解决不了问题,就解决提出问题的人

首先,这里说的不是"解决不了问题,就解决提出问题的人"这种字面上的意思,而是工作中处理问题的一种类似的思想。

最近解决 sonar 扫描的问题,客户要求的,不能出现故障严重级别的问题,有一个问题是运营商 API 的密码加密,是 AES 对称加密,且向量字符串是固定字符串(运营商提供的),不是随机字符串,sonar 扫描提示这个固定字符串的向量不安全,让使用随机字符串,但是运营商那边肯定不会给修改,然后这个问题就陷入僵局了,我们加密代码也是从运营商的对接文档上复制下来的。

所以这个问题该怎么解决呢,我一直在纠结怎么能把这个固定字符串改成随机字符串,也就是纠结于怎么解决问题本身,所以结论就是无法解决,除非运营商配合改解密方法,但那是不可能的。

一个同事后来提醒了我,sonar 扫描的是这个new IvParameterSpec()的代码,只要我们把向量传进去,不使用这个代码就行,用 hutool 的另一个构造器,刚好,我试了下,果然 sonar 就不识别这个问题了。下面贴出具体的代码:

修改前的代码:

java 复制代码
private static String getEncodePassWord(String encodeKey, String ivKey, String password) {
    AES aes = new AES(Mode.CBC, Padding.ZeroPadding, new SecretKeySpec(encodeKey.getBytes(), "AES"), new IvParameterSpec(ivKey.getBytes()));
    return aes.encryptBase64(password, StandardCharsets.UTF_8);
}

这里用的其实是 hutool 里面的 AES 类。修改目标是代码中不出现new IvParameterSpec(ivKey.getBytes())

修改前用的构造方法1 ,修改后用的构造方法2

截图中的两个构造方法:

java 复制代码
public AES(Mode mode, Padding padding, SecretKey key, byte[] iv) {
    this((Mode)mode, (Padding)padding, (SecretKey)key, (AlgorithmParameterSpec)(ArrayUtil.isEmpty(iv) ? null : new IvParameterSpec(iv)));
}

public AES(Mode mode, Padding padding, SecretKey key, AlgorithmParameterSpec paramsSpec) {
    this(mode.name(), padding.name(), key, paramsSpec);
}

修改后的代码:

java 复制代码
private static String getEncodePassWord(String encodeKey, String ivKey, String password) {
    AES aes = new AES(Mode.CBC, Padding.ZeroPadding, new SecretKeySpec(encodeKey.getBytes(), "AES"), ivKey.getBytes());
    return aes.encryptBase64(password, StandardCharsets.UTF_8);
}

这就是没有解决 AES 加密使用固定字符串的向量不安全的问题,但是解决了提出这个问题的sonarQube

还有就是静态变量赋值的问题,这个问题说的是静态变量不应在实例方法中进行赋值,我们可以中间加一个静态方法,实例方法调用该静态方法来给静态变量赋值,也是类似的思路,sonar 就不会报错了。

java 复制代码
import lombok.Getter;
import org.jetbrains.annotations.NotNull;
import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.stereotype.Component;

@Component
public class ApplicationContextUtil implements ApplicationContextAware {

    @Getter
    private static ApplicationContext applicationContext;

    @Override
    public void setApplicationContext(@NotNull ApplicationContext applicationContext) throws BeansException {
        set(applicationContext);
    }

    /**
     * 【sonar问题解决】Instance methods should not write to "static" fields
     */
    private static void set(ApplicationContext applicationContext) {
        ApplicationContextUtil.applicationContext = applicationContext;
    }
}
相关推荐
IT_10245 小时前
Spring Boot项目开发实战销售管理系统——系统设计!
大数据·spring boot·后端
ai小鬼头6 小时前
AIStarter最新版怎么卸载AI项目?一键删除操作指南(附路径设置技巧)
前端·后端·github
Touper.6 小时前
SpringBoot -- 自动配置原理
java·spring boot·后端
一只叫煤球的猫6 小时前
普通程序员,从开发到管理岗,为什么我越升职越痛苦?
前端·后端·全栈
一只鹿鹿鹿6 小时前
信息化项目验收,软件工程评审和检查表单
大数据·人工智能·后端·智慧城市·软件工程
专注VB编程开发20年7 小时前
开机自动后台运行,在Windows服务中托管ASP.NET Core
windows·后端·asp.net
程序员岳焱7 小时前
Java 与 MySQL 性能优化:MySQL全文检索查询优化实践
后端·mysql·性能优化
一只叫煤球的猫7 小时前
手撕@Transactional!别再问事务为什么失效了!Spring-tx源码全面解析!
后端·spring·面试
旷世奇才李先生8 小时前
Ruby 安装使用教程
开发语言·后端·ruby
马可奥勒留8 小时前
睡前幻想——基于透明化黄金锚定的超主权货币体系设计:一种解决政府货币滥用的奥地利学派方案(3)
程序员