阿里java开发规范（5）---日志规约，单元测试，安全规约

(二)日志规约

1. 【强制】应用中不可直接使用日志系统 （ Log 4 j 、 Logback ） 中的 API ，而应依赖使用日志框架
SLF 4 J 中的 API ，使用门面模式的日志框架，有利于维护和各个类的日志处理方式统一。
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
private static final Logger logger = LoggerFactory.getLogger(Abc.class);
2. 【强制】日志文件至少保存 15 天，因为有些异常具备以 “ 周 ” 为频次发生的特点。
3. 【强制】应用中的扩展日志 （ 如打点、临时监控、访问日志等 ） 命名方式：
appName_logType_logName.log 。
logType : 日志类型， 如 stats / monitor / access 等 ； logName : 日志描述。这种命名的好处：
通过文件名就可知道日志文件属于什么应用，什么类型，什么目的，也有利于归类查找。
正例： mppserver 应用中单独监控时区转换异常，如：
mppserver _ monitor _ timeZoneConvert . log
说明： 推荐对日志进行分类， 如将错误日志和业务日志分开存放，便于开发人员查看，也便于
通过日志对系统进行及时监控。
4. 【强制】对 trace / debug / info 级别的日志输出，必须使用条件输出形式或者使用占位符的方
式。
说明： logger . debug( " Processing trade with id : " + id + " and symbol : " + symbol);
如果日志级别是 warn ，上述日志不会打印，但是会执行字符串拼接操作，如果 symbol 是对象，
会执行 toString() 方法，浪费了系统资源，执行了上述操作，最终日志却没有打印。
正例： （ 条件 ） 建设采用如下方式
if (logger.isDebugEnabled()) {
logger.debug("Processing trade with id: " + id + " and symbol: " + symbol);
}
正例： （ 占位符 ）
logger.debug("Processing trade with id: {} and symbol : {} ", id, symbol);
5. 【强制】避免重复打印日志，浪费磁盘空间，务必在 log 4 j . xml 中设置 additivity = false 。
正例：
6. 【强制】异常信息应该包括两类信息：案发现场信息和异常堆栈信息。如果不处理，那么通过
关键字 throws 往上抛出。
正例： logger.error( 各类参数或者对象 toString() + "_" + e.getMessage(), e);
7. 【推荐】谨慎地记录日志。生产环境禁止输出 debug 日志 ； 有选择地输出 info 日志 ； 如果使
用 warn 来记录刚上线时的业务行为信息，一定要注意日志输出量的问题，避免把服务器磁盘
撑爆，并记得及时删除这些观察日志。
说明： 大量地输出无效日志，不利于系统性能提升，也不利于快速定位错误点。 记录日志时请
思考：这些日志真的有人看吗？看到这条日志你能做什么？能不能给问题排查带来好处？
8. 【推荐】可以使用 warn 日志级别来记录用户输入参数错误的情况，避免用户投诉时，无所适
从。如非必要，请不要在此场景打出 error 级别，避免频繁报警。
说明： 注意日志输出的级别， error 级别只记录系统逻辑出错、异常或者重要的错误信息。
9. 【推荐】尽量用英文来描述日志错误信息，如果日志中的错误信息用英文描述不清楚的话使用
中文描述即可，否则容易产生歧义。 国际化团队或海外部署的服务器由于字符集问题，【强制】
使用全英文来注释和描述日志错误信息。

三、单元测试

1. 【强制】好的单元测试必须遵守 AIR 原则。
说明： 单元测试在线上运行时，感觉像空气 （ AIR ） 一样并不存在，但在测试质量的保障上，
却是非常关键的。好的单元测试宏观上来说，具有自动化、独立性、可重复执行的特点。
 A ： Automatic （自动化）
 I ： Independent （独立性）
 R ： Repeatable （可重复）
2. 【强制】单元测试应该是全自动执行的，并且非交互式的。测试用例通常是被定期执行的，执
行过程必须完全自动化才有意义。输出结果需要人工检查的测试不是一个好的单元测试。单元
测试中不准使用 System.out 来进行人肉验证，必须使用 assert 来验证。
3. 【强制】保持单元测试的独立性。为了保证单元测试稳定可靠且便于维护，单元测试用例之间
决不能互相调用，也不能依赖执行的先后次序。
反例： method2 需要依赖 method1 的执行， 将执行结果作为 method2 的输入。
4. 【强制】单元测试是可以重复执行的，不能受到外界环境的影响。
说明： 单元测试通常会被放到持续集成中，每次有代码 check in 时单元测试都会被执行。如
果单测对外部环境（网络、服务、中间件等） 有依赖，容易导致持续集成机制的不可用。
正例： 为了不受外界环境影响，要求设计代码时就把 SUT 的依赖改成注入，在测试时用 spring
这样的 DI 框架注入一个本地（内存）实现或者 Mock 实现。
5. 【强制】对于单元测试，要保证测试粒度足够小，有助于精确定位问题。单测粒度至多是类级
别，一般是方法级别。
说明： 只有测试粒度小才能在出错时尽快定位到出错位置。单测不负责检查跨类或者跨系统的
交互逻辑，那是集成测试的领域。
6. 【强制】核心业务、核心应用、核心模块的增量代码确保单元测试通过。
说明： 新增代码及时补充单元测试，如果新增代码影响了原有单元测试，请及时修正。
7. 【强制】单元测试代码必须写在如下工程目录： src/test/java ，不允许写在业务代码目录下。
说明： 源码构建时会跳过此目录，而单元测试框架默认是扫描此目录。
8. 【推荐】单元测试的基本目标：语句覆盖率达到 70% ；核心模块的语句覆盖率和分支覆盖率都
要达到 100%
说明： 在工程规约的应用分层中提到的 DAO 层， Manager 层，可重用度高的 Service ，都应该
进行单元测试。
9. 【推荐】编写单元测试代码遵守 BCDE 原则，以保证被测试模块的交付质量。
 B ： Border ，边界值测试，包括循环边界、特殊取值、特殊时间点、数据顺序等。
 C ： Correct ，正确的输入，并得到预期的结果。
 D ： Design ，与设计文档相结合，来编写单元测试。
 E ： Error ，强制错误信息输入（如：非法数据、异常流程、非业务允许输入等），并得
到预期的结果。
10. 【推荐】对于数据库相关的查询，更新，删除等操作，不能假设数据库里的数据是存在的，
或者直接操作数据库把数据插入进去，请使用程序插入或者导入数据的方式来准备数据。
反例： 删除某一行数据的单元测试，在数据库中， 先直接手动增加一行作为删除目标，但是这
一行新增数据并不符合业务插入规则， 导致测试结果异常。
11. 【推荐】和数据库相关的单元测试，可以设定自动回滚机制，不给数据库造成脏数据。或者
对单元测试产生的数据有明确的前后缀标识。
正例： 在 RDC 内部单元测试中，使用 RDC_UNIT_TEST_ 的前缀标识数据。
12. 【推荐】对于不可测的代码建议做必要的重构，使代码变得可测，避免为了达到测试要求而
书写不规范测试代码。
13. 【推荐】在设计评审阶段，开发人员需要和测试人员一起确定单元测试范围，单元测试最好
覆盖所有测试用例。
14. 【推荐】单元测试作为一种质量保障手段，不建议项目发布后补充单元测试用例，建议在项
目提测前完成单元测试。
15. 【参考】为了更方便地进行单元测试，业务代码应避免以下情况：
 构造方法中做的事情过多。
 存在过多的全局变量和静态方法。
 存在过多的外部依赖。
 存在过多的条件语句。
说明： 多层条件语句建议使用卫语句、策略模式、状态模式等方式重构。
16. 【参考】不要对单元测试存在如下误解：
 那是测试同学干的事情。本文是开发手册，凡是本文内容都是与开发同学强相关的。
 单元测试代码是多余的。 系统的整体功能与各单元部件的测试正常与否是强相关的。
 单元测试代码不需要维护。一年半载后，那么单元测试几乎处于废弃状态。
 单元测试与线上故障没有辩证关系。好的单元测试能够最大限度地规避线上故障。

四、安全规约

1. 【强制】 隶属于用户个人的页面或者功能必须进行权限控制校验。
说明： 防止没有做水平权限校验就可随意访问、 修改、删除别人的数据，比如查看他人的私信
内容、修改他人的订单。
2. 【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。
说明： 中国大陆个人手机号码显示为 :158****9119 ，隐藏中间 4 位，防止隐私泄露。
3. 【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定，防止 SQL 注入，
禁止字符串拼接 SQL 访问数据库。
4. 【强制】用户请求传入的任何参数必须做有效性验证。
说明： 忽略参数校验可能导致：
 page size 过大导致内存溢出
 恶意 order by 导致数据库慢查询
 任意重定向
 SQL 注入
 反序列化注入
 正则输入源串拒绝服务 ReDoS
说明： Java 代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题，
但是如果攻击人员使用的是特殊构造的字符串来验证，有可能导致死循环的结果。
5. 【强制】禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
6. 【强制】表单、 AJAX 提交必须执行 CSRF 安全验证。
说明： CSRF(Cross - site request forgery) 跨站请求伪造是一类常见编程漏洞。对于存在
CSRF 漏洞的应用 / 网站，攻击者可以事先构造好 URL ，只要受害者用户一访问，后台便在用户
不知情的情况下对数据库中用户参数进行相应修改。
7. 【强制】在使用平台资源，譬如短信、邮件、电话、下单、支付，必须实现正确的防重放的机
制，如数量限制、疲劳度控制、验证码校验，避免被滥刷而导致资损。
说明： 如注册时发送验证码到手机，如果没有限制次数和频率，那么可以利用此功能骚扰到其
它用户，并造成短信平台资源浪费。
8. 【推荐】发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过

滤等风控策略