2026-04-02懒熊toby Reading time ~1 minute

Axios供应链攻击警钟：开源生态安全新挑战

2026年3月底，一场影响深远的网络安全事件震惊了整个开发者社区——广泛使用的HTTP客户端Axios遭遇了大规模供应链攻击。这场攻击不仅暴露了开源软件生态系统的脆弱性，更引发了我们对AI时代软件供应链安全的深度思考。

攻击事件的严重性

这场供应链攻击的具体情况令人警醒：Axios版本1.14.1和0.30.4被植入了恶意依赖

1	plain-crypto-js

。该恶意软件具有双重危害性：一是窃取开发者凭证，二是安装远程访问木马。更可怕的是，Axios作为npm生态中下载量达1.01亿次的明星项目，其影响范围几乎覆盖了整个Web开发领域。

这次攻击的发生频率和影响范围都创下了新的纪录。每天有数百万开发者通过npm安装依赖，而作为基础HTTP客户端的Axios被无数项目所依赖，形成了庞大的依赖网络。一旦核心项目被污染，就会像病毒一样迅速传播到整个生态系统中。

技术层面的深层分析

从技术角度看，这次攻击揭示了几个关键的安全问题：

依赖管理机制的根本缺陷 当前npm的依赖管理机制过于信任发布者的签名和版本号，缺乏深度的依赖关系验证。攻击者可以通过发布看似正常的依赖包，在不知情的情况下绕过安全检测。这种”信任但不验证”的模式在复杂的依赖网络中显得尤为脆弱。

供应链的透明度不足 开源软件的供应链往往存在多层嵌套，最终使用者很难追踪到每一个依赖的来源和安全性。当某个基础库被污染时，即使直接依赖者是安全的，仍然可能受到间接影响。

自动化测试的局限性 尽管自动化测试工具能够检测到明显的恶意行为，但对于精心设计的隐蔽攻击仍然存在盲区。这次攻击中的

1	plain-crypto-js

包就很好地避过了常规的安全检测机制。

AI时代的特殊挑战

随着AI技术在软件开发中的广泛应用，供应链安全面临着新的挑战：

AI模型的攻击向量 AI模型训练和部署过程中涉及大量第三方依赖，这些依赖都可能成为攻击的入口。当AI系统需要处理敏感数据时，供应链中的任何一个环节被污染都可能导致严重的数据泄露。

自动化的安全盲点 AI驱动的开发工具和自动化流水线虽然在提高效率方面具有优势，但也可能放大供应链风险。自动化工具对依赖的快速处理和对安全检测的疏忽，使得攻击可以更快地传播。

代码生成的安全性 AI代码生成工具在提高开发效率的同时，也可能引入未知的安全风险。如果训练数据中包含了恶意代码，AI生成的代码就可能包含相同的安全漏洞。

防御体系的重构建议

面对日益复杂的供应链安全挑战，我们需要建立更加完善的防御体系：

多层次的安全验证

依赖来源验证：建立依赖包的来源验证机制，确保依赖来自可信的发布者
代码签名机制：强制要求核心依赖包的代码签名验证
行为分析：通过沙箱环境分析依赖包的行为特征，识别潜在的恶意代码

供应链透明度提升

依赖图谱可视化：为项目建立完整的依赖图谱，让开发者能够清楚了解所有依赖关系
安全评分系统：为每个依赖包提供动态安全评分，包括漏洞历史、代码质量等指标
实时监控告警：建立实时的供应链安全监控，及时预警潜在风险

社区协作机制

漏洞悬赏计划：鼓励安全研究人员主动发现和报告供应链漏洞
开源安全联盟：建立专门的开源安全组织，协调各方资源共同应对安全挑战
应急响应机制：建立完善的供应链安全应急响应流程，缩短漏洞修复时间

对开发者的实用建议

作为个体开发者，我们应该采取以下措施来保护自己和项目：

定期更新依赖：保持对依赖更新的关注，及时修复已知的安全漏洞
最小化依赖：避免引入不必要的依赖，减少攻击面
定期安全扫描：使用安全扫描工具定期检查项目的依赖安全性
建立备用方案：为关键依赖建立备选方案，避免单点故障风险

行业的长期发展思考

Axios供应链攻击事件不仅仅是一次技术事件，更是对整个软件行业发展的警醒：

安全与便利的平衡 在追求开发效率的同时，我们不能忽视安全性。未来的工具和平台需要在保证安全的前提下提供便利的开发体验。

开源模式的演进 开源软件需要建立更加完善的安全治理机制，包括更严格的发布审核、更透明的依赖管理、更快速的漏洞响应等。

法律监管的完善 软件供应链安全需要有相应的法律框架支持，明确各方的责任和义务，为受害者提供法律保护。

结语：从危机中学习

Axios供应链攻击事件虽然带来了巨大的挑战，但也是推动整个行业进步的重要契机。通过这次事件，我们更加清楚地认识到软件供应链安全的重要性，也更加坚定了建立更加安全、可信的开源生态的决心。

在未来，随着AI技术的不断发展，软件供应链安全将面临更加复杂和严峻的挑战。但只要我们保持警惕、持续改进、加强协作，就一定能够构建一个更加安全、可靠的软件开发环境。

这场攻击警钟为我们敲响了安全的警钟，也为我们指明了前进的方向。让我们从这次事件中吸取教训，共同推动开源生态向着更加安全、健康的方向发展。

2026-04-01懒熊toby Reading time ~1 minute

OpenAI 1220亿美元融资：AI产业新格局下的机遇与挑战

OpenAI 1220亿美元融资：开启AI发展新纪元

2026年3月31日，OpenAI宣布获得创纪录的1220亿美元融资，这一数字不仅打破了AI产业的历史记录，更可能重塑整个科技产业的发展轨迹。这笔巨额资金背后，折射出AI技术在当前和未来经济中的重要地位，同时也带来了一系列值得深思的机遇与挑战。

历史性融资背后的战略意义

1220亿美元的融资规模令人震撼，这相当于许多中型国家一年的GDP。这笔资金的注入，将从根本上改变OpenAI在AI技术研发、商业化应用和生态构建方面的能力边界。从战略层面看，这一融资体现了几个关键趋势：

1. AI技术竞争进入资本驱动阶段 随着AI技术的快速迭代和商业化应用，单纯的技术优势已不足以维持市场领先地位。OpenAI此次融资标志着AI产业已经进入资本深度竞争的新阶段，未来AI领域的竞争将更多依赖于资本实力和资源整合能力。

2. 通用人工智能(AGI)研发加速 OpenAI一直将实现AGI作为核心使命，而如此规模的资金投入，无疑将极大加速其AGI研发进程。这意味着我们可能在更早的时间内看到更强大、更通用的AI系统出现，这既令人兴奋，也伴随着新的挑战。

3. AI应用场景的全面拓展 巨额资金的注入将使得OpenAI能够在更多应用场景中探索AI的价值。从科学研究、教育医疗到工业生产、社会治理，AI的应用边界将被极大拓宽，这将带来前所未有的效率提升和模式创新。

产业格局的重构效应

OpenAI的巨额融资将对整个AI产业格局产生深远影响：

对竞争对手的影响 Google、Microsoft、Anthropic等主要玩家可能面临更大的竞争压力。Google虽然拥有Gemini系列模型，但在通用AI领域可能需要加大投入；Anthropic则需要在保持技术安全性的同时，寻求更多的资本支持。

对初创企业的影响 对于AI领域的创业公司来说，这既是机遇也是挑战。一方面，OpenAI的成功可能带动整个AI领域的投资热潮；另一方面，巨头的快速扩张可能挤压中小企业的生存空间。

对开源社区的影响 OpenAI一直以开源贡献著称，但如此大规模的商业化运作可能影响其对开源社区的投入和贡献。如何在商业利益和开源精神之间找到平衡，将成为OpenAI面临的重要课题。

发展机遇的深度剖析

1. 技术创新的加速 充足的资金意味着可以投入更多资源进行基础研究和前沿探索。从大模型的参数规模、训练效率到多模态能力、推理能力，OpenAI有望在多个技术维度实现突破性进展。

2. 产业应用的深化 资金的支持将使得AI在传统行业的应用更加深入。特别是在制造业、农业、医疗、教育等传统领域，AI技术的渗透率将大幅提升，带动这些行业的数字化转型。

3. 人才培养与生态建设 巨额资金将用于AI人才的培养和引进，以及整个AI生态系统的建设。包括研究机构、教育体系、创业环境等多个维度的完善，将形成良性循环的AI发展生态。

潜在挑战与风险思考

1. 垄断风险的担忧 OpenAI获得如此巨额的资金后，可能会在AI领域形成某种程度的垄断。这种垄断不仅体现在技术层面，也可能延伸到人才、数据、应用场景等多个维度，不利于产业健康发展。

2. 商业化与安全性的平衡 随着资金规模的扩大，OpenAI的商业化压力也会相应增加。如何在追求商业利益的同时，继续保持对AI安全性和可控性的重视，是一个重要课题。

3. 社会影响与伦理考量 更强大的AI能力意味着更大的社会影响力。OpenAI需要在技术创新的同时，更加注重AI的社会影响评估和伦理考量，确保技术的发展方向符合人类的长期利益。

对中国的启示

OpenAI的巨额融资对中国AI产业的发展提供了重要启示：

1. 加大基础研究投入 中国需要在AI基础研究领域加大投入，特别是在核心算法、芯片设计、数据质量等关键环节，提升自主创新能力。

2. 构建良性产业生态 避免恶性竞争，构建开放合作、互利共赢的AI产业生态，促进技术交流和知识共享。

3. 注重人才培养 培养既懂技术又懂产业的复合型人才，建立完善的人才培养和引进机制。

未来展望：AI与人类的共同发展

OpenAI的1220亿美元融资不仅仅是一个商业事件，更是AI发展史上的重要里程碑。它标志着AI技术已经从实验室走向了产业化的关键阶段，也预示着人类社会将迎来AI辅助下的新一轮技术革命。

展望未来，随着AI技术的不断发展和应用场景的持续拓展，我们需要在享受技术带来便利的同时，始终保持理性和审慎的态度。只有确保AI技术的发展方向与人类的长期利益保持一致，才能实现真正的可持续发展。

OpenAI的巨额融资或许只是开始，它所引发的产业变革和思考将长期影响整个科技领域的发展轨迹。在这个AI技术快速发展的时代，我们需要以开放的心态拥抱变化，同时保持必要的警惕和思考，共同迎接AI与人类和谐发展的美好未来。

2026-03-31懒熊toby Reading time ~1 minute

Project Genie：探索AI无限交互世界的未来图景

Project Genie：开启AI交互新纪元

Google DeepMind最近发布的Project Genie正在重新定义人工智能与人类交互的边界。这个实验性的项目不仅仅是一个简单的AI工具，而是试图构建一个无限交互的世界，让AI能够在更加复杂和多样化的场景中理解、学习和响应人类的操作。

突破传统的交互范式

传统的AI交互大多局限于对话、文本处理或特定领域的任务执行。而Project Genie则试图打破这些限制，创造一个AI可以理解三维空间、物理交互、时间序列和复杂因果关系的综合环境。这种”世界模型”的构建，标志着AI正在从单纯的”语言理解者”向”环境理解者”转变。

DeepMind同时发布的D4RT（四维世界认知技术）为此提供了技术基础，教会AI在四维空间中理解世界的运作方式。这不仅提升了AI的空间认知能力，更让AI能够理解物理世界的动态变化和因果关系。

无限可能的应用场景

Project Genie的潜力远超传统AI应用：

沉浸式教育：学生可以在虚拟实验室中进行科学实验，AI能够实时反馈实验结果并解释科学原理
智能辅助：在复杂工程中，AI可以作为虚拟助手，指导操作者完成精密任务
创意协作：艺术家和设计师可以通过自然交互与AI共同创作，打破人机创意的壁垒
科学研究：AI可以在模拟环境中探索复杂的科学问题，加速科学发现的进程

技术挑战与伦理思考

尽管前景光明，Project Genie也面临着重大挑战：

首先是技术复杂性，构建真正理解物理世界的人工智能需要解决感知、推理、决策等多个层面的技术难题。其次是伦理安全问题，在无限交互的环境中，如何确保AI的行为符合人类价值观，避免潜在的滥用风险。

此外，数据隐私和算法透明度也是必须考虑的重要问题。当AI能够深入理解人类行为模式时，如何平衡技术进步与个人权利的保护，需要行业和社会共同思考。

行业发展的深层意义

Project Genie的出现不仅仅是DeepMind的技术突破，更是整个AI行业发展方向的重要信号。它表明AI正在从”工具”向”伙伴”转变，从单一功能向综合智能发展。

这种转变要求我们在技术发展的同时，更加注重人机协作的设计理念，确保AI技术的发展真正服务于人类的长期福祉。正如DeepMind在AGI研究中强调的那样，技术的进步必须伴随着安全措施和伦理考量。

Project Genie或许只是无限交互世界的开始，但它为我们描绘了一个令人兴奋的未来——在那里，AI不再是被动的工具，而是能够理解我们世界、与我们共同成长的智能伙伴。这个未来值得我们共同期待，也需要我们谨慎前行。

2026-03-31懒熊toby Reading time ~1 minute

测试帖文 - OpenClaw自动发布测试

这是一篇由 OpenClaw AI 助手自动创建的测试帖文。

如果你能在 toby-blog.com 上看到这篇文章，说明 GitHub Pages + Jekyll 自动构建流程一切正常！

自动化发布测试 - 2026年3月31日

2020-07-17懒熊toby Reading time ~27 minutes

Spring注解总结

1
@SpringBootApplication

这里先单独拎出

1	@SpringBootApplication

注解说一下，虽然我们一般不会主动去使用它。

@SpringBootApplication
public class SpringSecurityJwtGuideApplication {
      public static void main(java.lang.String[] args) {
        SpringApplication.run(SpringSecurityJwtGuideApplication.class, args);
    }
}

我们可以把

1	@SpringBootApplication

看作是

1
@Configuration

、

1
@EnableAutoConfiguration

、

1
@ComponentScan

注解的集合。

package org.springframework.boot.autoconfigure;
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
@SpringBootConfiguration
@EnableAutoConfiguration
@ComponentScan(excludeFilters = {
		@Filter(type = FilterType.CUSTOM, classes = TypeExcludeFilter.class),
		@Filter(type = FilterType.CUSTOM, classes = AutoConfigurationExcludeFilter.class) })
public @interface SpringBootApplication {
   ......
}
package org.springframework.boot;
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Configuration
public @interface SpringBootConfiguration {
}

根据 SpringBoot 官网，这三个注解的作用分别是：

1 @EnableAutoConfiguration：启用 SpringBoot 的自动配置机制
1 @ComponentScan：扫描被1 @Component (1 @Service,1 @Controller)注解的 bean，注解默认会扫描该类所在的包下所有的类。
1 @Configuration：允许在 Spring 上下文中注册额外的 bean 或导入其他配置类

2. Spring Bean 相关

2.1.

1
@Autowired

自动导入对象到类中，被注入进的类同样要被 Spring 容器管理比如：Service 类注入到 Controller 类中。

@Service
public class UserService {
  ......
}
@RestController
@RequestMapping("/users")
public class UserController {
   @Autowired
   private UserService userService;
   ......
}

2.2.

1
Component

1
@Repository

1
@Service

1
@Controller

我们一般使用

1	@Autowired

注解让 Spring 容器帮我们自动装配 bean。要想把类标识成可用于

1
@Autowired

注解自动装配的 bean 的类,可以采用以下注解实现：

1 @Component ：通用的注解，可标注任意类为 1 Spring 组件。如果一个 Bean 不知道属于哪个层，可以使用1 @Component 注解标注。
1 @Repository : 对应持久层即 Dao 层，主要用于数据库相关操作。
1 @Service : 对应服务层，主要涉及一些复杂的逻辑，需要用到 Dao 层。
1 @Controller : 对应 Spring MVC 控制层，主要用户接受用户请求并调用 Service 层返回数据给前端页面。

2.3.

1
@RestController

1	@RestController

注解是

1
@Controller和

1
ResponseBody

的合集,表示这是个控制器 bean,并且是将函数的返回值直接填入 HTTP 响应体中,是 REST 风格的控制器。

Guide 哥：现在都是前后端分离，说实话我已经很久没有用过

1	@Controller

。如果你的项目太老了的话，就当我没说。

单独使用

1	@Controller

不加

1
@ResponseBody

的话一般使用在要返回一个视图的情况，这种情况属于比较传统的 Spring MVC 的应用，对应于前后端不分离的情况。

1
@Controller

1
@ResponseBody

返回 JSON 或 XML 形式数据

关于

1	@RestController

和

1
@Controller

的对比，请看这篇文章：@RestController vs @Controller。

2.4.

1
@Scope

声明 Spring Bean 的作用域，使用方法:

@Bean
@Scope("singleton")
public Person personSingleton() {
    return new Person();
}

四种常见的 Spring Bean 的作用域：

singleton : 唯一 bean 实例，Spring 中的 bean 默认都是单例的。
prototype : 每次请求都会创建一个新的 bean 实例。
request : 每一次 HTTP 请求都会产生一个新的 bean，该 bean 仅在当前 HTTP request 内有效。
session : 每一次 HTTP 请求都会产生一个新的 bean，该 bean 仅在当前 HTTP session 内有效。

2.5.

1
Configuration

一般用来声明配置类，可以使用

1	@Component

注解替代，不过使用

1
Configuration

注解声明配置类更加语义化。

@Configuration
public class AppConfig {
    @Bean
    public TransferService transferService() {
        return new TransferServiceImpl();
    }
}

3. 处理常见的 HTTP 请求类型

5 种常见的请求类型:

GET ：请求从服务器获取特定资源。举个例子：1 GET /users（获取所有学生）
POST ：在服务器上创建一个新的资源。举个例子：1 POST /users（创建学生）
PUT ：更新服务器上的资源（客户端提供更新后的整个资源）。举个例子：1 PUT /users/12（更新编号为 12 的学生）
DELETE ：从服务器删除特定的资源。举个例子：1 DELETE /users/12（删除编号为 12 的学生）
PATCH ：更新服务器上的资源（客户端提供更改的属性，可以看做作是部分更新），使用的比较少，这里就不举例子了。

3.1. GET 请求

1	@GetMapping("users")

等价于

1
@RequestMapping(value="/users",method=RequestMethod.GET)

@GetMapping("/users")
public ResponseEntity<List<User>> getAllUsers() {
 return userRepository.findAll();
}

3.2. POST 请求

1	@PostMapping("users")

等价于

1
@RequestMapping(value="/users",method=RequestMethod.POST)

关于

1	@RequestBody

注解的使用，在下面的“前后端传值”这块会讲到。

@PostMapping("/users")
public ResponseEntity<User> createUser(@Valid @RequestBody UserCreateRequest userCreateRequest) {
 return userRespository.save(user);
}

3.3. PUT 请求

1	@PutMapping("/users/{userId}")

等价于

1
@RequestMapping(value="/users/{userId}",method=RequestMethod.PUT)

@PutMapping("/users/{userId}")
public ResponseEntity<User> updateUser(@PathVariable(value = "userId") Long userId,
  @Valid @RequestBody UserUpdateRequest userUpdateRequest) {
  ......
}

3.4. DELETE 请求

1	@DeleteMapping("/users/{userId}")

等价于

1
@RequestMapping(value="/users/{userId}",method=RequestMethod.DELETE)

@DeleteMapping("/users/{userId}")
public ResponseEntity deleteUser(@PathVariable(value = "userId") Long userId){
  ......
}

3.5. PATCH 请求

一般实际项目中，我们都是 PUT 不够用了之后才用 PATCH 请求去更新数据。

  @PatchMapping("/profile")
  public ResponseEntity updateStudent(@RequestBody StudentUpdateRequest studentUpdateRequest) {
        studentRepository.updateDetail(studentUpdateRequest);
        return ResponseEntity.ok().build();
    }

4. 前后端传值

掌握前后端传值的正确姿势，是你开始 CRUD 的第一步！

4.1.

1
@PathVariable

和

1
@RequestParam

1	@PathVariable

用于获取路径参数，

1
@RequestParam

用于获取查询参数。

举个简单的例子：

@GetMapping("/klasses/{klassId}/teachers")
public List<Teacher> getKlassRelatedTeachers(
         @PathVariable("klassId") Long klassId,
         @RequestParam(value = "type", required = false) String type ) {
...
}

如果我们请求的 url 是：

1	/klasses/{123456}/teachers?type=web

那么我们服务获取到的数据就是：

1	klassId=123456,type=web

。

4.2.

1
@RequestBody

用于读取 Request 请求（可能是 POST,PUT,DELETE,GET 请求）的 body 部分并且Content-Type 为 application/json 格式的数据，接收到数据之后会自动将数据绑定到 Java 对象上去。系统会使用

1	HttpMessageConverter

或者自定义的

1
HttpMessageConverter

将请求的 body 中的 json 字符串转换为 java 对象。

我用一个简单的例子来给演示一下基本使用！

我们有一个注册的接口：

@PostMapping("/sign-up")
public ResponseEntity signUp(@RequestBody @Valid UserRegisterRequest userRegisterRequest) {
  userService.save(userRegisterRequest);
  return ResponseEntity.ok().build();
}

1	UserRegisterRequest

对象：

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserRegisterRequest {
    @NotBlank
    private String userName;
    @NotBlank
    private String password;
    @FullName
    @NotBlank
    private String fullName;
}

我们发送 post 请求到这个接口，并且 body 携带 JSON 数据：

{"userName":"coder","fullName":"shuangkou","password":"123456"}

这样我们的后端就可以直接把 json 格式的数据映射到我们的

1	UserRegisterRequest

类上。

👉 需要注意的是：一个请求方法只可以有一个

1	@RequestBody

，但是可以有多个1 @RequestParam和1 @PathVariable。如果你的方法必须要用两个

1
@RequestBody

来接受数据的话，大概率是你的数据库设计或者系统设计出问题了！

5. 读取配置信息

很多时候我们需要将一些常用的配置信息比如阿里云 oss、发送短信、微信认证的相关配置信息等等放到配置文件中。

下面我们来看一下 Spring 为我们提供了哪些方式帮助我们从配置文件中读取这些配置信息。

我们的数据源

1	application.yml

内容如下：：

wuhan2020: 2020年初武汉爆发了新型冠状病毒，疫情严重，但是，我相信一切都会过去！武汉加油！中国加油！
my-profile:
  name: Guide哥
  email: koushuangbwcx@163.com
library:
  location: 湖北武汉加油中国加油
  books:
    - name: 天才基本法
      description: 二十二岁的林朝夕在父亲确诊阿尔茨海默病这天，得知自己暗恋多年的校园男神裴之即将出国深造的消息——对方考取的学校，恰是父亲当年为她放弃的那所。
    - name: 时间的秩序
      description: 为什么我们记得过去，而非未来？时间“流逝”意味着什么？是我们存在于时间之内，还是时间存在于我们之中？卡洛·罗韦利用诗意的文字，邀请我们思考这一亘古难题——时间的本质。
    - name: 了不起的我
      description: 如何养成一个新习惯？如何让心智变得更成熟？如何拥有高质量的关系？ 如何走出人生的艰难时刻？

5.1.

1
@value

(常用)

使用

1	@Value("${property}")

读取比较简单的配置信息：

@Value("${wuhan2020}")
String wuhan2020;

5.2.

1
@ConfigurationProperties

(常用)

通过

1	@ConfigurationProperties

读取配置信息并与 bean 绑定。

@Component
@ConfigurationProperties(prefix = "library")
class LibraryProperties {
    @NotEmpty
    private String location;
    private List<Book> books;
    @Setter
    @Getter
    @ToString
    static class Book {
        String name;
        String description;
    }
  省略getter/setter
  ......
}

你可以像使用普通的 Spring bean 一样，将其注入到类中使用。

5.3.

1
PropertySource

（不常用）

1	@PropertySource

读取指定 properties 文件

@Component
@PropertySource("classpath:website.properties")
class WebSite {
    @Value("${url}")
    private String url;
  省略getter/setter
  ......
}

更多内容请查看我的这篇文章：《10 分钟搞定 SpringBoot 如何优雅读取配置文件？》。

6. 参数校验

数据的校验的重要性就不用说了，即使在前端对数据进行校验的情况下，我们还是要对传入后端的数据再进行一遍校验，避免用户绕过浏览器直接通过一些 HTTP 工具直接向后端请求一些违法数据。

JSR(Java Specification Requests） 是一套 JavaBean 参数校验的标准，它定义了很多常用的校验注解，我们可以直接将这些注解加在我们 JavaBean 的属性上面，这样就可以在需要校验的时候进行校验了，非常方便！

校验的时候我们实际用的是 Hibernate Validator 框架。Hibernate Validator 是 Hibernate 团队最初的数据校验框架，Hibernate Validator 4.x 是 Bean Validation 1.0（JSR 303）的参考实现，Hibernate Validator 5.x 是 Bean Validation 1.1（JSR 349）的参考实现，目前最新版的 Hibernate Validator 6.x 是 Bean Validation 2.0（JSR 380）的参考实现。

SpringBoot 项目的 spring-boot-starter-web 依赖中已经有 hibernate-validator 包，不需要引用相关依赖。如下图所示（通过 idea 插件—Maven Helper 生成）：

非 SpringBoot 项目需要自行引入相关依赖包，这里不多做讲解，具体可以查看我的这篇文章：《如何在 Spring/Spring Boot 中做参数校验？你需要了解的都在这里！》。

👉 需要注意的是： 所有的注解，推荐使用 JSR 注解，即

1	javax.validation.constraints

，而不是1 org.hibernate.validator.constraints

6.1. 一些常用的字段验证的注解

1 @NotEmpty 被注释的字符串的不能为 null 也不能为空
1 @NotBlank 被注释的字符串非 null，并且必须包含一个非空白字符
1 @Null 被注释的元素必须为 null
1 @NotNull 被注释的元素必须不为 null
1 @AssertTrue 被注释的元素必须为 true
1 @AssertFalse 被注释的元素必须为 false
1 @Pattern(regex=,flag=)被注释的元素必须符合指定的正则表达式
1 @Email 被注释的元素必须是 Email 格式。
1 @Min(value)被注释的元素必须是一个数字，其值必须大于等于指定的最小值
1 @Max(value)被注释的元素必须是一个数字，其值必须小于等于指定的最大值
1 @DecimalMin(value)被注释的元素必须是一个数字，其值必须大于等于指定的最小值
1 @DecimalMax(value) 被注释的元素必须是一个数字，其值必须小于等于指定的最大值
1 @Size(max=, min=)被注释的元素的大小必须在指定的范围内
1 @Digits (integer, fraction)被注释的元素必须是一个数字，其值必须在可接受的范围内
1 @Past被注释的元素必须是一个过去的日期
1 @Future 被注释的元素必须是一个将来的日期
……

6.2. 验证请求体(RequestBody)

@Data
@AllArgsConstructor
@NoArgsConstructor
public class Person {
    @NotNull(message = "classId 不能为空")
    private String classId;
    @Size(max = 33)
    @NotNull(message = "name 不能为空")
    private String name;
    @Pattern(regexp = "((^Man$|^Woman$|^UGM$))", message = "sex 值不在可选范围")
    @NotNull(message = "sex 不能为空")
    private String sex;
    @Email(message = "email 格式不正确")
    @NotNull(message = "email 不能为空")
    private String email;
}

我们在需要验证的参数上加上了

@Valid

注解，如果验证失败，它将抛出

1
MethodArgumentNotValidException

。

@RestController
@RequestMapping("/api")
public class PersonController {
    @PostMapping("/person")
    public ResponseEntity<Person> getPerson(@RequestBody @Valid Person person) {
        return ResponseEntity.ok().body(person);
    }
}

6.3. 验证请求参数(Path Variables 和 Request Parameters)

一定一定不要忘记在类上加上

Validated

注解了，这个参数可以告诉 Spring 去校验方法参数。

@RestController
@RequestMapping("/api")
@Validated
public class PersonController {
    @GetMapping("/person/{id}")
    public ResponseEntity<Integer> getPersonByID(@Valid @PathVariable("id") @Max(value = 5,message = "超过 id 的范围了") Integer id) {
        return ResponseEntity.ok().body(id);
    }
}

更多关于如何在 Spring 项目中进行参数校验的内容，请看《如何在 Spring/Spring Boot 中做参数校验？你需要了解的都在这里！》这篇文章。

7. 全局处理 Controller 层异常

介绍一下我们 Spring 项目必备的全局处理 Controller 层异常。

相关注解：

1 @ControllerAdvice :注解定义全局异常处理类
1 @ExceptionHandler :注解声明异常处理方法

如何使用呢？拿我们在第 5 节参数校验这块来举例子。如果方法参数不对的话就会抛出

1	MethodArgumentNotValidException

，我们来处理这个异常。

@ControllerAdvice
@ResponseBody
public class GlobalExceptionHandler {
    /**
     * 请求参数异常处理
     */
    @ExceptionHandler(MethodArgumentNotValidException.class)
    public ResponseEntity<?> handleMethodArgumentNotValidException(MethodArgumentNotValidException ex, HttpServletRequest request) {
       ......
    }
}

更多关于 Spring Boot 异常处理的内容，请看我的这两篇文章：

8. JPA 相关

8.1. 创建表

@Entity

声明一个类对应一个数据库实体。

@Table

设置表名

@Entity
@Table(name = "role")
public class Role {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String name;
    private String description;
    省略getter/setter......
}

8.2. 创建主键

@Id

：声明一个字段为主键。

使用

@Id

声明之后，我们还需要定义主键的生成策略。我们可以使用

1
@GeneratedValue

指定主键生成策略。

1.通过

1	@GeneratedValue

直接使用 JPA 内置提供的四种主键生成策略来指定主键生成策略。

@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;

JPA 使用枚举定义了 4 中常见的主键生成策略，如下：

Guide 哥：枚举替代常量的一种用法

public enum GenerationType {
    /**
     * 使用一个特定的数据库表格来保存主键
     * 持久化引擎通过关系数据库的一张特定的表格来生成主键,
     */
    TABLE,
    /**
     *在某些数据库中,不支持主键自增长,比如Oracle、PostgreSQL其提供了一种叫做"序列(sequence)"的机制生成主键
     */
    SEQUENCE,
    /**
     * 主键自增长
     */
    IDENTITY,
    /**
     *把主键生成策略交给持久化引擎(persistence engine),
     *持久化引擎会根据数据库在以上三种主键生成 策略中选择其中一种
     */
    AUTO
}

1	@GeneratedValue

注解默认使用的策略是

1
GenerationType.AUTO

public @interface GeneratedValue {
    GenerationType strategy() default AUTO;
    String generator() default "";
}

一般使用 MySQL 数据库的话，使用

1	GenerationType.IDENTITY

策略比较普遍一点（分布式系统的话需要另外考虑使用分布式 ID）。

2.通过

1	@GenericGenerator

声明一个主键策略，然后 1 @GeneratedValue使用这个策略

@Id
@GeneratedValue(generator = "IdentityIdGenerator")
@GenericGenerator(name = "IdentityIdGenerator", strategy = "identity")
private Long id;

等价于：

@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;

jpa 提供的主键生成策略有如下几种：

public class DefaultIdentifierGeneratorFactory
		implements MutableIdentifierGeneratorFactory, Serializable, ServiceRegistryAwareService {
	@SuppressWarnings("deprecation")
	public DefaultIdentifierGeneratorFactory() {
		register( "uuid2", UUIDGenerator.class );
		register( "guid", GUIDGenerator.class );			// can be done with UUIDGenerator + strategy
		register( "uuid", UUIDHexGenerator.class );			// "deprecated" for new use
		register( "uuid.hex", UUIDHexGenerator.class ); 	// uuid.hex is deprecated
		register( "assigned", Assigned.class );
		register( "identity", IdentityGenerator.class );
		register( "select", SelectGenerator.class );
		register( "sequence", SequenceStyleGenerator.class );
		register( "seqhilo", SequenceHiLoGenerator.class );
		register( "increment", IncrementGenerator.class );
		register( "foreign", ForeignGenerator.class );
		register( "sequence-identity", SequenceIdentityGenerator.class );
		register( "enhanced-sequence", SequenceStyleGenerator.class );
		register( "enhanced-table", TableGenerator.class );
	}
	public void register(String strategy, Class generatorClass) {
		LOG.debugf( "Registering IdentifierGenerator strategy [%s] -> [%s]", strategy, generatorClass.getName() );
		final Class previous = generatorStrategyToClassNameMap.put( strategy, generatorClass );
		if ( previous != null ) {
			LOG.debugf( "    - overriding [%s]", previous.getName() );
		}
	}
}

8.3. 设置字段类型

@Column

声明字段。

示例：

设置属性 userName 对应的数据库字段名为 user_name，长度为 32，非空

@Column(name = "user_name", nullable = false, length=32)
private String userName;

设置字段类型并且加默认值，这个还是挺常用的。

Column(columnDefinition = "tinyint(1) default 1")
private Boolean enabled;

8.4. 指定不持久化特定字段

1	@Transient

：声明不需要与数据库映射的字段，在保存的时候不需要保存进数据库。

如果我们想让

secrect

这个字段不被持久化，可以使用

1
@Transient

关键字声明。

Entity(name="USER")
public class User {
    ......
    @Transient
    private String secrect; // not persistent because of @Transient
}

除了

1	@Transient

关键字声明，还可以采用下面几种方法：

static String secrect; // not persistent because of static
final String secrect = “Satish”; // not persistent because of final
transient String secrect; // not persistent because of transient

一般使用注解的方式比较多。

8.5. 声明大字段

@Lob

:声明某个字段为大字段。

@Lob
private String content;

更详细的声明：

@Lob
//指定 Lob 类型数据的获取策略， FetchType.EAGER 表示非延迟 加载，而 FetchType. LAZY 表示延迟加载 ；
@Basic(fetch = FetchType.EAGER)
//columnDefinition 属性指定数据表对应的 Lob 字段类型
@Column(name = "content", columnDefinition = "LONGTEXT NOT NULL")
private String content;

8.6. 创建枚举类型的字段

可以使用枚举类型的字段，不过枚举字段要用

1	@Enumerated

注解修饰。

public enum Gender {
    MALE("男性"),
    FEMALE("女性");
    private String value;
    Gender(String str){
        value=str;
    }
}

@Entity
@Table(name = "role")
public class Role {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String name;
    private String description;
    @Enumerated(EnumType.STRING)
    private Gender gender;
    省略getter/setter......
}

数据库里面对应存储的是 MAIL/FEMAIL。

8.7. 增加审计功能

只要继承了

1	AbstractAuditBase

的类都会默认加上下面四个字段。

@Data
@AllArgsConstructor
@NoArgsConstructor
@MappedSuperclass
@EntityListeners(value = AuditingEntityListener.class)
public abstract class AbstractAuditBase {
    @CreatedDate
    @Column(updatable = false)
    @JsonIgnore
    private Instant createdAt;
    @LastModifiedDate
    @JsonIgnore
    private Instant updatedAt;
    @CreatedBy
    @Column(updatable = false)
    @JsonIgnore
    private String createdBy;
    @LastModifiedBy
    @JsonIgnore
    private String updatedBy;
}

我们对应的审计功能对应地配置类可能是下面这样的（Spring Security 项目）:

@Configuration
@EnableJpaAuditing
public class AuditSecurityConfiguration {
    @Bean
    AuditorAware<String> auditorAware() {
        return () -> Optional.ofNullable(SecurityContextHolder.getContext())
                .map(SecurityContext::getAuthentication)
                .filter(Authentication::isAuthenticated)
                .map(Authentication::getName);
    }
}

简单介绍一下上面设计到的一些注解：

1 @CreatedDate: 表示该字段为创建时间时间字段，在这个实体被 insert 的时候，会设置值
1
@CreatedBy
:表示该字段为创建人，在这个实体被 insert 的时候，会设置值
1
@LastModifiedDate
、1 @LastModifiedBy同理。

1	@EnableJpaAuditing

：开启 JPA 审计功能。

8.8. 删除/修改数据

1	@Modifying

注解提示 JPA 该操作是修改操作,注意还要配合

1
@Transactional

注解使用。

@Repository
public interface UserRepository extends JpaRepository<User, Integer> {
    @Modifying
    @Transactional(rollbackFor = Exception.class)
    void deleteByUserName(String userName);
}

8.9. 关联关系

1 @OneToOne 声明一对一关系
1 @OneToMany 声明一对多关系
1 @ManyToOne声明多对一关系
1 MangToMang声明多对多关系

更多关于 Spring Boot JPA 的文章请看我的这篇文章：一文搞懂如何在 Spring Boot 正确中使用 JPA 。

9. 事务

1
@Transactional

在要开启事务的方法上使用

1	@Transactional

注解即可!

@Transactional(rollbackFor = Exception.class)
public void save() {
  ......
}

我们知道 Exception 分为运行时异常 RuntimeException 和非运行时异常。在

1	@Transactional

注解中如果不配置

1
rollbackFor

属性,那么事物只会在遇到

1
RuntimeException

的时候才会回滚,加上

1
rollbackFor=Exception.class

,可以让事物在遇到非运行时异常时也回滚。

1	@Transactional

注解一般用在可以作用在

1
类

或者

1
方法

上。

作用于类：当把1 @Transactional 注解放在类上时，表示所有该类的public 方法都配置相同的事务属性信息。
作用于方法：当类配置了1 @Transactional，方法也配置了1 @Transactional，方法的事务会覆盖类的事务配置信息。

更多关于关于 Spring 事务的内容请查看：

10. json 数据处理

10.1. 过滤 json 数据

1	@JsonIgnoreProperties

作用在类上用于过滤掉特定字段不返回或者不解析。

//生成json时将userRoles属性过滤
@JsonIgnoreProperties({"userRoles"})
public class User {
    private String userName;
    private String fullName;
    private String password;
    @JsonIgnore
    private List<UserRole> userRoles = new ArrayList<>();
}

1	@JsonIgnore

一般用于类的属性上，作用和上面的1 @JsonIgnoreProperties 一样。

public class User {
    private String userName;
    private String fullName;
    private String password;
   //生成json时将userRoles属性过滤
    @JsonIgnore
    private List<UserRole> userRoles = new ArrayList<>();
}

10.2. 格式化 json 数据

1	@JsonFormat

一般用来格式化 json 数据。：

比如：

@JsonFormat(shape=JsonFormat.Shape.STRING, pattern="yyyy-MM-dd'T'HH:mm:ss.SSS'Z'", timezone="GMT")
private Date date;

10.3. 扁平化对象

@Getter
@Setter
@ToString
public class Account {
    @JsonUnwrapped
    private Location location;
    @JsonUnwrapped
    private PersonInfo personInfo;
  @Getter
  @Setter
  @ToString
  public static class Location {
     private String provinceName;
     private String countyName;
  }
  @Getter
  @Setter
  @ToString
  public static class PersonInfo {
    private String userName;
    private String fullName;
  }
}

未扁平化之前：

{
    "location": {
        "provinceName":"湖北",
        "countyName":"武汉"
    },
    "personInfo": {
        "userName": "coder1234",
        "fullName": "shaungkou"
    }
}

使用

1	@JsonUnwrapped

扁平对象之后：

@Getter
@Setter
@ToString
public class Account {
    @JsonUnwrapped
    private Location location;
    @JsonUnwrapped
    private PersonInfo personInfo;
    ......
}

{
  "provinceName":"湖北",
  "countyName":"武汉",
  "userName": "coder1234",
  "fullName": "shaungkou"
}

11. 测试相关

1	@ActiveProfiles

一般作用于测试类上，用于声明生效的 Spring 配置文件。

@SpringBootTest(webEnvironment = RANDOM_PORT)
@ActiveProfiles("test")
@Slf4j
public abstract class TestBase {
  ......
}

@Test

声明一个方法为测试方法

1	@Transactional

被声明的测试方法的数据会回滚，避免污染测试数据。

1	@WithMockUser

Spring Security 提供的，用来模拟一个真实用户，并且可以赋予权限。

    @Test
    @Transactional
    @WithMockUser(username = "user-id-18163138155", authorities = "ROLE_TEACHER")
    void should_import_student_success() throws Exception {
        ......
    }

Geek的疯狂世界

懒熊toby的博客