teachmode,expires,pub_time,start_time,end_timemedia:index: xc_course_mediatype: docsource_field: courseid,media_id,media_url,teachplan_id,media_fileoriginalname 2、service 方法开发 在 课程搜索服务 中定义课程媒资查询接口，为了适应后续需求，service 参数定义为数组，可一次查询多个课程计划的媒资信息。 / 根据一个或者多个课程计划id查询媒资信息 @param teachplanIds 课程id @return QueryResponseResult/public QueryResponseResult<TeachplanMediaPub> getmedia(String [] teachplanIds){//设置索引SearchRequest searchRequest = new SearchRequest(media_index);//设置类型searchRequest.types(media_type);//创建搜索源对象SearchSourceBuilder searchSourceBuilder = new SearchSourceBuilder();//源字段过滤String[] media_index_arr = media_field.split(",");searchSourceBuilder.fetchSource(media_index_arr, new String[]{});//查询条件,根据课程计划id查询(可以传入多个课程计划id)searchSourceBuilder.query(QueryBuilders.termsQuery("teachplan_id", teachplanIds));searchRequest.source(searchSourceBuilder);SearchResponse searchResponse = null;try {searchResponse = restHighLevelClient.search(searchRequest);} catch (IOException e) {e.printStackTrace();}//获取结果SearchHits hits = searchResponse.getHits();long totalHits = hits.getTotalHits();SearchHit[] searchHits = hits.getHits();//数据列表List<TeachplanMediaPub> teachplanMediaPubList = new ArrayList<>();for(SearchHit hit:searchHits){TeachplanMediaPub teachplanMediaPub =new TeachplanMediaPub();Map<String, Object> sourceAsMap = hit.getSourceAsMap();//取出课程计划媒资信息String courseid = (String) sourceAsMap.get("courseid");String media_id = (String) sourceAsMap.get("media_id");String media_url = (String) sourceAsMap.get("media_url");String teachplan_id = (String) sourceAsMap.get("teachplan_id");String media_fileoriginalname = (String) sourceAsMap.get("media_fileoriginalname");teachplanMediaPub.setCourseId(courseid);teachplanMediaPub.setMediaUrl(media_url);teachplanMediaPub.setMediaFileOriginalName(media_fileoriginalname);teachplanMediaPub.setMediaId(media_id);teachplanMediaPub.setTeachplanId(teachplan_id);//将对象加入到列表中teachplanMediaPubList.add(teachplanMediaPub);}//构建返回课程媒资信息对象QueryResult<TeachplanMediaPub> queryResult = new QueryResult<>();queryResult.setList(teachplanMediaPubList);queryResult.setTotal(totalHits);return new QueryResponseResult<TeachplanMediaPub>(CommonCode.SUCCESS,queryResult);} Controller / 根据课程计划id搜索发布后的媒资信息 @param teachplanId @return/@GetMapping(value="/getmedia/{teachplanId}")@Overridepublic TeachplanMediaPub getmedia(@PathVariable("teachplanId") String teachplanId) {//为了service的拓展性,所以我们service接收的是数组作为参数,以便后续开发查询多个ID的接口String[] teachplanIds = new String[]{teachplanId};//通过service查询ES获取课程媒资信息QueryResponseResult<TeachplanMediaPub> mediaPubQueryResponseResult = esCourseService.getmedia(teachplanIds);QueryResult<TeachplanMediaPub> queryResult = mediaPubQueryResponseResult.getQueryResult();if(queryResult!=null&& queryResult.getList()!=null&& queryResult.getList().size()>0){//返回课程计划对应课程媒资return queryResult.getList().get(0);} return new TeachplanMediaPub();} 测试 使用 swagger-ui 和 postman 测试课程媒资查询接口。 三、在线学习：接口开发 0x01 需求分析 根据下边的业务流程，本章节完成前端学习页面请求学习服务获取课程视频地址，并自动播放视频。 0x02 搭建开发环境 1、创建数据库 创建 xc_learning 数据库，学习数据库将记录学生的选课信息、学习信息。 导入：资料/xc_learning.sql 2、创建学习服务工程 参考课程管理服务工程结构，创建学习服务工程： 导入：资料/xc-service-learning.zip 项目工程结构如下 0x03 Api接口 此 api 接口是课程学习页面请求学习服务获取课程学习地址。 定义返回值类型： package com.xuecheng.framework.domain.learning.response;import com.xuecheng.framework.model.response.ResponseResult;import com.xuecheng.framework.model.response.ResultCode;import lombok.Data;import lombok.NoArgsConstructor;import lombok.ToString;@Data@ToString@NoArgsConstructorpublic class GetMediaResult extends ResponseResult {public GetMediaResult(ResultCode resultCode, String fileUrl) {super(resultCode);this.fileUrl = fileUrl;}//媒资文件播放地址private String fileUrl;} 定义接口，学习服务根据传入课程 ID、章节 Id(课程计划 ID)来取学习地址。 @Api(value = "录播课程学习管理",description = "录播课程学习管理")public interface CourseLearningControllerApi {@ApiOperation("获取课程学习地址")public GetMediaResult getMediaPlayUrl(String courseId,String teachplanId);} 0x04 服务端开发 需求分析 学习服务根据传入课程ID、章节Id(课程计划ID)请求搜索服务获取学习地址。 搜索服务注册Eureka 学习服务要调用搜索服务查询课程媒资信息，所以需要将搜索服务注册到 eureka 中。 1、查看服务名称是否为 xc-service-search 注意修改application.xml中的服务名称：spring:application:name: xc‐service‐search 2、配置搜索服务的配置文件 application.yml，加入 Eureka 配置 如下： eureka:client:registerWithEureka: true 服务注册开关fetchRegistry: true 服务发现开关serviceUrl: Eureka客户端与Eureka服务端进行交互的地址，多个中间用逗号分隔defaultZone: ${EUREKA_SERVER:http://localhost:50101/eureka/,http://localhost:50102/eureka/}instance:prefer-ip-address: true 将自己的ip地址注册到Eureka服务中ip-address: ${IP_ADDRESS:127.0.0.1}instance-id: ${spring.application.name}:${server.port} 指定实例idribbon:MaxAutoRetries: 2 最大重试次数，当Eureka中可以找到服务，但是服务连不上时将会重试，如果eureka中找不到服务则直接走断路器MaxAutoRetriesNextServer: 3 切换实例的重试次数OkToRetryOnAllOperations: false 对所有操作请求都进行重试，如果是get则可以，如果是post，put等操作没有实现幂等的情况下是很危险的,所以设置为falseConnectTimeout: 5000 请求连接的超时时间ReadTimeout: 6000 请求处理的超时时间 3、添加 eureka 依赖 <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring‐cloud‐starter‐netflix‐eureka‐client</artifactId></dependency> 4、修改启动类，在class上添加如下注解： @EnableDiscoveryClient 搜索服务客户端 在 学习服务 创建搜索服务的客户端接口，此接口会生成代理对象，调用搜索服务： package com.xuecheng.learning.client;import com.xuecheng.framework.domain.course.TeachplanMediaPub;import org.springframework.cloud.openfeign.FeignClient;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PathVariable;@FeignClient(value = "xc‐service‐search")public interface CourseSearchClient {@GetMapping(value="/getmedia/{teachplanId}")public TeachplanMediaPub getmedia(@PathVariable("teachplanId") String teachplanId);} 自定义错误代码 我们在 com.xuecheng.framework.domain.learning.response 包下自定义一个错误消息模型 package com.xuecheng.framework.domain.learning.response;import com.xuecheng.framework.model.response.ResultCode;import lombok.ToString;@ToStringpublic enum LearningCode implements ResultCode {LEARNING_GET_MEDIA_ERROR(false,23001,"学习中心获取媒资信息错误！");//操作代码boolean success;//操作代码int code;//提示信息String message;private LearningCode(boolean success, int code, String message){this.success = success;this.code = code;this.message = message;}@Overridepublic boolean success() {return success;}@Overridepublic int code() {return code;}@Overridepublic String message() {return message;} } 该消息模型基于 ResultCode 来实现，代码如下 package com.xuecheng.framework.model.response;/ Created by mrt on 2018/3/5. 10000-- 通用错误代码 22000-- 媒资错误代码 23000-- 用户中心错误代码 24000-- cms错误代码 25000-- 文件系统/public interface ResultCode {//操作是否成功,true为成功，false操作失败boolean success();//操作代码int code();//提示信息String message(); 从 ResultCode 中我们可以看出，我们约定了用户中心的错误代码使用 23000，所以我们定义的一些错误信息的代码就从 23000 开始计数。 Service 在学习服务中定义 service 方法，此方法远程请求课程管理服务、媒资管理服务获取课程学习地址。 package com.xuecheng.learning.service.impl;import com.netflix.discovery.converters.Auto;import com.xuecheng.framework.domain.course.TeachplanMediaPub;import com.xuecheng.framework.domain.learning.response.GetMediaResult;import com.xuecheng.framework.exception.ExceptionCast;import com.xuecheng.framework.model.response.CommonCode;import com.xuecheng.learning.client.CourseSearchClient;import com.xuecheng.learning.service.LearningService;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Service;@Servicepublic class LearningServiceImpl implements LearningService {@AutowiredCourseSearchClient courseSearchClient;/ 远程调用搜索服务获取已发布媒体信息中的url @param courseId 课程id @param teachplanId 媒体信息id @return/@Overridepublic GetMediaResult getMediaPlayUrl(String courseId, String teachplanId) {//校验学生权限,是否已付费等//远程调用搜索服务进行查询媒体信息TeachplanMediaPub mediaPub = courseSearchClient.getmedia(teachplanId);if(mediaPub == null) ExceptionCast.cast(CommonCode.FAIL);return new GetMediaResult(CommonCode.SUCCESS, mediaPub.getMediaUrl());} } Controller 调用 service 根据课程计划 id 查询视频播放地址： @RestController@RequestMapping("/learning/course")public class CourseLearningController implements CourseLearningControllerApi {@AutowiredLearningService learningService;@Override@GetMapping("/getmedia/{courseId}/{teachplanId}")public GetMediaResult getMediaPlayUrl(@PathVariable String courseId, @PathVariable String teachplanId) {//获取课程学习地址return learningService.getMedia(courseId, teachplanId);} } 测试 使用 swagger-ui 或postman 测试学习服务查询课程视频地址接口。 0x05 前端开发 需求分析 需要在学习中心前端页面需要完成如下功能： 1、进入课程学习页面需要带上 课程 Id参数及课程计划Id的参数，其中 课程 Id 参数必带，课程计划 Id 可以为空。 2、进入页面根据 课程 Id 取出该课程的课程计划显示在右侧。 3、进入页面后判断如果请求参数中有课程计划 Id 则播放该章节的视频。 4、进入页面后判断如果 课程计划id 为0则需要取出本课程第一个 课程计划的Id，并播放第一个课程计划的视频。 进入到模块 xc-ui-pc-leanring/src/module/course api方法 let sysConfig = require('@/../config/sysConfig')let apiUrl = sysConfig.xcApiUrlPre;/获取播放地址/export const get_media = (courseId,chapter) => {return http.requestGet(apiUrl+'/api/learning/course/getmedia/'+courseId+'/'+chapter);} 配置代理 在 Nginx 中的 ucenter.xuecheng.com 虚拟主机中配置 /api/learning/ 的路径转发，此url 请转发到学习服务。 学习服务upstream learning_server_pool{server 127.0.0.1:40600 weight=10;}学成网用户中心server {listen 80;server_name ucenter.xuecheng.com;个人中心location / {proxy_pass http://ucenter_server_pool;}后端搜索服务location /openapi/search/ {proxy_pass http://search_server_pool/search/; }学习服务location ^~ /api/learning/ {proxy_pass http://learning_server_pool/learning/;} } 视频播放页面 1、如果传入的课程计划id为0则取出第一个课程计划id 在 created 钩子方法中完成 created(){//当前请求的urlthis.url = window.location//课程idthis.courseId = this.$route.params.courseId//章节idthis.chapter = this.$route.params.chapter//查询课程信息systemApi.course_view(this.courseId).then((view_course)=>{if(!view_course || !view_course[this.courseId]){this.$message.error("获取课程信息失败，请重新进入此页面！")return ;}let courseInfo = view_course[this.courseId]console.log(courseInfo)this.coursename = courseInfo.nameif(courseInfo.teachplan){console.log("准备开始播放视频")let teachplan = JSON.parse(courseInfo.teachplan);this.teachplanList = teachplan.children;//开始学习if(this.chapter == "0" || !this.chapter){//取出第一个教学计划this.chapter = this.getFirstTeachplan();console.log("第一个教学计划id为 ",this.chapter);this.study(this.chapter);}else{this.study(this.chapter);} }})}, 取出第一个章节 id，用户未输入课程计划 id 或者输入为 0 时，播放第一个。 //取出第一个章节getFirstTeachplan(){for(var i=0;i<this.teachplanList.length;i++){let firstTeachplan = this.teachplanList[i];//如果当前children存在，则取出第一个返回if(firstTeachplan.children && firstTeachplan.children.length>0){let secondTeachplan = firstTeachplan.children[0];return secondTeachplan.id;} }return ;}, 开始学习： //开始学习study(chapter){// 获取播放地址courseApi.get_media(this.courseId,chapter).then((res)=>{if(res.success){let fileUrl = sysConfig.videoUrl + res.fileUrl//播放视频this.playvideo(fileUrl)}else if(res.message){this.$message.error(res.message)}else{this.$message.error("播放视频失败，请刷新页面重试")} }).catch(res=>{this.$message.error("播放视频失败，请刷新页面重试")});}, 2、点击右侧课程章节切换播放 在原有代码基础上添加 click 事件，点击调用开始学习方法（study）。 <li v‐if="teachplan_first.children!=null" v‐for="(teachplan_second, index) inteachplan_first.children"><i class="glyphicon glyphicon‐check"></i><a :href="url" @click="study(teachplan_second.id)">{ {teachplan_second.pname} }</a></li> 3、地址栏路由url变更 这里需要注意一个问题，在用户点击课程章节切换播放时，地址栏的 url 也应该同步改变为当前所选择的课程计划 id 4、在线学习按钮 将 learnstatus 默认更改为 1，这样就能显示出马上学习的按钮，方便我们后续的集成测试。 文件路径为 xc-ui-pc-static-portal/include/course_detail_dynamic.html 部分代码块如下 <script>var body= new Vue({ //创建一个Vue的实例el: "body", //挂载点是id="app"的地方data: {editLoading: false,title:'测试',courseId:'',charge:'',//203001免费,203002收费learnstatus: 1 ,//课程状态，1：马上学习，2：立即报名、3：立即购买course:{},companyId:'template',company_stat:[],course_stat:{"s601001":"","s601002":"","s601003":""} }, 简单的测试 访问在线学习页面：http://ucenter.xuecheng.com//learning/课程id/课程计划id 通过 url 传入两个参数：课程id 和 课程计划id 如果没有课程计划则传入0 测试项目如下： 1、传入正确的课程id、课程计划id，自动播放本章节的视频 2、传入正确的课程id、课程计划id传入0，自动播放第一个视频 3、传入错误的课程id 或 课程计划id，提示错误信息。 4、通过右侧章节目录切换章节及播放视频。 访问： http://ucenter.xuecheng.com//learning/4028e58161bcf7f40161bcf8b77c0000/4028e58161bd18ea0161bd1f73190008 传入正确的课程id、课程计划id，自动播放本章节的视频 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ef0xxym7-1595567273153)(https://qnoss.codeyee.com/20200704_15/image17)] 传入正确的课程id、课程计划id传入0，自动播放第一个视频 访问 http://ucenter.xuecheng.com//learning/4028e58161bcf7f40161bcf8b77c0000/0 识别出第一个课程计划的 id 需要注意的是这里的 chapter 参数是我自己在 study 函数里加上去的，可以忽略。 传入错误的课程id或课程计划id，提示错误信息。 通过右侧章节目录切换章节及播放视频。 点击章节即可播放，但是点击制定章节后 url 没有发生改变，这个问题暂时还没有解决，关注笔记后面的内容。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TOGdxwb4-1595567273158)(https://qnoss.codeyee.com/20200704_15/image20)] 完整的测试 准备工作 启动 RabbitMQ，启动 Logstash、ElasticSearch 建议把所有后端服务都开起来 启动 前端静态门户、启动 nginx 、启动课程管理前端 我们整理一下测试的流程 上传两个媒资视频文件，用于测试 进入到课程管理，为课程计划选择媒资信息 发布课程，等待 logstash 将数据采集到 ElasticSearch 的索引库中 进入学成网主页，点击课程，进入到搜索门户页面 搜索课程，进入到课程详情页面 点击开始学习，进入到课程学习页面，选择课程计划中的一个章节进行学习。 1、上传文件 首先我们使用之前开发的媒资管理模块，上传两个视频文件用于测试。 第一个文件上传成功 一些问题 在上传第二个文件时，发生了错误，我们来检查一下问题出在了哪里 在媒体服务的控制台中可以看到，在 mergeChunks 方法在校验文件 md5 时候抛出了异常 我们在 MD5 校验这里打个断点，重新上传文件，分析一下问题所在。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OpEMZGI8-1595567273166)(https://qnoss.codeyee.com/20200704_15/image23)] 单步调试后发现，合并文件后的MD5值与用户上传的源文件值不相等 方案1：删除本地分块文件重新尝试上传 考虑到可能是在用户上传完 视频的分块文件时发生了一些问题，导致合并文件后与源文件的大小不等，导致MD5也不相同，这里我们把这个视频上传到本地的文件全部删除，在媒资上传页面重新上传文件。 对比所有分块文件的字节大小和本地源文件的大小，完全是相等的 删除所有文件后重新上传，md5值还是不等，考虑从调试一下文件合并的代码。 方案2：检查前端提交的MD5值是否正确 在查阅是否有其他的MD5值获取方案时，发现了一个使用 windows 本地命令获取文件MD5值的方法 certutil -hashfile .\19-在线学习接口-集成测试.avi md5 惊奇的发现，TM的原来是前端那边转换的MD5值不正确，后端这边是没有问题的。 从前面的图可以看出，本地和后端转换的都是以一个 f6f0 开头的MD5值 那么问题就出现在前端了，还需要花一些时间去分析一下，这里暂时就先告一段落，因为上传了几个文件测试中只有这一个文件出现了问题。 2、为课程计划选择媒资信息 进入到一个课程的管理页面 http://localhost:12000//course/manage/baseinfo/4028e58161bcf7f40161bcf8b77c0000 将刚才我们上传的媒资文件的信息和课程计划绑定 选择效果如下 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-epKaqzCD-1595567273178)(https://qnoss.codeyee.com/20200704_15/image29)] 2、发布课程，等待 logstash 从 course_pub 以及 teachplan_media_pub 表中采集数据到 ElasticSearch 当中 发布成功后，我们可以从 teachplan_media_pub 表中看到刚才我们发布的媒资信息 再观察 Logstash 的控制台，发现两个 Logstash 的实例都对更新的课程发布信息进行了采集 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hTUve2ik-1595567273183)(https://qnoss.codeyee.com/20200704_15/image32)] 3、前端门户测试 打开我们的门户主站 http://www.xuecheng.com/ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4wZe9R84-1595567273185)(https://qnoss.codeyee.com/20200704_15/image33)] 点击导航栏的课程，进入到我们的搜索门户页面 如果无法进入到搜索门户，请检查你的 xc-ui-pc-portal 前端工程是否已经启动 进入到搜索门户后，可以看到一些初始化时搜索的课程数据，默认是搜索第一页的数据，每页2个课程。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BJ1AKoJb-1595567273187)(https://qnoss.codeyee.com/20200704_15/image34)] 我们可以测试搜索一下前面我们选择媒资信息时所用的课程 点击课程，进入到课程详情页面，然后再点击开始学习。 点击马上学习后，会进入到该课程的在线学习页面，默认自动播放我们第一个课程计划中的视频。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tcuLWnf2-1595567273193)(https://qnoss.codeyee.com/20200704_15/image37)] 我们可以在右侧的目录中选择第二个课程计划，会自动播放所选的课程计划所对应的媒资视频播放地址，该 播放地址正是我们刚才通过 Logstash 自动采集到 ElasticSearch 的索引信息，效果图如下 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Cvi9Dr0Y-1595567273195)(https://qnoss.codeyee.com/20200704_15/image38)] 四、待完善的一些功能 课程发布前，校验课程计划里面是否包含二级课程计划 课程发布前，校验课程计划信息里面是否全部包含媒资信息 删除媒资信息，并且同步删除ES中的索引 在获取该课程的播放地址时校验用户的合法、 在线学习页面，点击右侧目录中的课程计划同时改变url中的课程计划地址 视频文件 19-在线学习接口-集成测试.avi 前端上传时提交的MD5值不正确 😁 认识作者 作者：👦 LCyee ，全干型代码🐕 自建博客：https://www.codeyee.com 记录学习以及项目开发过程中的笔记与心得，记录认知迭代的过程，分享想法与观点。 CSDN 博客：https://blog.csdn.net/codeyee 记录和分享一些开发过程中遇到的问题以及解决的思路。 欢迎加入微服务练习生的队伍，一起交流项目学习过程中的一些问题、分享学习心得等，不定期组织一起刷题、刷项目，共同见证成长。 本篇文章为转载内容。原文链接：https://blog.csdn.net/codeyee/article/details/107558901。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

SpringBoot集成JUnit进行单元测试：深入实践与探索 在现代Java开发领域，SpringBoot已经成为构建高效、简洁应用程序的事实标准。JUnit，这可是Java世界里无人不知、无人不晓的最火爆的单元测试工具，它跟SpringBoot之间那叫一个亲密无间、浑然一体。这俩搭档起来，简直就是我们开发过程中的超级守护神和贴心小助手，让我们干活儿既放心又有速度。本文将通过丰富的代码示例，带你一起探索如何在SpringBoot项目中充分利用JUnit进行单元测试。 1. 引言 首先，让我们理解一下为何单元测试如此重要。在我们实际搞开发的时候，单元测试就相当于程序员的好哥们儿“安全网”。每当咱们对代码动手脚时，它能及时帮咱确认之前的那些功能是不是还在正常运转，这样一来啊，就能有效避免老功能突然撂挑子的情况，大大提升咱们软件的品质和稳定性。结合SpringBoot与JUnit，我们可以在模拟环境中对服务层、数据访问层等组件进行独立且精准的测试。 2. SpringBoot项目中的JUnit配置 在SpringBoot项目中使用JUnit非常简单，只需要在pom.xml文件中添加相应的依赖即可： xml org.springframework.boot spring-boot-starter-test test 这段配置引入了Spring Boot Test Starter，其中包括了JUnit以及Mockito等一系列测试相关的库。 3. 编写SpringBoot应用的单元测试 假设我们有一个简单的SpringBoot服务类UserService，下面是如何为其编写单元测试的实例： java import org.junit.jupiter.api.Test; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.test.context.SpringBootTest; @SpringBootTest public class UserServiceTest { @Autowired private UserService userService; // 我们要测试的服务类 @Test public void testGetUserById() { // 假设我们有一个获取用户信息的方法 User user = userService.getUserById(1); // 断言结果符合预期 assertNotNull(user); assertEquals("预期的用户名", user.getUsername()); } // 更多测试方法... } 在这个例子中，@SpringBootTest注解使得Spring Boot应用上下文被加载，从而我们可以注入需要测试的服务对象。@Test注解则标记了这是一个单元测试方法。 4. 使用MockMvc进行Web接口测试 当我们要测试Controller层的时候，可以借助SpringBootTest提供的MockMvc工具进行模拟请求测试： java import org.junit.jupiter.api.Test; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc; import org.springframework.boot.test.context.SpringBootTest; import org.springframework.test.web.servlet.MockMvc; import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get; import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status; @SpringBootTest @AutoConfigureMockMvc public class UserControllerTest { @Autowired private MockMvc mockMvc; @Test public void testGetUser() throws Exception { mockMvc.perform(get("/users/1")) .andExpect(status().isOk()); // 可以进一步解析响应内容并进行断言 } } 在这段代码中，@AutoConfigureMockMvc注解会自动配置一个MockMvc对象，我们可以用它来模拟HTTP请求，并检查返回的状态码或响应体。 5. 结语 通过以上示例，我们可以看到SpringBoot与JUnit的集成使单元测试变得更加直观和便捷。这东西可不简单，它不仅能帮我们把每一行代码都捯饬得准确无误，更是在持续集成和持续部署（CI/CD）这一套流程里，扮演着不可或缺的关键角色。所以，亲，听我说，把单元测试搂得紧紧的，特别是在像SpringBoot这样新潮的开发框架下，绝对是每个程序员提升代码质量和效率的必修课。没有它，你就像是在编程大道上少了一双好跑鞋，知道不？在实际动手操作中不断摸索和探究，你会发现单元测试就像一颗隐藏的宝石，充满了让人着迷的魅力。而且，你会更深刻地感受到，它在提升开发过程中的快乐指数、让你编程生活更加美滋滋这方面，可是起着大作用呢！