解决不了问题,就解决提出问题的人

一线大码2025-03-23 22:08

首先,这里说的不是"解决不了问题,就解决提出问题的人"这种字面上的意思,而是工作中处理问题的一种类似的思想。

最近解决 sonar 扫描的问题,客户要求的,不能出现故障严重级别的问题,有一个问题是运营商 API 的密码加密,是 AES 对称加密,且向量字符串是固定字符串(运营商提供的),不是随机字符串,sonar 扫描提示这个固定字符串的向量不安全,让使用随机字符串,但是运营商那边肯定不会给修改,然后这个问题就陷入僵局了,我们加密代码也是从运营商的对接文档上复制下来的。

所以这个问题该怎么解决呢,我一直在纠结怎么能把这个固定字符串改成随机字符串,也就是纠结于怎么解决问题本身,所以结论就是无法解决,除非运营商配合改解密方法,但那是不可能的。

一个同事后来提醒了我,sonar 扫描的是这个new IvParameterSpec()的代码,只要我们把向量传进去,不使用这个代码就行,用 hutool 的另一个构造器,刚好,我试了下,果然 sonar 就不识别这个问题了。下面贴出具体的代码:

修改前的代码:

java 复制代码 
private static String getEncodePassWord(String encodeKey, String ivKey, String password) {
    AES aes = new AES(Mode.CBC, Padding.ZeroPadding, new SecretKeySpec(encodeKey.getBytes(), "AES"), new IvParameterSpec(ivKey.getBytes()));
    return aes.encryptBase64(password, StandardCharsets.UTF_8);
}

这里用的其实是 hutool 里面的 AES 类。修改目标是代码中不出现new IvParameterSpec(ivKey.getBytes())

修改前用的构造方法1 ,修改后用的构造方法2

截图中的两个构造方法:

java 复制代码 
public AES(Mode mode, Padding padding, SecretKey key, byte[] iv) {
    this((Mode)mode, (Padding)padding, (SecretKey)key, (AlgorithmParameterSpec)(ArrayUtil.isEmpty(iv) ? null : new IvParameterSpec(iv)));
}

public AES(Mode mode, Padding padding, SecretKey key, AlgorithmParameterSpec paramsSpec) {
    this(mode.name(), padding.name(), key, paramsSpec);
}

修改后的代码:

java 复制代码 
private static String getEncodePassWord(String encodeKey, String ivKey, String password) {
    AES aes = new AES(Mode.CBC, Padding.ZeroPadding, new SecretKeySpec(encodeKey.getBytes(), "AES"), ivKey.getBytes());
    return aes.encryptBase64(password, StandardCharsets.UTF_8);
}

这就是没有解决 AES 加密使用固定字符串的向量不安全的问题,但是解决了提出这个问题的sonarQube

还有就是静态变量赋值的问题,这个问题说的是静态变量不应在实例方法中进行赋值,我们可以中间加一个静态方法,实例方法调用该静态方法来给静态变量赋值,也是类似的思路,sonar 就不会报错了。

java 复制代码 
import lombok.Getter;
import org.jetbrains.annotations.NotNull;
import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.stereotype.Component;

@Component
public class ApplicationContextUtil implements ApplicationContextAware {

    @Getter
    private static ApplicationContext applicationContext;

    @Override
    public void setApplicationContext(@NotNull ApplicationContext applicationContext) throws BeansException {
        set(applicationContext);
    }

    /**
     * 【sonar问题解决】Instance methods should not write to "static" fields
     */
    private static void set(ApplicationContext applicationContext) {
        ApplicationContextUtil.applicationContext = applicationContext;
    }
}
相关推荐
eqwaak012 分钟前
Flask实战指南:从基础到高阶的完整开发流程
开发语言·后端·python·学习·flask
笨蛋不要掉眼泪1 小时前
SpringBoot项目Excel成绩录入功能详解:从文件上传到数据入库的全流程解析
java·vue.js·spring boot·后端·spring·excel
追逐时光者3 小时前
一款专门为 WPF 打造的开源 Office 风格用户界面控件库
后端·.net
Lin_Aries_04214 小时前
容器化 Flask 应用程序
linux·后端·python·docker·容器·flask
yuriy.wang5 小时前
Spring IOC源码篇六 核心方法obtainFreshBeanFactory.parseCustomElement
java·后端·spring
Eoch776 小时前
HashMap夺命十连问,你能撑到第几轮?
java·后端
每天进步一点_JL6 小时前
🔥 一个 synchronized 背后,JVM 到底做了什么?
后端
SamDeepThinking6 小时前
有了 AI IDE 之后,为什么还还要 CLI?
后端·ai编程·cursor
yinke小琪6 小时前
线程池七宗罪:你以为的优化其实是在埋雷
java·后端·面试
AI绘画哇哒哒6 小时前
实战:SQL统一访问200+数据源,构建企业级智能检索与RAG系统(下)
人工智能·sql·深度学习·学习·ai·程序员·大模型
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03UV安装并设置国内源04Spec-Kit 使用指南05阿里最新开源Wan2.2-Animate-14B 本地部署教程:统一双模态框架,MoE架构赋能电影级角色动画与替换06OpenSpeedy简介07Linux下V2Ray安装配置指南08KGG转MP3工具|非KGM文件|解密音频0946个Nano-banana 精选提示词,持续更新中10VsCode远程Copilot无法使用Claude Agent问题