Java开发规范（八）| 安全规范—企业级应用的“架构级底线”

Java开发规范（八）| 安全规范---企业级应用的"架构级底线"

• 前言
• 一、为什么安全必须"架构先行"？
• • 反面案例：架构安全缺失导致的"全链路数据泄露"
  • 安全规范的5个核心价值（架构视角）
• 二、安全架构设计规范【强制】：定义安全防护边界
• • [1. 核心规则：安全架构"五件套"必须落地](#1. 核心规则：安全架构“五件套”必须落地)
  • [2. 安全架构参考图（企业级）](#2. 安全架构参考图（企业级）)
  • [3. 实战示例：API网关统一安全防护（Spring Cloud Gateway）](#3. 实战示例：API网关统一安全防护（Spring Cloud Gateway）)
• 三、输入输出安全规范【强制】：API网关+编码双重防护
• • [1. 防SQL注入：网关拦截+参数化查询](#1. 防SQL注入：网关拦截+参数化查询)
  • [2. 防XSS攻击：网关过滤+输出编码+CSP](#2. 防XSS攻击：网关过滤+输出编码+CSP)
  • [3. 防CSRF攻击：Token验证+同源策略+服务端校验](#3. 防CSRF攻击：Token验证+同源策略+服务端校验)
• 四、权限控制规范【强制】：架构级权限模型+分层校验
• • [1. 权限模型：强制RBAC3.0（支持数据权限）](#1. 权限模型：强制RBAC3.0（支持数据权限）)
  • [2. 分层校验：前端+网关+接口+业务逻辑](#2. 分层校验：前端+网关+接口+业务逻辑)
  • [3. 超管权限管控：审计+二次验证+权限最小化](#3. 超管权限管控：审计+二次验证+权限最小化)
• 五、数据安全规范【强制】：全生命周期加密与脱敏
• • [1. 数据传输：HTTPS+双向认证（核心场景）](#1. 数据传输：HTTPS+双向认证（核心场景）)
  • [2. 数据存储：分级加密+密钥管理](#2. 数据存储：分级加密+密钥管理)
  • [3. 数据使用：脱敏展示+日志脱敏](#3. 数据使用：脱敏展示+日志脱敏)
  • [4. 数据销毁：逻辑删除+物理清除+介质销毁](#4. 数据销毁：逻辑删除+物理清除+介质销毁)
• 六、云原生与微服务安全规范【新增】：适配分布式架构
• • [1. 容器安全规范（K8s部署）](#1. 容器安全规范（K8s部署）)
  • [2. 微服务通信安全规范](#2. 微服务通信安全规范)
  • [3. 密钥与配置安全规范](#3. 密钥与配置安全规范)
• 七、代码与依赖安全规范【强制】：从源头减少漏洞
• • [1. 编码安全：禁止危险编码习惯](#1. 编码安全：禁止危险编码习惯)
  • [2. 依赖安全：定期扫描+漏洞修复](#2. 依赖安全：定期扫描+漏洞修复)
• 八、安全监控与应急响应规范【强制】：形成安全闭环
• • [1. 安全监控：实时检测异常行为](#1. 安全监控：实时检测异常行为)
  • [2. 应急响应：快速止损+溯源+修复](#2. 应急响应：快速止损+溯源+修复)
  • [3. 应急响应流程（SOP）](#3. 应急响应流程（SOP）)
• 九、工具支持与落地保障
• • [1. 安全工具链（企业级标配）](#1. 安全工具链（企业级标配）)
  • [2. 落地流程（架构→上线→运维）](#2. 落地流程（架构→上线→运维）)
  • [3. 落地Checklist（上线前必查）](#3. 落地Checklist（上线前必查）)
• 十、常见反模式与优化方向
• • [1. 常见反模式（团队自查）](#1. 常见反模式（团队自查）)
  • [2. 优化方向（企业级安全演进）](#2. 优化方向（企业级安全演进）)
• 十一、总结：安全是"持续工程"，不是"一次性任务"

前言

Java应用的安全是"架构级工程"，而非"编码级补丁"------90%的安全漏洞源于架构设计阶段的安全缺失，而非编码疏忽：

• 未在架构层面设计统一的输入校验网关，导致SQL注入、XSS漏洞在各服务重复出现；
• 微服务间通信未做认证授权，黑客伪造服务身份调用核心接口；
• 云原生部署时未配置容器安全策略，容器逃逸导致主机被入侵；
• 安全监控缺失，数据泄露后数小时才发现，扩大损失范围。

大厂的安全规范，本质是 "架构先行定安全边界、编码阶段嵌安全防护、运维阶段做安全闭环"------从安全架构设计、全链路防护到自动化安全测试，形成覆盖"设计-开发-测试-部署-运维"全生命周期的安全体系。

一、为什么安全必须"架构先行"？

安全漏洞的代价往往是"毁灭性"的------一次数据泄露可能导致千万级罚款、用户流失，甚至企业停业。而架构设计阶段的安全缺失，会让后续编码级防护沦为"杯水车薪"。

反面案例：架构安全缺失导致的"全链路数据泄露"

• 背景 ：某金融科技Java应用架构设计存在4个核心安全漏洞：① 未设计统一的API网关，各服务自行处理输入校验，部分服务用${}拼接SQL；② 微服务间通信未做认证，仅靠服务名白名单防护；③ 容器部署时使用root账户，且挂载了主机目录；④ 敏感数据加密密钥硬编码在配置文件，未做密钥轮换。黑客通过SQL注入入侵某边缘服务，利用容器root权限逃逸获取主机控制权，再通过未认证的微服务接口横向渗透，最终导出1000万用户的银行卡号、身份证号等核心数据。
• 故障后果：监管部门罚款5000万元，企业被吊销金融牌照，直接经济损失超10亿元。
• 架构级安全的价值：若在架构设计阶段落地4项措施------① 部署API网关统一拦截注入攻击；② 微服务间用JWT+服务网格（Istio）做身份认证；③ 容器使用非root账户，禁用主机目录挂载；④ 密钥通过KMS（密钥管理服务）管理并定期轮换------可从根源上杜绝此次攻击。

安全规范的5个核心价值（架构视角）

1. 边界防护：架构层面定义安全边界（如API网关、防火墙），拦截大部分外部攻击；
2. 风险隔离：微服务间、容器间做安全隔离，避免单点漏洞引发全链路风险；
3. 合规达标：满足《网络安全法》《个人信息保护法》《等保2.0》等法规要求；
4. 成本优化：架构级防护可减少80%的编码级重复防护工作，降低安全维护成本；
5. 信任背书：通过架构级安全设计，满足客户、合作伙伴的安全合规要求。

二、安全架构设计规范【强制】：定义安全防护边界

安全架构是企业级应用的"安全骨架"，需在架构设计阶段明确"防护边界、认证授权、数据加密、安全监控"四大核心组件。

1. 核心规则：安全架构"五件套"必须落地

• 规则1：部署API网关（如Spring Cloud Gateway、Kong），作为外部请求的唯一入口，统一处理输入校验、限流、防注入；
• 规则2：采用"身份认证中心+服务网格"，统一管理用户认证和微服务间通信认证；
• 规则3：敏感数据全生命周期加密（传输HTTPS+存储加密+使用脱敏）；
• 规则4：部署WAF（Web应用防火墙）+ 网络防火墙，拦截网络层攻击；
• 规则5：搭建安全监控平台，实时检测异常行为（如暴力破解、高频访问），触发告警。

2. 安全架构参考图（企业级）

[外部请求] → [CDN] → [WAF] → [网络防火墙] → [API网关] → [服务网格（Istio）] → [微服务集群] → [数据库/缓存]
                                 |                |                |                |
                                 ↓                ↓                ↓                ↓
                           [安全监控平台]    [认证中心（OAuth2.0）]  [密钥管理服务（KMS）]  [数据脱敏服务]

3. 实战示例：API网关统一安全防护（Spring Cloud Gateway）

API网关是外部请求的"第一道防线"，统一拦截SQL注入、XSS、CSRF等攻击：

<!-- 依赖引入 -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
</dependency>

@Configuration
public class GatewaySecurityConfig {
    @Bean
    public RouteLocator routeLocator(RouteLocatorBuilder builder) {
        return builder.routes()
                // 订单服务路由，统一做安全拦截
                .route("order-service", r -> r.path("/api/v1/orders/**")
                        .filters(f -> f
                                .addResponseHeader("Content-Security-Policy", "default-src 'self'") // CSP防护
                                .rewritePath("/api/v1/orders/(?<segment>.*)", "/orders/${segment}")
                                .requestRateLimiter(c -> c // 限流防刷
                                        .setRateLimiter(redisRateLimiter())
                                        .setKeyResolver(ipKeyResolver()))
                                .filter(sqlInjectionFilter()) // SQL注入拦截
                                .filter(xssFilter())) // XSS拦截
                        .uri("lb://mall-order"))
                .build();
    }

    // SQL注入拦截过滤器
    @Bean
    public GlobalFilter sqlInjectionFilter() {
        return (exchange, chain) -> {
            ServerHttpRequest request = exchange.getRequest();
            // 拦截GET参数
            MultiValueMap<String, String> queryParams = request.getQueryParams();
            for (Map.Entry<String, List<String>> entry : queryParams.entrySet()) {
                String value = entry.getValue().get(0);
                if (isSqlInjection(value)) {
                    return ServerResponse.status(HttpStatus.FORBIDDEN)
                            .body(BodyInserters.fromValue("非法请求：包含SQL注入风险"));
                }
            }
            // 拦截POST请求体（JSON格式）
            return chain.filter(exchange.mutate().request(request).build());
        };
    }

    // 判断是否包含SQL注入关键字
    private boolean isSqlInjection(String value) {
        String lowerValue = value.toLowerCase();
        String[] keywords = {"union", "select", "insert", "delete", "update", "drop", "exec"};
        return Arrays.stream(keywords).anyMatch(lowerValue::contains);
    }

    // XSS拦截过滤器（省略，类似SQL注入拦截）
    @Bean
    public GlobalFilter xssFilter() { /* ... */ }
}

三、输入输出安全规范【强制】：API网关+编码双重防护

输入输出安全的核心是"网关拦截+编码校验"，避免恶意输入绕过网关进入业务系统。

1. 防SQL注入：网关拦截+参数化查询

• 规则 ：

  1. API网关统一拦截包含SQL关键字的请求；
  2. 编码层面禁止字符串拼接SQL，强制使用参数化查询（MyBatis #{}, JDBC PreparedStatement）；
  3. 动态表名/字段名需做白名单校验，禁止直接使用用户输入。

• 实战示例（MyBatis动态表名白名单） ：

  <!-- 动态表名查询 -->
  <select id="queryByTable" resultType="Long">
      SELECT user_id FROM ${tableName} WHERE status = #{status}
  </select>

  @Service
  public class UserService {
      private static final Set<String> TABLE_WHITELIST = new HashSet<>(Arrays.asList("user", "user_backup"));
  
      public List<Long> queryByTable(String tableName, Integer status) {
          // 白名单校验：仅允许指定表名
          if (!TABLE_WHITELIST.contains(tableName)) {
              log.warn("非法表名访问：{}", tableName);
              throw new SecurityException("非法请求参数");
          }
          return userMapper.queryByTable(tableName, status);
      }
  }

2. 防XSS攻击：网关过滤+输出编码+CSP

• 规则 ：

  1. API网关过滤HTML标签、JavaScript关键字；
  2. 前端输出时对HTML特殊字符编码（Spring Boot Thymeleaf默认编码）；
  3. 响应头添加CSP（内容安全策略），限制脚本执行源。

• 实战示例（网关XSS过滤+CSP配置） ：

  // 网关XSS过滤过滤器
  @Bean
  public GlobalFilter xssFilter() {
      return (exchange, chain) -> {
          ServerHttpRequest request = exchange.getRequest();
          // 处理GET参数
          MultiValueMap<String, String> queryParams = request.getQueryParams();
          MultiValueMap<String, String> newQueryParams = new LinkedMultiValueMap<>();
          queryParams.forEach((key, values) -> {
              List<String> newValues = values.stream()
                      .map(this::filterXss)
                      .collect(Collectors.toList());
              newQueryParams.put(key, newValues);
          });
          // 处理POST请求体（JSON格式）
          // ...（省略，需解析JSON并过滤每个字段）
          // 构建新请求
          ServerHttpRequest newRequest = request.mutate()
                  .queryParams(newQueryParams)
                  .build();
          // 添加CSP响应头
          exchange.getResponse().getHeaders().add("Content-Security-Policy", 
                  "default-src 'self'; script-src 'self'");
          return chain.filter(exchange.mutate().request(newRequest).build());
      };
  }
  
  // XSS过滤逻辑（使用HuTool工具类）
  private String filterXss(String value) {
      if (StringUtils.isEmpty(value)) {
          return value;
      }
      return new XssFilter().filter(value);
  }

3. 防CSRF攻击：Token验证+同源策略+服务端校验

• 规则 ：

  1. 核心操作（登录、转账、修改密码）必须校验CSRF Token；
  2. API网关配置CORS策略，仅允许合法域名跨域；
  3. 服务端校验请求来源（Referer/Origin头），拒绝非法来源请求。

• 实战示例（Spring Security CSRF防护+网关CORS配置） ：

  // Spring Security CSRF配置
  @Configuration
  @EnableWebSecurity
  public class SecurityConfig {
      @Bean
      public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
          http
              .csrf(csrf -> csrf
                  .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                  .ignoringRequestMatchers("/api/v1/public/**") // 公开接口跳过CSRF校验
              )
              .authorizeHttpRequests(auth -> auth
                  .requestMatchers("/api/v1/user/transfer").authenticated()
                  .anyRequest().permitAll()
              );
          return http.build();
      }
  }
  
  // 网关CORS配置
  @Bean
  public CorsWebFilter corsWebFilter() {
      CorsConfiguration config = new CorsConfiguration();
      config.setAllowedOrigins(Arrays.asList("https://www.legitimate.com")); // 仅允许合法域名
      config.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));
      config.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type", "X-CSRF-TOKEN"));
      config.setAllowCredentials(true);
      UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
      source.registerCorsConfiguration("/**", config);
      return new CorsWebFilter(source);
  }

四、权限控制规范【强制】：架构级权限模型+分层校验

权限控制的核心是"最小权限原则+架构级权限模型+分层校验"，避免"前端隐藏=权限控制"的低级错误。

1. 权限模型：强制RBAC3.0（支持数据权限）

• 规则 ：使用"用户-角色-权限-数据"的RBAC3.0模型，支持功能权限和数据权限双重控制：

  1. 功能权限：控制用户能否访问某个接口（如"修改订单"）；
  2. 数据权限：控制用户能操作哪些数据（如"只能查看自己的订单"）。

• 数据库设计（RBAC3.0） ：

  -- 1. 用户表
  CREATE TABLE `sys_user` (user_id bigint PRIMARY KEY, username varchar(50) NOT NULL, password varchar(100) NOT NULL);
  -- 2. 角色表
  CREATE TABLE `sys_role` (role_id bigint PRIMARY KEY, role_name varchar(50) NOT NULL);
  -- 3. 用户-角色关联表
  CREATE TABLE `sys_user_role` (id bigint PRIMARY KEY, user_id bigint NOT NULL, role_id bigint NOT NULL);
  -- 4. 功能权限表（接口级）
  CREATE TABLE `sys_perm` (perm_id bigint PRIMARY KEY, perm_name varchar(50) NOT NULL, url varchar(200) NOT NULL);
  -- 5. 角色-功能权限关联表
  CREATE TABLE `sys_role_perm` (id bigint PRIMARY KEY, role_id bigint NOT NULL, perm_id bigint NOT NULL);
  -- 6. 数据权限表（如部门、用户范围）
  CREATE TABLE `sys_data_perm` (id bigint PRIMARY KEY, role_id bigint NOT NULL, data_scope varchar(50) NOT NULL); -- data_scope: all/user/dept

2. 分层校验：前端+网关+接口+业务逻辑

• 规则 ：权限校验必须在四层实现，缺一不可：

  1. 前端：隐藏无权限的菜单/按钮（提升体验，非安全防护）；
  2. 网关：拦截无功能权限的请求，直接返回403；
  3. 接口：通过注解校验用户角色/权限；
  4. 业务逻辑：校验用户的数据权限（如"只能修改自己的订单"）。

• 实战示例（分层权限校验） ：

  // 1. 网关权限拦截（基于JWT Token解析角色）
  @Bean
  public GlobalFilter authFilter() {
      return (exchange, chain) -> {
          ServerHttpRequest request = exchange.getRequest();
          String path = request.getPath().value();
          // 公开接口跳过校验
          if (path.startsWith("/api/v1/public/")) {
              return chain.filter(exchange);
          }
          // 从JWT Token解析用户角色
          String token = request.getHeaders().getFirst("Authorization");
          if (token == null || !token.startsWith("Bearer ")) {
              return ServerResponse.status(HttpStatus.UNAUTHORIZED).bodyValue("未登录");
          }
          Jwt jwt = JwtUtil.parseToken(token.substring(7));
          String role = jwt.getClaim("role").asString();
          // 校验功能权限（从Redis缓存中获取角色-权限映射）
          Set<String> permUrls = redisTemplate.opsForValue().get("role:perm:" + role);
          if (permUrls == null || !permUrls.contains(path)) {
              return ServerResponse.status(HttpStatus.FORBIDDEN).bodyValue("无权限访问");
          }
          return chain.filter(exchange);
      };
  }
  
  // 2. 接口级权限注解校验
  @RestController
  @RequestMapping("/api/v1/order")
  public class OrderController {
      // 仅允许ADMIN角色访问
      @PreAuthorize("hasRole('ADMIN')")
      @PostMapping("/update")
      public Result<?> updateOrder(@RequestBody OrderUpdateRequest request) {
          return orderService.updateOrder(request);
      }
  }
  
  // 3. 业务逻辑级数据权限校验
  @Service
  public class OrderService {
      public Result<?> updateOrder(OrderUpdateRequest request) {
          Long orderId = request.getOrderId();
          Long loginUserId = SecurityUtils.getCurrentUserId();
          String userRole = SecurityUtils.getCurrentUserRole();
  
          // 管理员可修改所有订单，普通用户仅能修改自己的订单
          if (!"ADMIN".equals(userRole)) {
              Order order = orderMapper.selectById(orderId);
              if (order == null || !order.getUserId().equals(loginUserId)) {
                  log.warn("用户{}尝试修改他人订单{}", loginUserId, orderId);
                  return Result.fail("无权限修改该订单");
              }
          }
  
          // 正常修改逻辑
          orderMapper.updateById(buildOrder(request));
          return Result.success();
      }
  }

3. 超管权限管控：审计+二次验证+权限最小化

• 规则 ：

  1. 禁止创建"万能超管账号"，管理员账号按职责拆分（如财务管理员、系统管理员）；
  2. 敏感操作（如删除用户、修改金额）必须：① 记录详细审计日志；② 二次验证（短信/邮件验证码）；③ 多人审批（重大操作）；
  3. 超管操作日志定期审计，发现异常行为立即冻结账号。

• 实战示例（敏感操作二次验证+审计日志） ：

  // 1. 二次验证注解
  @Target(ElementType.METHOD)
  @Retention(RetentionPolicy.RUNTIME)
  public @interface TwoFactorAuth {
      String value() default "短信验证"; // 验证方式：短信/邮件
  }
  
  // 2. AOP切面实现二次验证
  @Aspect
  @Component
  public class TwoFactorAuthAspect {
      @Autowired
      private SmsService smsService;
      @Autowired
      private RedisTemplate<String, String> redisTemplate;
  
      @Before("@annotation(twoFactorAuth)")
      public void doBefore(JoinPoint joinPoint, TwoFactorAuth twoFactorAuth) {
          UserDTO currentUser = SecurityUtils.getCurrentUser();
          String phone = currentUser.getPhone();
          String authCode = ServletUtils.getRequest().getParameter("authCode");
  
          // 校验验证码
          String cacheCode = redisTemplate.opsForValue().get("two_factor_auth:" + currentUser.getUserId());
          if (cacheCode == null || !cacheCode.equals(authCode)) {
              throw new SecurityException("二次验证失败，请输入正确的验证码");
          }
  
          // 验证通过，删除缓存
          redisTemplate.delete("two_factor_auth:" + currentUser.getUserId());
      }
  }
  
  // 3. 敏感操作使用注解（需二次验证+审计日志）
  @SensitiveOperation("修改用户余额")
  @TwoFactorAuth
  @PreAuthorize("hasRole('FINANCE_ADMIN')")
  @PostMapping("/api/v1/user/updateBalance")
  public Result<?> updateUserBalance(@RequestBody BalanceUpdateRequest request) {
      return userService.updateBalance(request);
  }

五、数据安全规范【强制】：全生命周期加密与脱敏

数据安全的核心是"敏感数据不落地、不明文、可追溯"，覆盖"传输-存储-使用-销毁"全生命周期。

1. 数据传输：HTTPS+双向认证（核心场景）

• 规则 ：

  1. 所有通信（前端→网关、服务→服务、服务→数据库）必须使用HTTPS（TLSv1.2+）；
  2. 核心场景（如支付、金融交易）需启用HTTPS双向认证（客户端验证服务器证书，服务器验证客户端证书）；
  3. 禁用不安全的加密套件（如TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA）。

• 实战示例（HTTPS双向认证配置） ：

  # application-prod.yml
  server:
    port: 443
    ssl:
      enabled: true
      key-store: classpath:server.jks # 服务器证书
      key-store-password: 123456
      key-store-type: JKS
      trust-store: classpath:trust.jks # 信任库（存储客户端证书）
      trust-store-password: 123456
      client-auth: need # 强制客户端认证（双向认证）
      protocol: TLSv1.2
      enabled-protocols: TLSv1.2
      ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

2. 数据存储：分级加密+密钥管理

• 规则 ：

  数据类型	加密方式	密钥管理	示例
  密码	不可逆加密（BCrypt/Argon2）	无需密钥（算法自带盐值）	密码"123456"加密后为"$2a 12 12 12xxx..."
  敏感信息（身份证、手机号）	对称加密（AES-256-GCM）	KMS管理密钥，定期轮换	手机号"13800138000"加密后为"xxx..."
  超敏感信息（银行卡号、私钥）	非对称加密（RSA-2048）	硬件安全模块（HSM）存储私钥	银行卡号"622208..."加密后为"xxx..."

• 实战示例（分级加密+KMS密钥管理） ：

  @Service
  public class UserService {
      @Autowired
      private UserMapper userMapper;
      @Autowired
      private KmsService kmsService; // 自定义KMS客户端
  
      public Result<?> register(UserRegisterRequest request) {
          // 1. 密码BCrypt不可逆加密
          String encryptedPwd = BCrypt.hashpw(request.getPassword(), BCrypt.gensalt(12));
  
          // 2. 手机号AES加密（密钥从KMS获取）
          String aesKey = kmsService.getSecret("user.phone.aes.key"); // 从KMS获取密钥
          String encryptedPhone = AesUtils.encrypt(request.getPhone(), aesKey, "GCM");
  
          // 3. 身份证号RSA加密（超敏感信息）
          String rsaPublicKey = kmsService.getPublicKey("user.idcard.rsa.pub");
          String encryptedIdCard = RsaUtils.encrypt(request.getIdCard(), rsaPublicKey);
  
          // 4. 保存用户
          User user = new User()
              .setUsername(request.getUsername())
              .setPassword(encryptedPwd)
              .setPhone(encryptedPhone)
              .setIdCard(encryptedIdCard);
          userMapper.insert(user);
          return Result.success();
      }
  }

3. 数据使用：脱敏展示+日志脱敏

• 规则 ：

  1. 前端展示、接口返回时，敏感信息必须脱敏（如手机号显示为138****1234）；
  2. 日志打印时，敏感信息必须脱敏，禁止明文输出；
  3. 测试环境使用的生产数据，必须先脱敏（如替换手机号、身份证号）。

• 实战示例（脱敏工具类+日志脱敏） ：

  // 脱敏工具类
  public class DesensitizeUtils {
      // 手机号脱敏：保留前3位和后4位
      public static String desensitizePhone(String phone) {
          if (phone == null || !phone.matches("^1[3-9]\\d{9}$")) {
              return phone;
          }
          return phone.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2");
      }
  
      // 身份证号脱敏：保留前6位和后4位
      public static String desensitizeIdCard(String idCard) {
          if (idCard == null || (idCard.length() != 18 && idCard.length() != 15)) {
              return idCard;
          }
          return idCard.replaceAll("(\\d{6})\\d+(\\d{4})", "$1**********$2");
      }
  }
  
  // 日志脱敏（Logback自定义转换器）
  public class SensitiveDataConverter extends ClassicConverter {
      @Override
      public String convert(ILoggingEvent event) {
          String message = event.getFormattedMessage();
          // 手机号脱敏
          message = message.replaceAll("1[3-9]\\d{9}", DesensitizeUtils.desensitizePhone("$0"));
          // 身份证号脱敏
          message = message.replaceAll("(\\d{18}|\\d{15})", DesensitizeUtils.desensitizeIdCard("$0"));
          return message;
      }
  }
  
  // Logback配置（logback-spring.xml）
  <conversionRule conversionWord="msg" converterClass="com.mall.security.utils.SensitiveDataConverter"/>
  <appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
      <encoder>
          <pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n</pattern>
      </encoder>
  </appender>

4. 数据销毁：逻辑删除+物理清除+介质销毁

• 规则 ：
  1. 业务删除敏感数据时，采用"逻辑删除"（如设置is_deleted=1），便于审计和数据恢复；
  2. 定期（如每季度）对逻辑删除的数据进行物理删除，删除后用随机数据覆写磁盘；
  3. 废弃的存储介质（硬盘、U盘）需物理销毁或专业数据擦除，禁止随意丢弃。

六、云原生与微服务安全规范【新增】：适配分布式架构

云原生和微服务架构引入了新的安全风险（如容器逃逸、服务间通信未认证），需针对性强化防护。

1. 容器安全规范（K8s部署）

• 规则 ：

  1. 容器镜像必须使用非root账户运行，禁用USER root；
  2. 容器禁止挂载主机目录（hostPath），如需存储使用PV/PVC；
  3. 启用容器镜像扫描（如Trivy），禁止使用存在高危漏洞的镜像；
  4. 配置PodSecurityContext，限制容器权限（如禁止特权模式）。

• 实战示例（K8s Pod安全配置） ：

  # deployment.yml
  apiVersion: apps/v1
  kind: Deployment
  metadata:
    name: mall-order
  spec:
    replicas: 3
    template:
      spec:
        securityContext:
          runAsUser: 1000 # 非root用户ID
          runAsGroup: 1000
          fsGroup: 1000
          allowPrivilegeEscalation: false # 禁止权限提升
          privileged: false # 禁止特权模式
        containers:
        - name: mall-order
          image: mall-order:v1.0.0
          securityContext:
            readOnlyRootFilesystem: true # 只读根文件系统
            runAsNonRoot: true # 强制非root用户
          # 禁止挂载hostPath
          volumeMounts:
          - name: data
            mountPath: /data
        volumes:
        - name: data
          persistentVolumeClaim:
            claimName: mall-order-pvc # 使用PVC而非hostPath

2. 微服务通信安全规范

• 规则 ：

  1. 微服务间通信必须使用HTTPS，且通过服务网格（Istio）做身份认证和授权；
  2. 禁用服务名白名单认证（易被伪造），改用JWT或mTLS（双向TLS）认证；
  3. 微服务接口禁止暴露公网，仅通过API网关对外提供服务。

• 实战示例（Istio mTLS认证配置） ：

  # 启用命名空间下的mTLS
  apiVersion: security.istio.io/v1beta1
  kind: PeerAuthentication
  metadata:
    name: default
    namespace: prod
  spec:
    mtls:
      mode: STRICT # 强制mTLS认证

3. 密钥与配置安全规范

• 规则：

  1. 敏感配置（密钥、密码）禁止硬编码，需存储在K8s Secret或配置中心（Nacos/Apollo），并加密存储；
  2. 密钥通过KMS（如AWS KMS、阿里云KMS）管理，定期轮换（每90天）；
  3. 配置中心访问需授权，禁止匿名访问。

• 实战示例（K8s Secret+Nacos加密配置）：

  # K8s Secret配置
  apiVersion: v1
  kind: Secret
  metadata:
    name: mall-secret
  type: Opaque
  data:
    db-password: cGFzc3dvcmQxMjM= # Base64编码后的密码
    aes-key: YWVzLWtleS0xMjM= # Base64编码后的AES密钥

  # Nacos加密配置（application.yml）
  spring:
    cloud:
      nacos:
        config:
          server-addr: nacos-server:8848
          namespace: prod
          encrypt:
            enabled: true # 启用Nacos配置加密
            key: ${NACOS_ENCRYPT_KEY} # 加密密钥从环境变量获取

七、代码与依赖安全规范【强制】：从源头减少漏洞

代码是安全的基础，需杜绝危险编码习惯，同时加强依赖包的安全管理。

1. 编码安全：禁止危险编码习惯

• 规则 ：

  1. 禁止硬编码敏感信息（密钥、密码、IP），从环境变量、K8s Secret或配置中心获取；
  2. 禁止使用System.out.println、e.printStackTrace()输出日志，需使用日志框架（Logback/Log4j2）；
  3. 禁止使用过期或不安全的API（如SimpleDateFormat、HttpURLConnection）；
  4. 禁止使用ThreadLocal不清理，避免内存泄漏和数据串扰；
  5. 禁止在代码中直接处理密码明文，使用安全框架（如Spring Security）统一处理。

• 错误示例与修正 ：

  // 错误1：硬编码密钥
  String secretKey = "abc123456"; // 危险！硬编码密钥易泄露
  
  // 正确1：从环境变量获取
  String secretKey = System.getenv("AES_SECRET_KEY");
  
  // 错误2：使用SimpleDateFormat（线程不安全）
  SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd");
  String date = sdf.format(new Date());
  
  // 正确2：使用DateTimeFormatter（线程安全）
  DateTimeFormatter formatter = DateTimeFormatter.ofPattern("yyyy-MM-dd");
  String date = LocalDate.now().format(formatter);
  
  // 错误3：ThreadLocal未清理
  private static final ThreadLocal<UserDTO> USER_CONTEXT = new ThreadLocal<>();
  public void setUser(UserDTO user) {
      USER_CONTEXT.set(user);
  }
  
  // 正确3：使用后清理
  public void clearUser() {
      USER_CONTEXT.remove();
  }

2. 依赖安全：定期扫描+漏洞修复

• 规则：

  1. 项目构建时，强制使用依赖扫描工具（如Maven Dependency Check、OWASP Dependency-Check）扫描高危漏洞；
  2. 禁止使用存在Critical/High级漏洞的依赖包，需在72小时内升级到安全版本；
  3. 清理无用依赖，避免"依赖膨胀"增加漏洞攻击面；
  4. 使用依赖锁定（如pom.xml的dependencyManagement），避免依赖版本冲突。

• 实战示例（Maven依赖扫描配置）：

  <!-- pom.xml添加依赖扫描插件 -->
  <plugin>
      <groupId>org.owasp</groupId>
      <artifactId>dependency-check-maven</artifactId>
      <version>8.4.0</version>
      <executions>
          <execution>
              <goals>
                  <goal>check</goal>
              </goals>
              <configuration>
                  <failOnCVSS>7.0</failOnCVSS> <!-- CVSS≥7.0（高危）阻断构建 -->
                  <reportFormat>HTML</reportFormat>
                  <outputDirectory>${project.build.directory}/dependency-check-report</outputDirectory>
              </configuration>
          </execution>
      </executions>
  </plugin>

  执行扫描命令：mvn dependency-check:check，若存在高危漏洞，构建直接失败。

八、安全监控与应急响应规范【强制】：形成安全闭环

安全防护不是"一劳永逸"，需通过监控及时发现异常，通过应急响应快速止损。

1. 安全监控：实时检测异常行为

• 规则：

  1. 监控核心指标：暴力破解次数、高频访问IP、敏感接口调用频率、异常数据访问；
  2. 日志集中收集（ELK），支持按traceId、IP、用户ID追溯安全事件；
  3. 设置告警阈值（如1分钟内登录失败5次、敏感接口被调用100次），触发告警后通过短信/钉钉通知安全负责人。

• 实战示例（Prometheus+Grafana安全监控）：

  // 自定义安全指标（如暴力破解次数）
  @Service
  public class SecurityMetricService {
      private final Counter bruteForceAttackCounter;
  
      public SecurityMetricService(MeterRegistry meterRegistry) {
          this.bruteForceAttackCounter = meterRegistry.counter("security.brute_force.attack");
      }
  
      // 登录失败时调用
      public void recordLoginFailure(String username, String ip) {
          bruteForceAttackCounter.increment();
          log.warn("登录失败：用户名{}，IP{}", username, ip);
      }
  }

  在Grafana中配置"暴力破解次数"仪表盘，设置阈值告警（如1分钟内≥5次）。

2. 应急响应：快速止损+溯源+修复

• 规则 ：
  1. 制定安全漏洞应急响应流程（SOP），明确"发现-止损-溯源-修复-复盘"各环节的责任人；
  2. 发现高危漏洞后，立即采取止损措施（如关闭接口、封禁IP、下线服务）；
  3. 漏洞修复后，进行全量渗透测试，确认无残留风险；
  4. 每起安全事件必须输出《应急响应复盘报告》，补充防护措施。

3. 应急响应流程（SOP）

graph TD A[发现漏洞/攻击] --> B[初步评估风险等级（Critical/High/Medium/Low）] B --> C{风险等级≥High？} C -- 是 --> D[立即止损（封禁IP/关闭接口/下线服务）] C -- 否 --> E[安排修复计划] D --> F[溯源攻击路径（通过日志+链路追踪）] F --> G[修复漏洞（代码/配置/架构调整）] G --> H[全量渗透测试，验证修复效果] H --> I[恢复服务，解除止损措施] I --> J[输出《应急响应复盘报告》，优化防护规则] E --> G

九、工具支持与落地保障

1. 安全工具链（企业级标配）

工具类别	选型	核心价值
API网关	Spring Cloud Gateway/Kong	统一输入校验、限流、防注入
身份认证	Spring Security/OAuth2.0/Keycloak	统一用户认证、JWT签发与验证
服务网格	Istio	微服务间mTLS认证、流量控制
漏洞扫描	OWASP ZAP/Burp Suite/Maven Dependency Check	渗透测试、依赖漏洞扫描
安全监控	Prometheus+Grafana/ELK/SkyWalking	异常行为监控、日志审计、链路溯源
密钥管理	AWS KMS/阿里云KMS/HashiCorp Vault	密钥存储、轮换、加密解密
容器安全	Trivy/Aqua Security	容器镜像扫描、Pod安全配置检查

2. 落地流程（架构→上线→运维）

1. 架构设计阶段：架构师+安全专家+DBA评审《安全架构设计文档》，明确防护边界、认证授权、数据加密方案；
2. 编码阶段 ：
   • 开发人员遵循编码安全规范，使用安全工具（如IDEA安全插件）实时检测漏洞；
   • 代码评审时，安全相关代码（如权限校验、加密逻辑）必须重点检查；
3. 测试阶段 ：
   • 单元测试：覆盖权限校验、输入过滤等安全逻辑；
   • 渗透测试：安全团队对核心功能进行手动渗透测试；
   • 依赖扫描：构建时自动扫描依赖漏洞，高危漏洞阻断构建；
4. 上线阶段 ：
   • 部署安全组件（API网关、WAF、Istio）；
   • 配置K8s安全策略（非root用户、禁用hostPath）；
   • 导入安全监控指标和告警规则；
5. 运维阶段 ：
   • 日常监控：实时查看安全告警，及时处理异常；
   • 定期审计：每周审计敏感操作日志，每月进行全量渗透测试；
   • 漏洞修复：跟踪行业漏洞公告，及时修复依赖漏洞；
   • 安全培训：每季度对开发、运维团队进行安全培训。

3. 落地Checklist（上线前必查）

检查项	责任方	完成标准
安全架构	架构师	API网关、认证中心、KMS已部署
输入输出安全	开发负责人	SQL注入、XSS、CSRF防护已实现
权限控制	开发负责人	RBAC3.0模型落地，分层校验已实现
数据安全	DBA+开发负责人	敏感数据传输/存储加密、脱敏已实现
云原生安全	DevOps	容器非root运行，微服务mTLS已启用
依赖安全	开发负责人	依赖扫描无高危漏洞，无用依赖已清理
安全监控	运维工程师	异常行为监控、告警规则已配置
应急响应	安全负责人	应急响应SOP已制定，责任人明确

十、常见反模式与优化方向

1. 常见反模式（团队自查）

1. 未部署API网关，各服务自行处理输入校验，导致漏洞重复出现；
2. 权限校验仅靠前端隐藏，未在接口和业务层校验，存在越权风险；
3. 密码明文或MD5存储，未使用BCrypt等不可逆加密；
4. 容器使用root账户运行，挂载主机目录，存在逃逸风险；
5. 微服务间通信未做认证，仅靠服务名白名单防护；
6. 敏感配置硬编码到代码或配置文件，未使用KMS/Secret管理；
7. 依赖包未定期扫描，存在高危漏洞未修复；
8. 安全监控缺失，异常攻击行为无法及时发现；
9. 未制定应急响应流程，漏洞出现后无法快速止损；
10. 测试环境使用生产明文数据，存在数据泄露风险。

2. 优化方向（企业级安全演进）

1. 从"被动防护"到"主动防御"：引入威胁情报平台，提前感知潜在攻击；
2. 从"编码级防护"到"架构级防护"：落地服务网格、零信任架构，减少编码级安全工作；
3. 从"人工测试"到"自动化安全测试"：将渗透测试、依赖扫描集成到CI/CD流水线，实现"安全左移"；
4. 从"单点防护"到"全链路防护"：打通API网关、服务网格、安全监控的数据，实现全链路安全溯源。

十一、总结：安全是"持续工程"，不是"一次性任务"

企业级Java应用的安全防护，从来不是"编码时加几个校验"，而是"架构设计定边界、编码阶段嵌防护、运维阶段做闭环"的持续工程。大厂的安全规范，本质是将"安全意识"转化为"可落地的架构设计、可执行的编码规则、可自动化的工具链"。

对开发团队来说，遵循安全规范不是"额外的负担"，而是"避免毁灭性故障的底线"。很多安全漏洞都是"架构级缺失"或"低级编码错误"，只要在架构设计阶段落地安全边界，编码时遵循核心规则，就能避免90%的安全风险。

安全防护没有"终点"------随着业务的发展和攻击手段的演进，安全规范也需要持续优化。只有建立"架构先行、工具保障、流程闭环"的安全体系，才能真正筑牢企业级应用的"安全防线"，守护业务和用户的信任。