解决不了问题,就解决提出问题的人

一线大码2025-03-23 22:08

首先,这里说的不是"解决不了问题,就解决提出问题的人"这种字面上的意思,而是工作中处理问题的一种类似的思想。

最近解决 sonar 扫描的问题,客户要求的,不能出现故障严重级别的问题,有一个问题是运营商 API 的密码加密,是 AES 对称加密,且向量字符串是固定字符串(运营商提供的),不是随机字符串,sonar 扫描提示这个固定字符串的向量不安全,让使用随机字符串,但是运营商那边肯定不会给修改,然后这个问题就陷入僵局了,我们加密代码也是从运营商的对接文档上复制下来的。

所以这个问题该怎么解决呢,我一直在纠结怎么能把这个固定字符串改成随机字符串,也就是纠结于怎么解决问题本身,所以结论就是无法解决,除非运营商配合改解密方法,但那是不可能的。

一个同事后来提醒了我,sonar 扫描的是这个new IvParameterSpec()的代码,只要我们把向量传进去,不使用这个代码就行,用 hutool 的另一个构造器,刚好,我试了下,果然 sonar 就不识别这个问题了。下面贴出具体的代码:

修改前的代码:

java 复制代码 
private static String getEncodePassWord(String encodeKey, String ivKey, String password) {
    AES aes = new AES(Mode.CBC, Padding.ZeroPadding, new SecretKeySpec(encodeKey.getBytes(), "AES"), new IvParameterSpec(ivKey.getBytes()));
    return aes.encryptBase64(password, StandardCharsets.UTF_8);
}

这里用的其实是 hutool 里面的 AES 类。修改目标是代码中不出现new IvParameterSpec(ivKey.getBytes())

修改前用的构造方法1 ,修改后用的构造方法2

截图中的两个构造方法:

java 复制代码 
public AES(Mode mode, Padding padding, SecretKey key, byte[] iv) {
    this((Mode)mode, (Padding)padding, (SecretKey)key, (AlgorithmParameterSpec)(ArrayUtil.isEmpty(iv) ? null : new IvParameterSpec(iv)));
}

public AES(Mode mode, Padding padding, SecretKey key, AlgorithmParameterSpec paramsSpec) {
    this(mode.name(), padding.name(), key, paramsSpec);
}

修改后的代码:

java 复制代码 
private static String getEncodePassWord(String encodeKey, String ivKey, String password) {
    AES aes = new AES(Mode.CBC, Padding.ZeroPadding, new SecretKeySpec(encodeKey.getBytes(), "AES"), ivKey.getBytes());
    return aes.encryptBase64(password, StandardCharsets.UTF_8);
}

这就是没有解决 AES 加密使用固定字符串的向量不安全的问题,但是解决了提出这个问题的sonarQube

还有就是静态变量赋值的问题,这个问题说的是静态变量不应在实例方法中进行赋值,我们可以中间加一个静态方法,实例方法调用该静态方法来给静态变量赋值,也是类似的思路,sonar 就不会报错了。

java 复制代码 
import lombok.Getter;
import org.jetbrains.annotations.NotNull;
import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.stereotype.Component;

@Component
public class ApplicationContextUtil implements ApplicationContextAware {

    @Getter
    private static ApplicationContext applicationContext;

    @Override
    public void setApplicationContext(@NotNull ApplicationContext applicationContext) throws BeansException {
        set(applicationContext);
    }

    /**
     * 【sonar问题解决】Instance methods should not write to "static" fields
     */
    private static void set(ApplicationContext applicationContext) {
        ApplicationContextUtil.applicationContext = applicationContext;
    }
}
相关推荐
小江的记录本6 分钟前
【Redis】Redis常用命令速查表(完整版)
java·前端·数据库·redis·后端·spring·缓存
IT老小子10 分钟前
【c 语言】linux下gcc编译工具的使用
程序员
AMoon丶10 分钟前
Golang--垃圾回收
java·linux·开发语言·jvm·后端·算法·golang
Densen201413 分钟前
企业H5站点升级PWA (二)
java·后端·spring
用户21903265273521 分钟前
部署OpenClaw整合QQ机器人
后端
后端不背锅24 分钟前
服务网格 Istio:微服务架构的下一步
后端
编码忘我24 分钟前
java并发之ThredLocal
后端
Cache技术分享25 分钟前
360. Java IO API - 访问文件系统
前端·后端
花月C27 分钟前
基于WebSocket的 “聊天” 业务设计与实战指南
java·网络·后端·websocket·网络协议
计算机学姐34 分钟前
基于SpringBoot的校园二手交易系统
java·vue.js·spring boot·后端·spring·tomcat·intellij-idea
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07OpenClaw Control UI安全上下文访问配置08UV安装并设置国内源09AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)