今天发生了一个生产问题。
问题描述:调用方调用我们系统,因为角色查询问题导致调用失败。
有一个conf配置表,其中有两个配置code、roles,它们的值均为一个字符串。
code:0001;0002;0003;
roles:role001;role002;role003;
先看我重现的类似的一个代码:
public ResponseMessage fun(String paramCode, String paramRole ) {
//假设以下两处是数据库读取的值
String code = "0001;0002;0003;";
String roles = "role001;role002;role003;";
if (code.contains(paramCode) && roles.indexOf(paramRole) > -1) {
paramRole = paramRole + "_Pro";
}
ResponseMessage responseMessage = new ResponseMessage();
responseMessage.setStatusCode(1);
responseMessage.setMessage("调用成功");
// 假设这里的object是拿paramRole查询数据库得到一个角色
Object object = new Object();
if (null == object) {
responseMessage.setStatusCode(0);
responseMessage.setMessage("角色不存在");
}
//后续操作.....
return responseMessage;
}
这里的fun(String paramCode, String paramRole) 方法就是调用方调用的方法, paramCode, paramRole都是对方的传参。code和roles假设是数据库里查询出来的字符串。
当paramRole正常传值时,一般都是XX001、XX002、XX003这种。此次调用走了第一个if逻辑,导致拼接了_Pro去查询数据库,并没有这个角色,因此返回了错误的响应信息给调用方。
原因出在调用方传的paramRole为1,1是我们系统内部使用的一个超级权限角色(当然,这个角色是不应该暴露给调用方的,也不知道它是哪里得来的~),这时会导致第一个if中的第二个条件的判断成立:
roles.indexOf(paramRole) > -1
这里的indexOf方法查找给定的字符串开始的第一个索引位置,返回-1表示找不到,传正常的paramRole都是会找得到的,但是数据库配置表的roles中role001含有了1,所以就没有返回-1,导致这里成立。
其实这里IDEA已经报黄了,提示我们应该改进这类代码。
改进:分割出各个角色,用contains判断是否包含参数中的角色。
if (code.contains(paramCode) && Arrays.asList(roles.split(";")).contains(paramRole)) {
paramRole = paramRole + "_Pro";
}
最后,建议大家都安装代码规范的相关插件,及时更改插件提示的地方,这里推荐Alibaba Java Coding Guidelines。