编码规范手册简述

最新推荐文章于 2024-05-01 13:36:11 发布

Z先生09

最新推荐文章于 2024-05-01 13:36:11 发布

阅读量596

点赞数 23

分类专栏：软件开发文章标签：代码规范

本文链接：https://blog.csdn.net/liuyuedeyuZSS/article/details/136271068

版权

软件开发专栏收录该内容

13 篇文章 0 订阅

订阅专栏

· 编码规范手册

命名风格

强制规范

代码中的命名均不能以下划线或美元符号开始，也不能以下划线或美元符号结束
- 反例 : _name / __name / $Object / name_ / name$ / Object$
代码中的命名严禁使用拼音与英文混合的方式，更不允许直接使用中文的方式
- 正例 : alibaba / taobao / youku / hangzhou 等国际通用的名称，可视同英文
- 反例 : DaZhePromotion [打折] / getPingfenByName() [评分] / int 某变量 = 3
类名使用 UpperCamelCase 风格，必须遵从驼峰形式，但以下情形例外: DO / BO / DTO / VO / AO
- 正例 : MarcoPolo / UserDO / XmlService / TcpUdpDeal / TaPromotion
- 反例 : macroPolo / UserDo / XMLService / TCPUDPDeal / TAPromotion
方法名、参数名、成员变量、局部变量都统一使用 lowerCamelCase 风格，必须遵从驼峰形式
- 正例 : localValue / getHttpMessage() / inputUserId
常量命名全部大写，单词间用下划线隔开，力求语义表达完整清楚，不要嫌名字长
- 正例 : MAX_STOCK_COUNT
- 反例 : MAX_COUNT
抽象类命名使用 Abstract 或 Base 开头；异常类命名使用 Exception 结尾；测试类命名以它要测试的类的名称开始，以 Test 结尾
中括号是数组类型的一部分，数组定义如下: String[] args
- 反例 : 使用 String args[] 的方式来定义
POJO 类中布尔类型的变量，都不要加 is，否则部分框架解析会引起序列化错误
- 反例 : 定义为基本数据类型 Boolean isDeleted的属性，它的方法也是 isDeleted()，RPC 框架在反向解析的时候，“以为”对应的属性名称是 deleted，导致属性获取不到，进而抛出异常
包名统一使用小写，点分隔符之间有且仅有一个自然语义的英语单词。包名统一使用单数形式，但是类名如果有复数含义，类名可以使用复数形式
- 正例 : 应用工具类包名为 com.alibaba.open.util、类名为 MessageUtils(此规则参考 spring 的框架结构)
杜绝完全不规范的缩写，避免望文不知义
- 反例 : AbstractClass “缩写”命名成 AbsClass；condition “缩写”命名成 condi，此类随意缩写严重降低了代码的可阅读性

分层规范

Service/DAO 层方法命名规约
- 获取单个对象的方法用 get 做前缀
- 获取多个对象的方法用 list 做前缀
- 获取统计值的方法用 count 做前缀
- 插入的方法用 save(推荐)或 insert 做前缀
- 删除的方法用 remove(推荐)或 delete 做前缀
- 修改的方法用 update 做前缀
领域模型命名规范
- 数据对象: xxxDO，xxx 即为数据表名
- 数据传输对象: xxxDTO，xxx 为业务领域相关的名称
- 展示对象: xxxVO，xxx 一般为网页名称
- POJO 是 DO/DTO/BO/VO 的统称，禁止命名成 xxxPOJO

常量定义

强制规范

不允许任何魔法值(即未经定义的常量)直接出现在代码中
long 或者 Long 初始赋值时，必须使用大写的 L，不能是小写的 l，小写容易跟数字 1 混淆，造成误解
不要使用一个常量类维护所有常量，应该按常量功能进行归类，分开维护。如: 缓存相关的常量放在类: CacheConsts 下；系统配置相关的常量放在类: ConfigConsts 下

分层规范

跨应用共享常量
- 放置在二方库中，通常是 client.jar 中的 constant 目录下
应用内共享常量
- 放置在一方库的 modules 中的 constant 目录下
子工程内部共享常量
- 即在当前子工程的 constant 目录下
包内共享常量
- 即在当前包下单独的 constant 目录下
类内共享常量
- 直接在类内部 private static final 定义

代码格式

强制规范

大括号的使用约定。如果是大括号内为空，则简洁地写成{}即可，不需要换行；如果是非空代码块则：左大括号前不换行、左大括号后换行、右大括号后还有 else 等代码则不换行、表示终止的右大括号后必须换行
左小括号和字符之间不出现空格；同样，右小括号和字符之间也不出现空格
- 反例 : if (空格 a == b 空格)
if/for/while/switch/do 等保留字与括号之间都必须加空格
任何二目、三目运算符的左右两边都需要加一个空格。说明 : 运算符包括赋值运算符=、逻辑运算符&&、加减乘除符号等
缩进采用 4 个空格，禁止使用 tab 字符。说明 : 如果使用 tab 缩进，必须设置 1 个 tab 为 4 个空格。IDEA 设置 tab 为 4 个空格时，请勿勾选 Use tab character；而在 eclipse 中，必须勾选 insert spaces for tabs
单行字符数限制不超过 120 个，超出需要换行，换行时遵循以下原则
- 第二行相对第一行缩进 4 个空格，从第三行开始，不再继续缩进
- 运算符与下文一起换行
- 方法调用的点符号与下文一起换行
- 在多个参数超长，在逗号后换行
- 在括号前不要换行
方法参数在定义和传入时，多个参数逗号后边必须加空格
IDE 的 text file encoding 设置为 UTF-8; IDE 中文件的换行符使用 Unix 格式，不要使用 windows 格式

OOP规范

强制规范

避免通过一个类的对象引用访问此类的静态变量或静态方法，无谓增加编译器解析成本，直接用类名来访问即可
所有的覆写方法，必须加@Override 注解。说明 : getObject() 与 get0bject() 的问题。一个是字母的 O，一个是数字的 0，加 @Override可以准确判断是否覆盖成功。另外，如果在抽象类中对方法签名进行修改，其实现类会马上编译报错
相同参数类型，相同业务含义，才可以使用 Java 的可变参数，避免使用 Object。可变参数必须放置在参数列表的最后。(提倡同学们尽量不用可变参数编程)
外部正在调用或者二方库依赖的接口，不允许修改方法签名，避免对接口调用方产生影响。接口过时必须加 @Deprecated 注解，并清晰地说明采用的新接口或者新服务是什么
不能使用过时的类或方法
Object 的 equals 方法容易抛空指针异常，应使用常量或确定有值的对象来调用 equals。说明 : 推荐使用 java.util.Objects#equals (JDK7 引入的工具类)
- 正例 : “test”.equals(object);
- 反例 : object.equals(“test”);
所有的相同类型的包装类对象之间值的比较，全部使用 equals 方法比较。例如Integer val = ?，当val大于127时值会存放在堆中，此时通过==比较返回的false，因为比较的是内存地址
关于基本数据类型与包装数据类型的使用标准如下
- 所有的 POJO 类属性必须使用包装数据类型
- RPC 方法的返回值和参数必须使用包装数据类型
- 建议：所有的局部变量使用基本数据类型
- POJO 类属性没有初值是提醒使用者在需要使用时，必须自己显式地进行赋值，任何 NullPointerException 问题，或者入库检查，都由使用者来保证
定义 DO/DTO/VO 等 POJO 类时，不要设定任何属性默认值
序列化类新增属性时，请不要修改 serialVersionUID 字段，避免反序列失败；如果完全不兼容升级，避免反序列化混乱，那么请修改 serialVersionUID 值
构造方法里面禁止加入任何业务逻辑，如果有初始化逻辑，请放在 init 方法中
POJO 类必须写 toString 方法。使用 IDE 的中工具: source> generate toString 时，如果继承了另一个 POJO 类，注意在前面加一下 super.toString。说明 : 在方法执行抛出异常时，可以直接调用 POJO 的 toString()方法打印其属性值，便于排查问题

集合处理

强制规范

关于 hashCode 和 equals 的处理，遵循如下规则
- 只要重写 equals，就必须重写 hashCode
- 因为 Set 存储的是不重复的对象，依据 hashCode 和 equals 进行判断，所以 Set 存储的对象必须重写这两个方法
- 如果自定义对象做为 Map 的键，那么必须重写 hashCode 和 equals
ArrayList 的 subList 结果不可强转成 ArrayList，否则会抛出 ClassCastException 异常: java.util.RandomAccessSubList cannot be cast to java.util.ArrayList。说明 : subList 返回的是 ArrayList 的内部类 SubList，并不是 ArrayList ，而是 ArrayList 的一个视图，对于 SubList 子列表的所有操作最终会反映到原列表上
在 subList 场景中，高度注意对原集合元素个数的修改，会导致子列表的遍历、增加、删除均产生 ConcurrentModificationException 异常
使用集合转数组的方法，必须使用集合的 toArray(T[] array)，传入的是类型完全一样的数组，大小就是 list.size()
使用工具类 Arrays.asList()把数组转换成集合时，不能使用其修改集合相关的方法，它的 add/remove/clear 方法会抛出 UnsupportedOperationException 异常
- 说明 : asList 的返回对象是一个 Arrays 内部类，并没有实现集合的修改方法。Arrays.asList 体现的是适配器模式，只是转换接口，后台的数据仍是数组
泛型通配符 <? extends T> 来接收返回的数据，此写法的泛型集合不能使用 add 方法，而 <? super T> 不能使用 get 方法，做为接口调用赋值时易出错
- 说明 : 扩展说一下 PECS(Producer Extends Consumer Super) 原则，1.频繁往外读取内容的，适合用上界 Extends2.经常往里插入的，适合用下界 Super
不要在 foreach 循环里进行元素的 remove/add 操作。remove 元素请使用 Iterator 方式，如果并发操作，需要对 Iterator 对象加锁
在 JDK7 版本及以上，Comparator 要满足如下三个条件（等于、大于、小于），不然 Arrays.sort，Collections.sort 会报 IllegalArgumentException 异常

并发处理

强制规范

获取单例对象需要保证线程安全，其中的方法也要保证线程安全
创建线程或线程池时请指定有意义的线程名称，方便出错时回溯
线程资源必须通过线程池提供，不允许在应用中自行显式创建线程
- 使用线程池的好处是减少在创建和销毁线程上所花的时间以及系统资源的开销，解决资源不足的问题。如果不使用线程池，有可能造成系统创建大量同类线程而导致消耗完内存或者“过度切换”的问题
线程池不允许使用 Executors 去创建，而是通过 ThreadPoolExecutor 的方式，这样的处理方式让写的同学更加明确线程池的运行规则，规避资源耗尽的风险
SimpleDateFormat 是线程不安全的类，一般不要定义为 static 变量，如果定义为 static，必须加锁，或者使用 DateUtils 工具类
尽可能使加锁的代码块工作量尽可能的小，避免在锁代码块中调用 RPC 方法
- 高并发时，同步调用应该去考量锁的性能损耗。能用无锁数据结构，就不要用锁；能锁区块，就不要锁整个方法体；能用对象锁，就不要用类锁
对多个资源、数据库表、对象同时加锁时，需要保持一致的加锁顺序，否则可能会造成死锁
并发修改同一记录时，避免更新丢失，需要加锁。要么在应用层加锁，要么在缓存加锁，要么在数据库层使用乐观锁，使用 version 作为更新依据
- 如果每次访问冲突概率小于 20%，推荐使用乐观锁，否则使用悲观锁。乐观锁的重试次数不得小于 3 次
多线程并行处理定时任务时，建议使用ScheduledExecutorService。而Timer 运行多个 TimeTask 时，只要其中之一没有捕获抛出的异常，其它任务便会自动终止运行

控制语句

强制规范

在一个 switch 块内，每个 case 要么通过 break/return 等来终止，要么注释说明程序将继续执行到哪一个 case 为止；在一个 switch 块内，都必须包含一个 default 语句并且放在最后，即使它什么代码也没有
在 if/else/for/while/do 语句中必须使用大括号。即使只有一行代码，避免使用单行的形式: if (condition) statements

参数校验

接口入参保护

下列情形，需要进行参数校验
- 调用频次低的方法
- 执行时间开销很大的方法。此情形中，参数校验时间几乎可以忽略不计，但如果因为参数错误导致中间执行回退，或者错误，那得不偿失
- 需要极高稳定性和可用性的方法
- 对外提供的开放接口，不管是 RPC/API/HTTP 接口
- 敏感权限入口
下列情形，不需要进行参数校验
- 极有可能被循环调用的方法。但在方法说明里必须注明外部参数检查要求
- 底层调用频度比较高的方法。毕竟是像纯净水过滤的最后一道，参数错误不太可能到底层才会暴露问题。一般 DAO 层与 Service 层都在同一个应用中，部署在同一台服务器中，所以 DAO 的参数校验，可以省略
- 被声明成 private 只会被自己代码所调用的方法，如果能够确定调用方法的代码传入参数已经做过检查或者肯定不会有问题，此时可以不校验参数

注释规约

强制规范

类、类属性、类方法的注释必须使用 Javadoc 规范，使用/*内容/格式，不得使用 //xxx 方式
- 在 IDE 编辑窗口中，Javadoc 方式会提示相关注释，生成 Javadoc 可以正确输出相应注释；在 IDE 中，工程调用方法时，不进入方法即可悬浮提示方法、参数、返回值的意义，提高阅读效率
所有的抽象方法(包括接口中的方法)必须要用 Javadoc 注释、除了返回值、参数、异常说明外，还必须指出该方法做什么事情，实现什么功能
- 对子类的实现要求，或者调用注意事项，请一并说明
所有的类都必须添加创建者和创建日期
方法内部单行注释，在被注释语句上方另起一行，使用 //注释。方法内部多行注释使用/* */注释，注意与代码对齐
所有的枚举类型字段必须要有注释，说明每个数据项的用途

其它规范

强制规范

在使用正则表达式时，利用好其预编译功能，可以有效加快正则匹配速度
- 不要在方法体内定义: Pattern pattern = Pattern.compile(规则)
velocity 调用 POJO 类的属性时，建议直接使用属性名取值即可，模板引擎会自动按规范调用 POJO 的 getXxx()，如果是 boolean 基本数据类型变量(boolean 命名不需要加 is前缀)，会自动调用 isXxx()方法
后台输送给页面的变量必须加$!{var}——中间的感叹号
- 如果 var=null 或者不存在，那么${var}会直接显示在页面上
注意 Math.random() 这个方法返回是 double 类型，注意取值的范围 0≤x<1(能够取到零值，注意除零异常)，如果想获取整数类型的随机数，不要将 x 放大 10 的若干倍然后取整，直接使用 Random 对象的 nextInt 或者 nextLong 方法
获取当前毫秒数 System.currentTimeMillis(); 而不是 new Date().getTime()
- 如果想获取更加精确的纳秒级时间值，使用 System.nanoTime()的方式。在 JDK8 中，针对统计时间等场景，推荐使用 Instant 类

异常日志规范

强制规范

Java 类库中定义的一类 RuntimeException 可以通过预先检查进行规避，而不应该通过 catch 来处理，比如: IndexOutOfBoundsException ， NullPointerException 等等。说明 : 无法通过预检查的异常除外，如在解析一个外部传来的字符串形式数字时，通过 catch NumberFormatException 来实现
异常不要用来做流程控制，条件控制，因为异常的处理效率比条件分支低
对大段代码进行 try-catch，这是不负责任的表现。catch 时请分清稳定代码和非稳定代码，稳定代码指的是无论如何不会出错的代码。对于非稳定代码的 catch 尽可能进行区分异常类型，再做对应的异常处理
捕获异常是为了处理它，不要捕获了却什么都不处理而抛弃之，如果不想处理它，请将该异常抛给它的调用者。最外层的业务使用者，必须处理异常，将其转化为用户可以理解的内容
有 try 块放到了事务代码中，catch 异常后，如果需要回滚事务，一定要注意手动回滚事务
finally 块必须对资源对象、流对象进行关闭，有异常也要做 try-catch
不能在 finally 块中使用 return，finally 块中的 return 返回后方法结束执行，不会再执行 try 块中的 return 语句
捕获异常与抛异常，必须是完全匹配，或者捕获异常是抛异常的父类

日志规范

强制规范

应用中不可直接使用日志系统(Log4j、Logback)中的 API，而应依赖使用日志框架 SLF4J 中的 API，使用门面模式的日志框架，有利于维护和各个类的日志处理方式统一
日志文件推荐至少保存 15 天，因为有些异常具备以“周”为频次发生的特点
应用中的扩展日志(如打点、临时监控、访问日志等) 命名方式: appName_logType_logName.log。logType:日志类型，推荐分类有 stats/desc/monitor/visit 等；logName:日志描述。这种命名的好处: 通过文件名就可知道日志文件属于什么应用，什么类型，什么目的，也有利于归类查找
- 推荐对日志进行分类，如将错误日志和业务日志分开存放，便于开发人员查看，也便于通过日志对系统进行及时监控
明确日志输出的级别 trace/debug/info，通过使用占位符的方式拼接日志，避免浪费系统资源，不要使用字符串拼接
避免重复打印日志，浪费磁盘空间，务必在 log4j.xml 中设置 additivity=false
异常信息应该包括两类信息: 案发现场信息和异常堆栈信息。如果不处理，那么通过关键字 throws 往上抛出

数据库

建表规范

强制规范

表达是与否概念的字段，必须使用 is_xxx 的方式命名，数据类型是 unsigned tinyint( 1 表示是，0 表示否)
表名、字段名必须使用小写字母或数字，禁止出现数字开头，禁止两个下划线中间只出现数字。数据库字段名的修改代价很大，因为无法进行预发布，所以字段名称需要慎重考虑
表名不使用复数名词
- 表名应该仅仅表示表里面的实体内容，不应该表示实体数量，对应于 DO 类名也是单数形式，符合表达习惯
禁用保留字，如 desc、range、match、delayed 等，请参考 MySQL 官方保留字
主键索引名为 pk_字段名；唯一索引名为 uk_字段名；普通索引名则为 idx_字段名
- pk_ 即 primary key；uk_ 即 unique key；idx_ 即 index 的简称
小数类型为 decimal，禁止使用 float 和 double
如果存储的字符串长度几乎相等，使用 char 定长字符串类型
varchar 是可变长字符串，不预先分配存储空间，长度不要超过 5000，如果存储长度大于此值，定义字段类型为 text，独立出来一张表，用主键来对应，避免影响其它字段索引效率
表必备三字段: id, gmt_create, gmt_modified。说明 : 其中 id 必为主键，类型为 unsigned bigint、单表时自增、步长为 1。gmt_create, gmt_modified 的类型均为 date_time 类型

索引规范

强制规范

业务上具有唯一特性的字段，即使是多个字段的组合，也必须建成唯一索引
- 说明: 不要以为唯一索引影响了 insert 速度，这个速度损耗可以忽略，但提高查找速度是明显的；另外，即使在应用层做了非常完善的校验控制，只要没有唯一索引，根据墨菲定律，必然有脏数据产生
超过三个表禁止 join。需要 join 的字段，数据类型必须绝对一致；多表关联查询时，保证被关联的字段需要有索引
- 说明 : 即使双表 join 也要注意表索引、SQL 性能
在 varchar 字段上建立索引时，必须指定索引长度，没必要对全字段建立索引，根据实际文本区分度决定索引长度即可
- 说明 : 索引的长度与区分度是一对矛盾体，一般对字符串类型数据，长度为 20 的索引，区分度会高达 90%以上，可以使用 count(distinct left(列名, 索引长度))/count(*)的区分度来确定
页面搜索严禁左模糊或者全模糊，如果需要请走搜索引擎来解决
- 说明 : 索引文件具有 B-Tree 的最左前缀匹配特性，如果左边的值未确定，那么无法使用此索引

创建索引时避免有如下极端误解

宁滥勿缺。误认为一个查询就需要建一个索引
宁缺勿滥。误认为索引会消耗空间、严重拖慢更新和新增速度
抵制惟一索引。误认为业务的惟一性一律需要在应用层通过“先查后插”方式解决

SQL语句

强制规范

不要使用 count(列名)或 count(常量)来替代 count()，count()是 SQL92 定义的标准统计行数的语法，跟数据库无关，跟 NULL 和非 NULL 无关
- count(*)会统计值为 NULL 的行，而 count(列名)不会统计此列为 NULL 值的行
count(distinct col) 计算该列除 NULL 之外的不重复行数，注意 count(distinct col1, col2) 如果其中一列全为 NULL，那么即使另一列有不同的值，也返回为 0
当某一列的值全是 NULL 时，count(col)的返回结果为 0，但 sum(col)的返回结果为 NULL，因此使用 sum()时需注意 NPE 问题
- 可以使用如下方式来避免 sum 的 NPE 问题: SELECT IF(ISNULL(SUM(g)),0,SUM(g)) FROM table
使用 ISNULL()来判断是否为 NULL 值。注意: NULL 与任何值的直接比较都为 NULL
在代码中写分页查询逻辑时，若 count 为 0 应直接返回，避免执行后面的分页语句
不得使用外键与级联，一切外键概念必须在应用层解决
- 外键与级联更新适用于单机低并发，不适合分布式、高并发集群；级联更新是强阻塞，存在数据库更新风暴的风险；外键影响数据库的插入速度
禁止使用存储过程，存储过程难以调试和扩展，更没有移植性
数据订正时，删除和修改记录时，要先 select，避免出现误删除，确认无误才能执行更新语句

ORM映射

强制规范

在表查询中，一律不要使用 * 作为查询的字段列表，需要哪些字段必须明确写明
- 增加查询分析器解析成本
- 增减字段容易与 resultMap 配置不一致
POJO 类的布尔属性不能加 is，而数据库字段必须加 is_，要求在 resultMap 中进行字段与属性之间的映射
不要用 resultClass 当返回参数，即使所有类属性名与数据库字段一一对应，也需要定义；反过来，每一个表也必然有一个与之对应
sql.xml 配置参数使用: #{}，#param# 不要使用${} 此种方式容易出现 SQL 注入
iBATIS 自带的 queryForList(String statementName,int start,int size)不推荐使用
- 其实现方式是在数据库取到statementName对应的SQL语句的所有记录，再通过subList 取 start,size 的子集合
不允许直接拿 HashMap 与 Hashtable 作为查询结果集的输出
- resultClass=”Hashtable”，会置入字段名和属性值，但是值的类型不可控
更新数据表记录时，必须同时更新记录对应的 gmt_modified 字段值为当前时间

工程结构

应用分层

开放接口层
- 可直接封装 Service 方法暴露成 RPC 接口；通过 Web 封装成 http 接口；进行网关安全控制、流量控制等
终端显示层
- 各个端的模板渲染并执行显示的层。当前主要是 velocity 渲染，JS 渲染，JSP 渲染，移动端展示等
Web 层
- 主要是对访问控制进行转发，各类基本参数校验，或者不复用的业务简单处理等
Service 层
- 相对具体的业务逻辑服务层
Manager 层
- 通用业务处理层，它有如下特征：对第三方平台封装的层，预处理返回结果及转化异常信息；对 Service 层通用能力的下沉，如缓存方案、中间件通用处理；与 DAO 层交互，对多个 DAO 的组合复用
DAO 层
- 数据访问层，与底层 MySQL、Oracle、Hbase 进行数据交互
外部接口或第三方平台
- 包括其它部门 RPC 开放接口，基础平台，其它公司的 HTTP 接口

分层领域模型规约

DO(Data Object)
- 与数据库表结构一一对应，通过 DAO 层向上传输数据源对象
DTO(Data Transfer Object)
- 数据传输对象，Service 和 Manager 向外传输的对象
BO(Business Object)
- 业务对象。可以由 Service 层输出的封装业务逻辑的对象
Query
- 数据查询对象，各层接收上层的查询请求。注: 超过 2 个参数的查询封装，禁止使用 Map 类来传输
VO(View Object)
- 显示层对象，通常是 Web 向模板渲染引擎层传输的对象

二方库依赖

强制规范

定义 GAV 遵从以下规则
- GroupID 格式: com.{公司/BU }.业务线.[子业务线]，最多 4 级
- ArtifactID 格式: 产品线名-模块名。语义不重复不遗漏，先到中央仓库去查证一下
- Version: 版本号命名方式: 主版本号.次版本号.修订号
二方库版本号命名方式: 主版本号.次版本号.修订号
- 主版本号: 当做了不兼容的 API 修改，或者增加了能改变产品方向的新功能
- 次版本号: 当做了向下兼容的功能性新增(新增类、接口等)
- 修订号: 修复 bug，没有修改方法签名的功能加强，保持 API 兼容性
- 起始版本号必须为: 1.0.0，而不是 0.0.1 。正式发布的类库必须先去中央仓库进行查证，使版本号有延续性，正式版本号不允许覆盖升级
线上应用不要依赖 SNAPSHOT 版本(安全包除外)
- 不依赖 SNAPSHOT 版本是保证应用发布的幂等性。另外，也可以加快编译时的打包构建
二方库的新增或升级，保持除功能点之外的其它 jar 包仲裁结果不变。如果有改变，必须明确评估和验证，建议进行 dependency:resolve 前后信息比对，如果仲裁结果完全不一致，那么通过 dependency:tree 命令，找出差异点，进行排除 jar 包
二方库里可以定义枚举类型，参数可以使用枚举类型，但是接口返回值不允许使用枚举类型或者包含枚举类型的 POJO 对象
依赖于一个二方库群时，必须定义一个统一的版本变量，避免版本号不一致。说明: 依赖 springframework-core,-context,-beans，它们都是同一个版本，可以定义一个变量来保存版本: ${spring.version}，定义依赖的时候，引用该版本
禁止在子项目的 pom 依赖中出现相同的 GroupId，相同的 ArtifactId，但是不同的 Version

服务器

安全规范

强制规范

隶属于用户个人的页面或者功能必须进行权限控制校验
- 防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容、修改他人的订单
用户敏感数据禁止直接展示，必须对展示数据进行脱敏
- 查看个人手机号码会显示成:158****9119，隐藏中间 4 位，防止隐私泄露
用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定，防止 SQL 注入，禁止字符串拼接 SQL 访问数据库
用户请求传入的任何参数必须做有效性验证，忽略参数校验可能导致
- page size 过大导致内存溢出
- 恶意 order by 导致数据库慢查询
- 任意重定向
- SQL 注入
- 反序列化注入
- 正则输入源串拒绝服务 ReDoS
禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据
表单、AJAX 提交必须执行 CSRF 安全过滤
- CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站，攻击者可以事先构造好 URL，只要受害者用户一访问，后台便在用户不知情情况下对数据库中用户参数进行相应修改
在使用平台资源，譬如短信、邮件、电话、下单、支付，必须实现正确的防重放限制，如数量限制、疲劳度控制、验证码校验，避免被滥刷、资损。说明: 如注册时发送验证码到手机，如果没有限制次数和频率，那么可以利用此功能骚扰到其它用户，并造成短信平台资源浪费
发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略