CleanCode、安全编码规范

Clean Code 规范

Clean Code 是由 Robert C. Martin 提出的编写高质量代码的原则。主要包括以下几点

有意义的命名

  • 命名要准确和清晰,让人一看就知道变量、函数或类的用途。
  • 避免使用缩写和难以理解的名称
// 不好的命名
val d: Int = 5// 好的命名
val daysUntilDeadline: Int = 5

 

函数要短小精悍

  • 一个函数只做一件事
  • 函数尽量短小,易于理解和测试。
// 不好的例子
fun processUserData(user: User) {validateUser(user)saveUserToDatabase(user)sendWelcomeEmail(user)
}// 好的例子
fun validateUser(user: User) { /* ... */ }
fun saveUserToDatabase(user: User) { /* ... */ }
fun sendWelcomeEmail(user: User) { /* ... */ }

减少嵌套层次

  • 使用早期返回来减少不必要的嵌套

 

// 不好的例子
fun isValidUser(user: User): Boolean {if (user != null) {if (user.isActive) {if (user.hasPermission) {return true}}}return false
}// 好的例子
fun isValidUser(user: User?): Boolean {if (user == null) return falseif (!user.isActive) return falseif (!user.hasPermission) return falsereturn true
}

 注释要有意义

  • 仅在必要时添加注释,代码本身应该是最好的文档。
  • 避免无意义的注释。
// 不好的例子
// 这个函数返回用户的年龄
fun getUserAge(user: User): Int {return user.age
}// 好的例子
// Only add comments if the code isn't clear enough by itself

 

安全编码规范

安全编码规范旨在防止常见的安全漏洞,提高代码的安全性。以下是一些关键原则:

  1. 输入验证

    • 确保所有外部输入都经过验证和清理,防止注入攻击。
fun validateInput(input: String): Boolean {val pattern = Regex("^[a-zA-Z0-9_]+$")return input.matches(pattern)
}

避免硬编码敏感信息

  • 不要在代码中硬编码密码、密钥等敏感信息。使用安全的存储机制,如 Android 的 Keystore
// 不好的例子
val apiKey = "12345"// 好的例子
val apiKey = getApiKeyFromSecureStorage()

使用安全的库和算法

  • 使用经过验证的安全库和加密算法,避免自己实现加密算法。
// 不好的例子
fun encrypt(data: String): String {// custom encryption logic
}// 好的例子
fun encrypt(data: String): ByteArray {val cipher = Cipher.getInstance("AES/GCM/NoPadding")cipher.init(Cipher.ENCRYPT_MODE, getSecretKey())return cipher.doFinal(data.toByteArray())
}

避免泄露敏感信息

  • 在日志中避免打印敏感信息,如用户数据、密码等。

 

// 不好的例子
Log.d("UserData", "Password: $password")// 好的例子
Log.d("UserData", "Password entered")

最小权限原则

  • 仅授予程序执行其任务所需的最小权限,避免使用不必要的权限。
<!-- 不好的例子 -->
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.INTERNET"/><!-- 好的例子 -->
<uses-permission android:name="android.permission.INTERNET"/>

错误处理

  • 处理所有异常,避免程序崩溃,并给用户友好的提示。
  • 不要暴露内部实现细节。
// 不好的例子
fun readFile(filename: String): String {return File(filename).readText()
}// 好的例子
fun readFile(filename: String): String {return try {File(filename).readText()} catch (e: IOException) {Log.e("FileRead", "Error reading file", e)"Error reading file"}
}

真实的例子和方案代码

结合 Clean Code 和安全编码规范,以下是一个例子:

示例:用户登录

 

import android.content.Context
import android.util.Log
import javax.crypto.Cipher
import javax.crypto.KeyGenerator
import javax.crypto.SecretKey
import javax.crypto.spec.GCMParameterSpec
import android.security.keystore.KeyGenParameterSpec
import android.security.keystore.KeyProperties
import java.security.KeyStoreclass LoginManager(context: Context) {private val keyAlias = "LoginKeyAlias"private val keyStore = KeyStore.getInstance("AndroidKeyStore").apply { load(null) }private val cipher = Cipher.getInstance("AES/GCM/NoPadding")private val preferences = context.getSharedPreferences("login_prefs", Context.MODE_PRIVATE)init {if (!keyStore.containsAlias(keyAlias)) {val keyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, "AndroidKeyStore")keyGenerator.init(KeyGenParameterSpec.Builder(keyAlias, KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT).setBlockModes(KeyProperties.BLOCK_MODE_GCM).setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE).build())keyGenerator.generateKey()}}private fun getSecretKey(): SecretKey {return (keyStore.getEntry(keyAlias, null) as KeyStore.SecretKeyEntry).secretKey}fun encrypt(data: String): ByteArray {cipher.init(Cipher.ENCRYPT_MODE, getSecretKey())val iv = cipher.ivval encryptedData = cipher.doFinal(data.toByteArray())preferences.edit().putString("iv", iv.joinToString(",")).apply()return encryptedData}fun decrypt(encryptedData: ByteArray): String {val iv = preferences.getString("iv", "")!!.split(",").map { it.toByte() }.toByteArray()cipher.init(Cipher.DECRYPT_MODE, getSecretKey(), GCMParameterSpec(128, iv))return String(cipher.doFinal(encryptedData))}fun login(username: String, password: String): Boolean {if (!validateInput(username) || !validateInput(password)) {Log.e("LoginManager", "Invalid input")return false}val encryptedPassword = encrypt(password)// 发送用户名和加密后的密码到服务器进行验证return true}private fun validateInput(input: String): Boolean {val pattern = Regex("^[a-zA-Z0-9_]+$")return input.matches(pattern)}
}

 

在这个例子中,我们创建了一个 LoginManager 类,遵循了 Clean Code 和安全编码规范,包括:

  1. 使用有意义的命名,如 LoginManagerencryptdecrypt
  2. 函数短小且只做一件事,如 encrypt 和 decrypt
  3. 安全处理用户输入,防止注入攻击。
  4. 使用 Android Keystore 存储和管理加密密钥,确保敏感信息安全。
  5. 使用日志记录错误信息,但避免泄露敏感信息。

 

 

 

 

 

 

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/44593.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

顺序结构 ( 三 ) —— 常量和变量 【互三互三】

常量 一、常量概述 常量是指在程序中使用的一些具体的数、字符。在程序运行过程中&#xff0c;其值不能被更改。如123,145.88,m,TRUE等。 1、整型常量&#xff1a;如3、-5、0等。 整型常量是表示整数的常量。有三种表示形式&#xff1a; 1&#xff09;十进制形式。如9…

Unity Shader学习笔记

Shader类型 类型详情Standard Surface Shader标准表面着色器&#xff0c;基于物理的着色系统&#xff0c;用于模拟各种材质效果&#xff0c;如石头、木材、玻璃、塑料和金属等。Unlit Shader最简单的着色器&#xff0c;不包含光照但包含雾效&#xff0c;只由最基础的Vertex Sh…

【Vision Pro开发】小白开发如何过渡到visionOS开发 - SOP清单

为什么Unity开发者应该考虑学习Vision OS的原生开发,并解释了开发过程中面临的挑战和优势。我整理了一些关键点,对于刚进入这个赛道的小白开发者可以参考: 1. Vision Pro开发平台选择 - 主要有三种选择:原生开发(Xcode+SwiftUI+RealityKit)、Unity开发和WebXR开发 - 原生开…

30. 梯度下降法及其应用

1. 引言 在深度学习中&#xff0c;损失函数的求解是一个关键步骤。损失函数通常没有解析解&#xff0c;因此需要通过最优化算法来逼近求解。其中&#xff0c;梯度下降法是最常用的优化算法之一。本文将详细介绍梯度下降法的基本概念、理论基础、及其在深度学习中的应用。 2. …

甄选范文“论基于构件的软件开发方法及其应用”,软考高级论文,系统架构设计师论文

论文真题 基于构作的软件开发 (Component-Based Software Development,CBSD) 是一种基于分布对象技术、强调通过可复用构件设计与构造软件系统的软件复用途径。基于构件的软件系统中的构件可以是COTS (Commercial-Off-the-Shelf)构件,也可以是通过其它途径获得的构件(如自…

命名空间知识点

命名空间基本概念 概念 命名空间是用来组织和重用代码的。 作用 就像是一个工具包&#xff0c;类就像是一件一件的工具&#xff0c;都是申明在命名空间中的。 命名空间的使用 基本语法 namespace 命名空间名 { 类 类 } namespace MyGame {class GameObject{} }namesp…

2970.力扣每日一题7/10 Java(暴力枚举)

博客主页&#xff1a;音符犹如代码系列专栏&#xff1a;算法练习关注博主&#xff0c;后期持续更新系列文章如果有错误感谢请大家批评指出&#xff0c;及时修改感谢大家点赞&#x1f44d;收藏⭐评论✍ 目录 解题思路 解题方法 时间复杂度 空间复杂度 Code 解题思路 incre…

图论---无向图中国邮路的实现

开始编程前分析设计思路和程序的整体的框架&#xff0c;以及作为数学问题的性质&#xff1a; 程序流程图&#xff1a; 数学原理&#xff1a; 本质上是找到一条欧拉回路&#xff0c;考虑图中的边权重、顶点的度数以及如何通过添加最少的额外边来构造欧拉回路&#xff0c;涉及到欧…

完善kobj_type结构体

1、实现kobj_type的release函数 #include<linux/module.h> #include<linux/init.h> #include<linux/kernel.h> #include<linux/kobject.h> #include<linux/slab.h>static void dynamic_kobj_release(struct kobject *kobj); struct my_kobject …

链表 OJ(一)

移除链表元素 题目连接&#xff1a; https://leetcode.cn/problems/remove-linked-list-elements/description/ 使用双指针法&#xff0c;开始时&#xff0c;一个指针指向头节点&#xff0c;另一个指针指向头节点的下一个结点&#xff0c;然后开始遍历链表删除结点。 这里要注…

泛型集合:Java中的类型安全与类型擦除

引言 泛型是Java 5引入的一项重要特性&#xff0c;它为编译时类型安全提供了支持。在集合框架中&#xff0c;泛型发挥着至关重要的作用&#xff0c;允许开发者指定集合中元素的类型&#xff0c;从而避免了类型转换的错误和运行时异常。此外&#xff0c;Java中的类型擦除机制虽然…

Spring-Data-Elasticsearch

简介 Spring Data for Elasticsearch 是 Spring Data 项目的一部分&#xff0c;该项目旨在为新数据存储提供熟悉且一致的基于 Spring 的编程模型&#xff0c;同时保留特定于存储的特性和功能。 Spring Data Elasticsearch 项目提供了与 Elasticsearch 搜索引擎的集成。Spring…

推荐一款功能强大的 GPT 学术优化开源项目GPT Academic:学术研究的智能助手

今天&#xff0c;我将向大家介绍一个强大的开源项目—GPT Academic&#xff0c;它或许正是你一直在寻找的理想工具。 已一跃成为 60.4k Star 的热门项目 GPT Academic 目前在 GitHub 上已经揽获了 60.4k 的 Star&#xff0c;这不仅反映了它的受欢迎程度&#xff0c;更证明了它…

硅纪元AI应用推荐 | 百度橙篇成新宠,能写万字长文

“硅纪元AI应用推荐”栏目&#xff0c;为您精选最新、最实用的人工智能应用&#xff0c;无论您是AI发烧友还是新手&#xff0c;都能在这里找到提升生活和工作的利器。与我们一起探索AI的无限可能&#xff0c;开启智慧新时代&#xff01; 百度橙篇&#xff0c;作为百度公司在202…

法律智能的新纪元:Transformer模型在智能法律咨询的突破性应用

法律智能的新纪元&#xff1a;Transformer模型在智能法律咨询的突破性应用 在法律领域&#xff0c;准确、高效的信息处理能力对于提供专业咨询服务至关重要。随着人工智能技术的飞速发展&#xff0c;Transformer模型凭借其卓越的语言理解能力&#xff0c;在智能法律咨询系统中…

【网络安全】Oracle:SSRF获取元数据

未经许可&#xff0c;不得转载。 文章目录 前言正文漏洞利用 前言 Acme 是一家广受欢迎的播客托管公司&#xff0c;拥有庞大的客户群体。与许多大型运营公司一样&#xff0c;Acme 采用了Apiary的服务&#xff0c;使用户能够安全高效地管理他们的播客。 Apiary 于2017年初被Or…

我的前端实习之旅

在大学的最后一年&#xff0c;我获得了一个宝贵的机会——在一家外包公司担任前端开发实习生。这一经历不仅让我得以将所学知识应用于实践&#xff0c;还教会了我许多课本之外的重要课程。 加入公司的第一天&#xff0c;我就意识到学术和职业环境之间的差异。我被分配到一个正…

PostgreSQL16安装Mac(brew)

问题 最近需要从MySQL切换到PostgreSQL。我得在本地准备一个PostgreSQL。 步骤 使用brew安装postgresql16: arch -arm64 brew install postgresql16启动postgresql16: brew services start postgresql16配置postgresql环境变量&#xff0c;打开环境变量文件&#xff1a; …

LabVIEW优化氢燃料电池

太阳能和风能的发展引入了许多新的能量储存方法。随着科技的发展&#xff0c;能源储存和需求平衡的方法也需要不断创新。智慧城市倡导放弃石化化合物&#xff0c;采用环境友好的发电和储能技术。氢气系统和储存链在绿色能源倡议中起着关键作用。然而&#xff0c;氢气密度低&…

从零开始实现大语言模型(三):Token Embedding与位置编码

1. 前言 Embedding是深度学习领域一种常用的类别特征数值化方法。在自然语言处理领域&#xff0c;Embedding用于将对自然语言文本做tokenization后得到的tokens映射成实数域上的向量。 本文介绍Embedding的基本原理&#xff0c;将训练大语言模型文本数据对应的tokens转换成Em…