1. 代码格式化

1.1 工具介绍

• ESLint 是一款用于查找并报告代码中问题的工具


• Stylelint 是一个强大的现代 CSS 检测器


• Prettier 是一款强大的代码格式化工具，支持多种语言


• lint-staged 是一个在 git 暂存文件上运行 linters 的工具


• husky 是 Git Hook 工具，可以设置在 git 各个阶段触发设定的命令

1.2 配置说明

1.2.1 ESLint 配置

在项目根目录下增加 .eslintrc.js 文件进行配置，配置项详见官方文档，以下为参考配置：

npm i -D eslint eslint-plugin-vue eslint-plugin-import eslint-import-resolver-typescript @typescript-eslint/parser @typescript-eslint/eslint-plugin prettier eslint-plugin-prettier eslint-config-prettier

module.exports = {

  // 此项是用来告诉 eslint 找当前配置文件不能往父级查找

  root: true,

  // 全局环境

  env: {

    browser: true,

    node: true,

  },

  // 指定如何解析语法，eslint-plugin-vue 插件依赖vue-eslint-parser解析器

  parser: "vue-eslint-parser",

  // 优先级低于parse的语法解析配置

  parserOptions: {

    // 指定ESlint的解析器

    parser: "@typescript-eslint/parser",

    // 允许使用ES语法

    ecmaVersion: 2020,

    // 允许使用import

    sourceType: "module",

    // 允许解析JSX

    ecmaFeatures: {

      jsx: true,

    },

  },

  extends: [

    "eslint:recommended", // 引入 ESLint的核心功能并且报告一些常见的共同错误

    "plugin:import/recommended", // import/export语法的校验

    "plugin:import/typescript", // import/export 语法的校验（支持 TS）

    // 'plugin:vue/essential' // vue2 版本使用

    // 'plugin:vue/recommended', // vue2 版本使用

    "plugin:vue/vue3-essential", // vue3 版本使用

    "plugin:vue/vue3-recommended", // vue3 版本使用

    "plugin:@typescript-eslint/recommended",

    "prettier", // prettier 要放在最后！

  ],

  plugins: ["prettier"],

  rules: {

    "prettier/prettier": "error",

    "@typescript-eslint/explicit-module-boundary-types": "off",

    "no-undef": "off",

    // 更多规则详见：http://eslint.cn/docs/rules/

  },

  settings: {

    "import/parsers": {

      "@typescript-eslint/parser": [".ts", ".tsx"],

    },

    "import/resolver": {

      typescript: {

        alwaysTryTypes: true,

      },

    },

  },

};

💡当 ESLint 同时使用 prettier 的时候，prettier 和 ESLint 可能存在一些规则冲突，我们需要借助 eslint-plugin-prettier 和 eslint-config-prettier 进行解决，在安装完依赖包后在 .eslintrc.js 配置文件中进行添加如下内容：

module.exports = {

	"extends": [

    // 其他扩展内容...

    "prettier" // prettier 要放在最后！

  ],

  "plugins": ["prettier"],

  "rules": {

    "prettier/prettier": "error"

  },

}

1.2.2 StyleLint 配置

在项目根目录下增加 .stylelintrc.js 文件进行配置，配置项详见官方文档，以下为参考配置：

npm i -D stylelint stylelint-config-standard stylelint-order stylelint-config-rational-order prettier stylelint-prettier stylelint-config-prettier postcss-html postcss-less stylelint-config-recommended-vue

module.exports = {

  extends: [

    'stylelint-config-standard', // 官方 stylelint 规则

    'stylelint-config-rational-order', // 属性排列顺序规则

    /*

     * 通过安装 stylelint-prettier，设置 'stylelint-prettier/recommended'，其包含了三个操作

       plugins: ['.'],

       extends: ['stylelint-config-prettier'], // 需要安装 stylelint-config-prettier

       rules: {'prettier/prettier': true},

     */

    'stylelint-prettier/recommended',

  ],

  plugins: [

    'stylelint-order', // CSS 属性排序

  ],

  rules: {

    // 更多规则详见：https://stylelint.io/user-guide/rules/list

  },

};

💡当 StyleLint 同时使用 prettier 的时候，prettier 和 StyleLint 可能存在一些规则冲突，我们需要借助 stylelint-prettier 和 stylelint-config-prettier 进行解决，在安装完依赖包后在 .stylelintrc.js 配置文件中进行添加如下内容：

module.exports = {

  extends: [

    /*

     * 通过安装 stylelint-prettier，设置 'stylelint-prettier/recommended'，其包含了三个操作

       plugins: ['.'],

       extends: ['stylelint-config-prettier'], // 需要安装 stylelint-config-prettier

       rules: {'prettier/prettier': true},

     */

    'stylelint-prettier/recommended',

  ],

};

1.2.3 Prettier 配置

在项目根目录下增加 .prettierrc.js 文件进行配置，配置项详见官方文档，以下为参考配置：

npm i -D prettier

module.exports = {

  // 更多规则详见：https://prettier.io/docs/en/options.html

  printWidth: 120, // 单行长度

  tabWidth: 2, // 缩进长度

  useTabs: false, // 使用空格代替tab缩进

  semi: true, // 句末使用分号

  singleQuote: true, // 使用单引号

  bracketSpacing: true, // 在对象前后添加空格-eg: { foo: bar }

  quoteProps: 'consistent', // 对象的key添加引号方式

  trailingComma: 'all', // 多行时尽可能打印尾随逗号

  jsxBracketSameLine: true, // 多属性html标签的‘>’折行放置

  arrowParens: 'always', // 单参数箭头函数参数周围使用圆括号-eg: (x) => x

  jsxSingleQuote: true, // jsx中使用单引号

  proseWrap: 'preserve',

  htmlWhitespaceSensitivity: 'ignore', // 对HTML全局空白不敏感

};

1.2.4 husky 和 lint-staged 配置

step1. 初始化 husky

npx husky-init && npm install

step2. 在 .husky/pre-commit 文件中进行修改（注意区别 husky@7 与 husky@4 的设置方式）

#!/bin/sh

. "$(dirname "$0")/_/husky.sh"



npx lint-staged

step3. 安装 lint-statged 并在 package.json 中进行设置

npm i -D lint-staged

{

  "lint-staged": {

    "*.{js,ts,vue}": [

      "eslint --fix",

      "prettier --write",

      "git add"

    ],

    "*.{css,less,vue}": [

      "stylelint --fix",

      "prettier --write",

      "git add"

    ]

  }

}

1.3 使用参考

如何在 VSCode 中进行配置使得能够自动按照相应的规则进行格式化呢？接下来进入第二章《编辑器配置》。

2. 编辑器配置

2.1 VSCode 配置

2.1.1 配置内容

所有 VSCode 配置自定义的内容（包括插件部分）都在 setting.json 文件中，以下为参考配置：

{

  "editor.tabSize": 2,

  "window.zoomLevel": 0,

  "editor.fontSize": 14,

  "editor.formatOnPaste": true,

  "editor.formatOnSave": true,

  "editor.multiCursorModifier": "ctrlCmd",

  "editor.snippetSuggestions": "top",

  "eslint.codeAction.showDocumentation": {

    "enable": true

  },

  "eslint.run": "onSave",

  "eslint.format.enable": true,

  "eslint.options": {

    "extensions": [

      ".js",

      ".vue",

      ".ts",

      ".tsx"

    ]

  },

  "eslint.validate": [

    "javascript",

    "typescript",

    "vue"

  ],

  "stylelint.validate": [

    "css",

    "less",

    "postcss",

    "scss",

    "sass",

    "vue",

  ],

  // 保存时按照哪个规则进行格式化

  "editor.codeActionsOnSave": {

    "source.fixAll": true,

    "source.fixAll.eslint": true

  },

  "files.autoSave": "afterDelay", // 文件自动保存

  "files.autoSaveDelay": 2000, // 2s 后文件自动保存

}

参考资料： VS Code 使用指南、 VS Code 中 Vetur 与 prettier、ESLint 联合使用

2.1.1 插件推荐

2.2 EditorConfig 配置

EditorConfig 的优先级高于编辑器自身的配置，因此可用于维护不同开发人员、不同编辑器的编码风格。在项目根目录下增加 .editorconfig 文件进行配置即可，以下为参考配置：

# Editor configuration, see http://editorconfig.org



# 表示是最顶层的 EditorConfig 配置文件

root = true



[*] # 表示所有文件适用

charset = utf-8 # 设置文件字符集为 utf-8

indent_style = space # 缩进风格（tab | space）

indent_size = 2 # 缩进大小

end_of_line = lf # 控制换行类型(lf | cr | crlf)

insert_final_newline = true # 始终在文件末尾插入一个新行

trim_trailing_whitespace = true # 去除行尾的任意空白字符

3. Commit Message 格式化

3.1 工具介绍

Conventional Commits 约定式提交规范是一种用于给提交信息增加人机可读含义的规范，可以通过以下工具来进行检查、统一和格式化：

• commitlint：检查您的提交消息是否符合 conventional commit format


• commitizen：帮助撰写规范 commit message 的工具


• cz-customizable：自定义配置 commitizen 工具的终端操作


• commitlint-config-cz：合并 cz-customizable 的配置和 commitlint 的配置

3.2 配置说明

3.2.1 格式化配置

step1. 安装 commitizen 和 cz-customizable

npm install -D commitizen cz-customizable

step2. 在 package.json 添加以下内容：

{

  "config": {

    "commitizen": {

      "path": "node_modules/cz-customizable"

    }

  }

}

step3. 在项目根目录下增加 .cz-config.js 文件进行配置即可，以下为参考配置：

module.exports = {

  // type 类型

  types: [

    { value: 'feat', name: 'feat: 新增功能' },

    { value: 'fix', name: 'fix: 修复 bug' },

    { value: 'docs', name: 'docs: 文档变更' },

    { value: 'style', name: 'style: 代码格式改变（不影响功能）' },

    { value: 'refactor', name: 'refactor: 代码重构（不包括 bug 修复、功能新增）' },

    { value: 'perf', name: 'perf: 性能优化' },

    { value: 'test', name: 'test: 添加或修改测试用例' },

    { value: 'build', name: 'build: 构建流程或外部依赖变更' },

    { value: 'ci', name: 'ci: 修改 CI 配置或脚本' },

    { value: 'chore', name: 'chore: 对构建过程或辅助工具和库的更改（不影响源文件、测试用例）' },

    { value: 'revert', name: 'revert: 回滚 commit' },

  ],

  // scope 类型

  scopes: [

    ['components', '组件相关'],

    ['hooks', 'hook 相关'],

    ['utils', 'utils 相关'],

    ['styles', '样式相关'],

    ['deps', '项目依赖'],

    // 如果选择 custom，后面会让你再输入一个自定义的 scope。也可以不设置此项，把后面的 allowCustomScopes 设置为 true

    ['custom', '以上都不是，我要自定义'],

  ].map(([value, description]) => {

    return {

      value,

      name: `${value.padEnd(30)} (${description})`,

    };

  }),

  // 交互提示信息

  messages: {

    type: '确保本次提交遵循 Angular 规范！\n选择你要提交的类型：',

    scope: '选择一个 scope（可选）：\n',

    customScope: '请输入自定义的 scope：\n', // 选择 scope: custom 时会出现的提示

    subject: '填写简短精炼的变更描述：\n',

    body: '填写更加详细的变更描述（可选）。使用 "|" 换行：\n',

    breaking: '列举非兼容性重大的变更（可选）：\n',

    footer: '列举出所有变更的 ISSUES CLOSED（可选）：\n',

    confirmCommit: '是否确认提交？',

  },

  // 设置只有 type 选择了 feat 或 fix，才询问 breaking message

  allowBreakingChanges: ['feat', 'fix'],

  // subject 限制长度

  subjectLimit: 100,

};

step4. 新增 husky 配置，使得提交 commit message 时触发 commitizen，快捷命令如下：

npx husky add .husky/prepare-commit-msg "exec < /dev/tty && node_modules/.bin/cz --hook || true"

注意，commitizen 如果是全局安装，则使用下面的快捷命令：

npx husky add .husky/prepare-commit-msg "exec < /dev/tty && git cz --hook || true"

3.2.2 格式检查配置

step1. 安装 commitlint 和 commitlint-config-cz ****依赖：

npm install --save-dev @commitlint/{config-conventional,cli} commitlint-config-cz

step2. 在项目根目录下增加 commitlint.config.js 文件进行配置即可，以下为配置内容：

module.exports = {

  extends: ['@commitlint/config-conventional', 'cz'],

  rules: {},

};

step3. 新增 husky 配置，使得提交 commit message 时触发 commitlint 检验，配置内容如下：

npx husky add .husky/commit-msg 'npx --no -- commitlint --edit "$1"'

3.3 使用参考

在命令行输入 git commit，然后根据命令行提示输入相应的内容，完成之后则会自动生成符合规范的 commit message，从而实现提交信息的统一。

4. 代码规范参考

4.1 JS/TS 规范

社区类代码风格：

• Airbnb JavaScript Style Guide：github.com/airbnb/java…


• Clean Code Javascript：github.com/ryanmcdermo…


• Code Guide by @AlloyTeam：alloyteam.github.io/CodeGuide/


• JavaScript Standard Style：github.com/standard/st…

工具类代码风格：

• ESLint 规则：eslint.cn/docs/rules/


• ESLint 扩展：
  
  
  
  • eslint-plugin-vue 针对 Vue2/3 规则
  
  
  • eslint-config-standard 对应 JavaScript Standard Style 社区规则
  
  
  • eslint-config-airbnb 对应 Airbnb JavaScript Style Guide 社区规则
  
  
  
  

4.2 CSS 规范

社区类代码风格：

• BEM 规范：GetBEM + CSS BEM 书写规范


• 谷歌 CSS 规范：google.github.io/styleguide/…

工具类代码风格

• stylint 规则：stylelint.io/user-guide/…


• csscomb 规则：github.com/csscomb/css…

4.3 VUE 规范

推荐阅读 Vue 官方风格指南：Vue2 版本 和 Vue3 版本，其他可参考 eslint-plugin-vue。

背景：APP端上安全在谈什么

APP的每个业务场景都有其既定的运行模式，若被人为破坏就可认为是不安全的。举个栗子，比如秒杀场景：大量用户在特定时间点，通过点击抢购来秒杀优惠商品，从而营造一种紧迫而有噱头的营销场景，但如果能通过非法手段自动抢购、甚至提前开始刷接口抢购，那就彻底破坏了业务的玩法，这就是一种不安全的运行模式。再比如常用的用户拉新场景：新客获取成本高达200左右，所有产品的拉新投入都蛮高，如何获得真正的新用户而不是羊毛党也是拉新必须处理的事，一般而言，新设备+新账户是新用户的基本条件，但新账户的成本其实不高，大部分是要靠新设备来识别的，但如果能通过非法手段不断模拟新设备，那拉新投入获取的可能大部分都是无效的羊毛党，这也可看做是一种不安全的运行场景，甚至还有二次篡改，构建马甲APP等各种场景。而APP端上安全要做的就是甄别并防范这种异常场景的发生，简而言之它就是：一种确保官方APP在既定业务模型中运行的能力。

APP端上安全体系应该具备哪些能力

一个安全体系要具备哪些能力呢，简单说可分两块：甄别与防御。即一：甄别运行环境是否安全的能力，二：针对不同的场景作出不同的防御的能力，场景千变万化，所以防御手段也没有一剑破万法的能力，基本都要根据具体的风险场景，产出不同的应对方案，但是整体涉及的流程基本一致，如下：

要做的事情就是围绕四个阶段构建不同的能力。先看第一阶段：风险场景的假设，预判有哪些风险场景，从AppStore或者官方应用市场下载，安装、正常使用，这是理想中的运行模式，但不安分的用户千千万，异常场景也多变，不存在一剑破万法的说法，这里人为做了一些场景归类：

从实践来看，安全模型必须覆盖的场景包含上述四类，即

一： 运行的APP非官方应用

这种情况一般是非法用户为了谋求特定的权益，对原装APP进行魔改二次打包后发布，这对于一些广告类、离线付费类APP是一种毁灭性的打击，最常见的就是一些APP会在闪屏页面投放广告，从而获取收益，但一旦这个业务逻辑被篡改绕过，那么广告收益直接归零；还有些情况APP被碰瓷，魔改一些功能，跳转到非官方设定的网站，比如在比较火的APP添加劫持逻辑，跳转到一些黄赌网站，这给官方APP带来的负面影响是难易估量的，如果不能自证清白，甚至还会面临法律上的追责。

二：业务的运转模型被篡改

简单的讲就是没有按照产品的既定玩法进行，就像文章开头的秒杀场景【电商平台的茅台抢购】，如果能通过API直接组单，那APP里点击的那批用户无论如何也抢不过插件；再比如有些签到的场景是为了促活，如果通过自动签到工具自动打卡，那促活的目的也无法达到，这也是要重点防控的一个场景。

三：运行的设备非目标设备

这种场景主要影响一些拉新、优惠权益等，甚至直接影响整体运营策略，简单举个例子，拉新场景中会投放大量的新人免单、直减券，基本等于免费领取权益，比如我们都经历过的打车软件、外卖软件、新电商产品上线等。全国有无数的专业羊毛党专注于这一场景，他们掌握大量手机号，可以注册大量新账号，同时能通过虚拟机、应用多开、复刻设备等手段无限冒充新设备，如果不加反制，优惠策略一上线，各种券基本全被这批人掠夺，被这种手段折磨致死的产品数不胜数，也几乎是每个电商平台的噩梦。

四：一些核心逻辑的泄漏

这不是端上特有的风险，比如代码泄漏这种，各方都有这种风险，只不过端上风险更高，因为APP是要上架发出去的，虽然经历过各种混淆与保护，但是用户最终还是能拿到可执行的APP包的，里面各种的核心的逻辑、秘钥都有潜在泄漏的风险，一旦泄漏，也是一种毁灭性的打击，比如某些音视频软件特有滤镜、转场、特效，这些算法是一个产品的核心，一旦破解，产品优势不再，如果防止逻辑代码的泄漏与破解也是安全必须关注的点。

覆盖上述场景的意思是要提供甄别的能力，针对不同的场景，抽象特征值并搜集上报，建立特定的模型，推导C端操作环境是否安全，之后上线不同的应对策略：比如直接退出应用、标记为风险用户等。

建设方案

甄别与防御是体系的核心，建设方案主要是围绕这两个主题展开，虽说名称是“端上安全体系”，但只依靠端自己是无法解决所有问题的，也无法将价值发挥到最大，仍需多端系统配合来完成整个体系的搭建，分工的基本原则是：端上侧重特征信息的搜集，云端负责整体策略的执行，根据上述场景，搭建示意如下：

按层次跟功能大致分四块，端、网关、业务后台、数据风控中心：

• 端是信息的来源，负责信息采集上报，是安全体系建设的基石，所以端上采集信息的真实性、为完整性至关重要，同时端上也可以执行部分风险低，但收益高的拦截略，比如对于一些已经侦测到的马甲包，在上报用户信息之后，可以选择Crash，对于一些机器点击类的签到、秒杀场景，可以主动拦截请求，降低带宽压力。


• 网关是第二层，一般处理一些具体规则类的拦截与信息采集，比如有些简单的规则检验，Header里是否携带必备的校验字段，如多开标识、模拟器标志等，如果携带则可以在这一层直接拦截，并沉淀到数据中心，既保证了信息的采集，又能减轻业务后台的压力，尤其对于一些秒杀类的场景非常有效。


• 业务后台跟数据平台可以一起看做第三层，负责更复杂的模型建设跟业务落地，比如在什么样的节点，才有什么样的策略，比如在组单的时候，业务后台可根据风控侧的判断决定用户的优惠力度等

针对各个具体的场景会有具体的建设方案，

如何应对非官方APP：APP包识别

非法人员总是出于自己的权益来破解官方APP，定制一些逻辑再二次打包发布，比如对一些付费类APP，含广告类工具APP等，通过破解代码，并二次打包后就可以官方造成冲击，甚至是毁灭性的打击，对于这种场景如何甄别，又如何处理呢？拿Android为例，检测手段有签名校验、文件校验、包完整性校验等，一旦检测到风险就可以做出响应处理，在处理方式上也需要根据不同产品不同场景随机变动，比如工具类APP就Crash阻断，而对于一些有用户体系类的APP则可以先回传用户信息，用作用户画像，再做响应的处理，而处理的手段也可以根据风险等级的不同再做定制，甄别的技术手段可能是死的，但获取的收益一定要灵活。

如何应对非理想设备：设备识别与设备指纹

非理想设备最经典的就是文章开头的场景，拉新拉来一堆老羊毛党，说到底其实就是对于用户设备的定位追踪能力不足，对于这种场景的如何应对？这里单独说说设备指纹，设备指纹主要解决的如何定位一台设备的问题，在理想情况下，一台设备只有一个身份信息，它不因APP卸载、升级、HOOK伪装所改变，这在现在的互联产品生态中是非常困难的，困难主要来源于两个方面：一技术上的、一是法规上的，从技术上来讲，以Android端为例，它是一个开源的系统，每一行代码都不可信，任何通过官方API拿到的信息都可以被HOOK篡改，而指纹很大程度依赖API获得的设备特征信息，如果这些信息都不可信，那指纹的可信程度也会降低。另一方面，从法规上来讲，现在注重保护个人隐私，不可以随意获取用户信息，这一点有利于用户【包括羊毛党】，但是对于运营方却是不利的，信息越少越难定位到，因此，在隐私合规的前提下，仍需要多维度的获取更多的用户信息，从更多的维度定位到该用户。

具体如何执行？以Android为例，定位一台设备的信息有MAC、IMEI、IMSI、序列号、AndroidID、IP+UA、OAID、各种设备型号等，虽然信息很多，但单独任何一条的可信度都不高，比如之前的某盾、某盟都曾用MAC地址作为指纹，甚至有些产品直接用IMEI作为指纹，但网上利用XPOSED来篡改的插件比比皆是，通过官方API获取的分分钟被破解，但是可以对多种信息进行整合生成一个唯一可信的ID，这种方式获取的ID的稳定性要比单一的稳定性要高，原理示意如下：

简单来说：只有篡改了全部的设备特征信息，才会导致设备指纹更新，这会大幅提高设备逃逸的难度。设备指纹的另一个难题是如何识别虚拟设备，这里特指模拟器，每个新开的模拟器都可以看做是新设备，如果不能识别，同样无法解决设备跟踪的问题，尤其对于国内的Android生态来讲，问题更加严重，各种游戏厂商都有对应的手游模拟器，不仅支持多开，还原生支持篡改各种设备特征信息，可以算得上助纣为虐，在模拟器甄别与防控的层面能做的有如下几种：

• 通过特征信息甄别【容易绕过】


• 通过CPU架构甄别【ARM与SimpleX86】


• 限定APP的运行平台

这里简单介绍下通过CPU架构甄别方式，就目前的硬件市场，几乎99.9%以上的手机设备都是基于ARM处理，而模拟器大部分是面向x86平台设计的，采用的是simplex86架构，两者采用的不一样缓存机制，ARM采用的哈弗架构将指令存储跟数据存储分开，分为I-Cache（指令缓存）与D-Cahce（数据缓存），CPU无法直接修改I-Cache【同步延迟导致不一致】，但Simpled X86架构的模拟器只有一块缓存，这一点导致两者在运行Self-Modifying Code【自修改代码】时会有不同的表现，可以借助这个特性进行甄别，示意如下

至此，设备的定位与跟踪能力基本已经具备，在用户在领券的节点，就可以从更多维度判断他当前的设备是否有资格享受这个权益，保障业务按既定模型运转。

当然还有更多的场景，比如应用多开、应用分身等，都要具体问题具体分析，但思路一致：特征搜集、甄别、防控，因为所有的不轨行为一定有迹可循，

如何应对非设定业务场景：场景识别与校验

每种业务都有其既定的运行模式，只有照章办事，运营才能获取最大的收益，这里特指一些可以通过自己的参与获得收益的场景，比如秒杀、签到、预约摇号等。一般而言，在这类场景下，破坏者可钻的空子有两个方向，一个是便利：通过插件自动预约，免得用户自己操作，适合摇号、签到类【签到领积分】；一个是速度，通过插件直接API请求，抢跑下单，获得收益，适合限时秒杀类的场景【各大平台强茅台】。以秒杀为例，通过营造紧迫而又刺激的氛围可以让活动更有意思，但如果能直接刷接口/或者通过插件抢跑，那就会破坏其公平性，影响用户的参与感，造成资产及口碑受损，这类场景如何应对？其实要做的事情分两块：一 识别请求是从APP发出来 ， 二 识别是真实用户操作的，这两快一般会整体考虑，非APP端的请求往往伴随着非用户触发，多归结于脚本，所以识别“人”与识别“场景”殊途同归，具体有哪些手段可以用呢？

• 扩展核心API接口的能力，承载更多逻辑


• 通过埋点、用户操作轨迹分析识别用户


• 启用端上特有能力校验，如短信验证码、行程码分析

如何拓展API接口的能力？比如预约接口其基础能力就是预约，如不特殊处理，PC上就完全可以复制APP端发出的请求，进而通过脚本预约，如要加以限制就必须拓展端上API能力，让其携带更多端上独有特征，同时服务端可以完成校验，形成一个闭环，比较容易理解的就是让APP端与服务端协商一套加解密通信协议，并假定协议无法破解，避免接口直刷，从而确保请求是从APP发出的，即使不是从APP发出的，也能被甄别出来，进而提高APP与服务端通信阶段的安全性。当然，无法破解只是理论上，实际上只要舍得投入成本，暴力破解并不是问题，这种就需要通过更多元的手段，不断更新迭代，持续做攻防，例如，为了保证加密算法的保密性，可以将其用c实现，并通混淆、加固、防探测等手段保证这个策略的正确执行；暴力堆积加密的类型、节点，提升秘钥的更新频率也是一种应对手段，而且，惩罚手段上也可以多元，同直接拦截相比，隐秘的搜捕，诱捕也是一种灵活收益的手段。

其次，基于埋点、用户操作行为的大数据分析是另一种更高级的防御手段，对于识别用户操作场景更加科学，正常的用户轨迹与插件类的访问轨迹会有很大的差异，直刷的目标明确，主攻几个关键接口，但正常用户访问会有一系列的曝光、点击等行为，并且每次的点击也会有各种零零散散的活体特征可以采集，比如点击的点位置、数量、力度、频率等，这些维度为用户识别提供了更广的操作空间。基于以上几点的模型示意如下：

最后一点，启用端上特有的校验能力，这个已经是最终的防御手段，在实在没有办法的情况才会采用的，因为这种手段很影响用户体验，由于采用的是端上特有的能力，比如短信验证码，必须真机才能收到，这就从根本上避免了插件类的直刷，所以可靠性确实所有手段中最高的，但体验差，成本高，所以算是最后一道防线。

如何应对核心逻辑的泄漏

这一块主要关注的是APP端的一些核心逻辑的破解或泄密，可以分两个方向，对外与对内，对外主要是APP包的逆向与破解，不法人员从发布上架的APP包中获取核心业务实现或其他敏感信息；而对内主要指工程安全，核心源码或秘钥的泄漏、误改等。

相应的防范策略也是分两块，对外的线上防破解可以从以下几点入手：

• 利用代码混淆防APP逆向，一般而言官方会提供相应的能力，也可借助三方加固来提高混淆的力度


• 核心源码、秘钥下沉，采用更难破解的方式实现，同时增加防外部调用的防范策略，比如Android采用C+混淆来处理


• 为线上APP添加防调试与HOOK的能力，防止动态调试探测，


• 添加防止代理与中间人劫持的能力，例如SSLPING等技术，避免被抓包探测


• 从二次打包入手，添加签名、完整性检测的能力，防止被探测、篡改

而对内主要从工程安全角度推进，主要是做好代码的权责管理

• 采用组件化开发模式，不同等级的基础能力、业务、核心逻辑做好隔离


• 仓库单独部署，同时做好权责划分，代码、文档做好权限隔离


• 加强秘钥、KEY的管控，开发与生产环境严格隔离

上述手段基本涵盖大部可预见的风险场景，即使未覆盖，也大概有类似的手段作为参考，无非就是抽象、搜集、判断、处理。

线上执行方案

最后一步是上线执行，上述的手段多种多样，但相互之间并非孤立运行，彼此可以相互穿插，灵活配合，不存在特定的章法，全看使用方的意图，如何探测，探测之后如何处理，是全杀还是放一部分，都看操刀者自己的运作，以应用多开场景为例，除了利用多开基础的多开检测手段，还可以配合设备指纹做更多的事情，有时虽然没有检测到多开，但是基于设备指纹的补刀，也能定位到问题设备，而在最后一步惩治处理中，不同处理手段也会获得不一样的收益：

理论上讲，APP技术层面不存在100%有效的安防策略，虚虚实实才是王道，敬畏，才是最有效的防御手段

总结与展望

目前国内APP的生态环境并不健康，甚至可以说野蛮，随着隐私策略收紧，APP所能获取的信息越来越少，安防也越来越难做，反之，刷子却越活越滋润，技术所面临的的挑战也更加棘手，安防注定是一个长期攻防的领域。最后，技术不能解决所有问题，最终还是要依赖法律的健全与全民意识提升。

场景再现

那是一个夜黑风高的晚上，某个版本迭代经过了完备的测试，正准备上线。研发同事A开完了上线评审后，信心满满地对运维同事B说：“开冲！”

几分钟后，同事B发了条消息过来，看着抖动的头像，同事A心想：小B效率真高啊，这么快！点开消息一看【启动报错了，你看一下】。

什么？启动还能报错，不可能啊，我研测环境都好好的。

小A火急火忙地连上堡垒机，看了下日志，报错信息大致为 【表tb_xxx没有找到】。

“怎么可能，我用了伟大的flyway，怎么可能会没有表呢？”小A如是说道。

提到flyway，这里简单介绍一下。Flyway是一款开源的数据库版本管理工具，可以实现管理并跟踪数据库变更，支持数据库版本自动升级，而且不需要复杂的配置，能够帮助团队更加方便、合理的管理数据库变更。只需要引入相应依赖，添加配置，再在resource目录下创建db/migration/xxxx.sql文件，在sql文件中写入用到的建表语句，插入语句即可。

不管怎么说，代码是不会骗人的。先找下是哪里出了问题！

小A很快就定位到了代码位置，是一个用于缓存的HashMap，这操作也没什么问题，相信大家都这么用过，对于一些一次查找，到处使用，还亘古不变的表信息，可以先查一次，把它用Map缓存起来，以便后续使用。

但是研发同事C把这段代码放在了afterPropertiesSet()​方法内部，没错，就是那个InitializingBean​接口的方法。看到这里，相信各位熟练背诵Bean生命周期的Java Boy已经明白了！查询数据库的操作在Bean还没有创建完成的时候就进行了！而此时，flyway脚本还没有执行，自然就找不到对应的表信息了。

那怎么办呢？

解决方法

解决方法很简单，sql执行的时候找不到表，那就让它在表创建完之后再执行！

1.CommandLineRunner接口

一个方法就是我们常用的CommandLineRunner​接口，重写run()​方法，把缓存逻辑移到run()​方法中。原因是run()方法的执行时机是在SpringBoot应用程序启动之后，此时flyway已经执行完毕，表结构已经存在，就没问题了！

2.@DependsOn注解

通过代码分析，flyway的加载是由flywayInitializer​这个Bean负责的。所以只需要我们的Bean在它之后加载就行了，这就用上了@DependsOn​注解。

@DependsOn注解可以定义在类和方法上，意思是我这个Bean要依赖于另一个Bean，也就是说被依赖的组件会比该组件先加载注册到IOC容器中。

也就是在我们的Bean上加上这么个注解@DependsOn("flywayInitializer")

总结

此次线上问题复习了Bean的生命周期，复习了InitializingBean，CommandLineRunner​两个接口，复习了@DependsOn​注解。

〇、小故事

小王考上了理想的大学，为了更好的迎接大学生活，他决定买一台苹果的笔记本电脑犒赏自己。

电脑很快买好了，用起来也非常的流畅，但是，当他想要插U盘传资料的时候，尴尬的事情来了，这台电脑两侧的插口非常少，只有1个耳机插孔和2个雷电插孔，根本没有USB插口！这咋办呀？

他赶快咨询了他的哥哥，他哥哥告诉他，去买一个扩展坞就可以了，然后他上网一看，原来买一个扩展坞之后，无论是U盘还是连接显示器的HDMI都可以连接啦！！他开心极了，本来要遗憾退掉这台心爱的苹果笔记本电脑，这回也不用退啦！

以上这个小故事，相信很多使用过苹果笔记本的同学们都会遇到，大多也都会购买这种扩展坞，那么，这种扩展坞其实就是适配器模式的一个具体实现例子了。那么，言归正传，我们来正式了解一下这个设计模式——适配器模式。

一、模式定义

适配器模式定义：

该模式将一个类的接口，转换成客户期望的另一个接口。适配器模式让原本接口不兼容的类可以合作无间。

为了进一步加深该模式的理解，我们再举一个研发过程中会遇到的例子：

此时我们维护了一个员工管理系统，然后接入我们系统的第三方系统，我们都要求对方遵守我们的接口规范去开发，比如：提供方法名为queryAllUser()的方法等等。但是，这次接入的系统已经有类似功能了，他们不希望因为两个系统的接入而重新开发新的接口，那么这对这种情况，我们就可以采用适配器模式，将接口做中间层的适配转换。

如图下图所示：

二、模式类图

通过上面的介绍，相信大家对适配器模式也有了一定的了解了。那么，下面我们就来看一下如果要实现适配器模式，我们的类图应该是怎么样的。

首先，我们要说明两个重要的概念：Adapter和Adaptee，其含义分别是适配器和待适配的类。我们就是通过实现Target接口创建Adapter类，然后在具体的方法内部来通过调用Adaptee方法来实现具体的业务逻辑。具体类图如下所示：

三、代码实现

首先创建目标类接口——Target：

public interface Target {

    void prepare();

    void execute();

}

实现Target接口，创建具体实现类——NormalTarget：

public class NormalTarget implements Target {

    public void prepare() {

        System.out.println("NormalTarget prepare()");

    }

    public void execute() {

        System.out.println("NormalTarget execute()");

    }

}

创建待适配的类Adaptee，用于后续适配器对其进行适配工作：

public class Adaptee {

    public void prepare1() {

        System.out.println("Adaptee prepare1()");

    }

    public void prepare2() {

        System.out.println("Adaptee prepare2()");

    }

    public void prepare3() {

        System.out.println("Adaptee prepare3()");

    }

    public void doingSomething() {

        System.out.println("Adaptee doingSomething()");

    }

}

创建适配器Adapter，由于要适配目标对象Target，所以需要实现Target接口：

public class Adapter implements Target {

    // 待适配的类

    private Adaptee adaptee;



    public Adapter(Adaptee adaptee) {

        this.adaptee = adaptee;

    }



    public void prepare() {

        adaptee.prepare1();

        adaptee.prepare2();

        adaptee.prepare3();

    }



    public void execute() {

        adaptee.doingSomething();

    }

}

创建客户端Client，用于操作Target目标对象执行某些业务逻辑：

public class Client {

    Target target;

    public void work() {

        target.prepare();

        target.execute();

    }

    public void setTarget(Target target) {

        this.target = target;

    }

}

创建测试类AdapterTest，使得Client操作NormalTarget和Adaptee：

public class AdapterTest {

    public static void main(String[] args) {

        Client client = new Client();



        System.out.println("------------NormalTarget------------");

        client.setTarget(new NormalTarget());

        client.work();



        System.out.println("------------Adaptee------------");

        client.setTarget(new Adapter(new Adaptee())); // 适配器转换

        client.work();

    }

}

通过输出结果我们可以看到，适配器运行正常：

------------NormalTarget------------

NormalTarget prepare()

NormalTarget execute()

------------Adaptee------------

Adaptee prepare1()

Adaptee prepare2()

Adaptee prepare3()

Adaptee doingSomething()

今天的文章内容就这些了：

写作不易，笔者几个小时甚至数天完成的一篇文章，只愿换来您几秒钟的 点赞 & 分享 。

更多技术干货，欢迎大家关注公众号“爪哇缪斯” ~ \(^o^)/ ~ 「干货分享，每天更新」

背景

随着业务的发展，首页的弹窗越来越多，隐私政策弹窗，广告弹窗，好评弹窗，应用内更新弹窗等等。
并且弹框显示还有要求，比如：

• 用户本次使用app，只能显示一个弹框，毕竟谁都不愿意打开app就看到一堆弹框


• 这些弹框有优先级：如隐私政策弹窗优先级肯定比好评弹窗高，所以希望优先级高的优先显示


• 广告弹框只展示一次


• 等等

如何优雅的处理这个逻辑呢？请出我们的主角：责任链模式。

责任链模式

举个栗子🌰

一位男性在结婚之前有事要和父母请示，结婚之后要请示妻子，老了之后就要和孩子们商量。作为决策者的父母、妻子或孩子，只有两种选择：要不承担起责任来，允许或不允许相应的请求； 要不就让他请示下一个人，下面来看如何通过程序来实现整个流程。

先看一下类图：

类图非常简单，IHandler上三个决策对象的接口。

//决策对象的接口

public interface IHandler {

    //处理请求

    void HandleMessage(IMan man);

}

//决策对象：父母

public class Parent implements IHandler {

    @Override

    public void HandleMessage(IMan man) {

        System.out.println("孩子向父母的请求是：" + man.getRequest());

        System.out.println("父母的回答是：同意");

    }

}

//决策对象：妻子

public class Wife implements IHandler {

    @Override

    public void HandleMessage(IMan man) {

        System.out.println("丈夫向妻子的请求是:" + man.getRequest());

        System.out.println("妻子的回答是:同意");

    }

}

//决策对象：孩子

public class Children implements IHandler{

    @Override

    public void HandleMessage(IMan man) {

        System.out.println("父亲向孩子的请求是:" + man.getRequest());

        System.out.println("孩子的回答是:同意");

    }

}

IMan上男性的接口：

public interface IMan {

    int getType(); //获取个人状况

    String getRequest(); //获取个人请示（这里就简单的用String）

}

//具体男性对象

public class Man implements IMan {

    /**

     * 通过一个int类型去描述男性的个人状况

     * 0--幼年

     * 1--成年

     * 2--年迈

     */

    private int mType = 0;

    //请求

    private String mRequest = "";



    public Man(int type, String request) {

        this.mType = type;

        this.mRequest = request;

    }



    @Override

    public int getType() {

        return mType;

    }



    @Override

    public String getRequest() {

        return mRequest;

    }

}

最后我们看下一下场景类：

public class Client {

    public static void main(String[] args) {

        //随机生成几个man

        Random random = new Random();

        ArrayList<IMan> manList = new ArrayList<>();

        for (int i = 0; i < 5; i++) {

            manList.add(new Man(random.nextInt(3), "5块零花钱"));

        }

        //定义三个请示对象

        IHandler parent = new Parent();

        IHandler wife = new Wife();

        IHandler children = new Children();

        //处理请求

        for (IMan man: manList) {

            switch (man.getType()) {

                case 0:

                    System.out.println("--------孩子向父母发起请求-------");

                    parent.HandleMessage(man);

                    break;

                case 1:

                    System.out.println("--------丈夫向妻子发起请求-------");

                    wife.HandleMessage(man);

                    break;

                case 2:

                    System.out.println("--------父亲向孩子发起请求-------");

                    children.HandleMessage(man);

                    break;

                default:

                    break;

            }

        }

    }

}

首先是通过随机方法产生了5个男性的对象，然后看他们是如何就要5块零花钱这件事去请示的，运行结果如下所示：

--------丈夫向妻子发起请求-------

丈夫向妻子的请求是:5块零花钱

妻子的回答是:同意

--------丈夫向妻子发起请求-------

丈夫向妻子的请求是:5块零花钱

妻子的回答是:同意

--------父亲向孩子发起请求-------

父亲向孩子的请求是:5块零花钱

孩子的回答是:同意

--------孩子向父母发起请求-------

孩子向父母的请求是：5块零花钱

父母的回答是：同意

--------丈夫向妻子发起请求-------

丈夫向妻子的请求是:5块零花钱

妻子的回答是:同意

发没发现上述的代码是不是有点不舒服，有点别扭，有点想重构它的感觉？那就对了！这段代码有以下几个问题：

• 职责界定不清晰

对孩子提出的请示，应该在父母类中做出决定，父母有责任、有义务处理孩子的请示，

因此Parent类应该是知道孩子的请求自己处理，而不是在Client类中进行组装出来，
也就是说 原本应该是父亲这个类做的事情抛给了其他类进行处理，不应该是这样的。

• 代码臃肿

我们在Client类中写了if...else的判断条件，而且能随着能处理该类型的请示人员越多，
if...else的判断就越多，想想看，臃肿的条件判断还怎么有可读性？！

• 耦合过重

这是什么意思呢，我们要根据Man的type来决定使用IHandler的那个实现类来处理请

求。有一个问题是：如果IHandler的实现类继续扩展怎么办？修改Client类？
与开闭原则违背了！【开闭原则：软件实体如类，模块和函数应该对扩展开放，对修改关闭】
http://www.jianshu.com/p/05196fac1…

• 异常情况欠考虑

丈夫只能向妻子请示吗？丈夫向自己的父母请示了，父母应该做何处理？
我们的程序上可没有体现出来，逻辑失败了！

既然有这么多的问题，那我们要想办法来解决这些问题，我们先来分析一下需求，男性提出一个请示，必然要获得一个答复，甭管是同意还是不同意，总之是要一个答复的，而且这个答复是唯一的，不能说是父母作出一个决断，而妻子也作出了一个决断，也即是请示传递出去，必然有一个唯一的处理人给出唯一的答复，OK，分析完毕，收工，重新设计，我们可以抽象成这样一个结构，男性的请求先发送到父亲，父母一看是自己要处理的，就作出回应处理，如果男性已经结婚了，那就要把这个请求转发到妻子来处理，如果男性已经年迈，那就由孩子来处理这个请求，类似于如图所示的顺序处理图。

父母、妻子、孩子每个节点有两个选择：要么承担责任，做出回应；要么把请求转发到后序环节。结构分析得已经很清楚了，那我们看怎么来实现这个功能，类图重新修正，如图 ：

从类图上看，三个实现类Parent、Wife、Children只要实现构造函数和父类中的抽象方法 response就可以了，具体由谁处理男性提出的请求，都已经转移到了Handler抽象类中，我们 来看Handler怎么实现，

public abstract class Handler {

    //处理级别

    public static final int PARENT_LEVEL_REQUEST = 0; //父母级别

    public static final int WIFE_LEVEL_REQUEST = 1;	//妻子级别

    public static final int CHILDREN_LEVEL_REQUEST = 2;//孩子级别



    private Handler mNextHandler;//下一个责任人



    protected abstract int getHandleLevel();//具体责任人的处理级别



    protected abstract void response(IMan man);//具体责任人给出的回应



    public final void HandleMessage(IMan man) {

        if (man.getType() == getHandleLevel()) {

            response(man);//当前责任人可以处理

        } else {

            //当前责任人不能处理，如果有后续处理人，将请求往后传递

            if (mNextHandler != null) {

                mNextHandler.HandleMessage(man);

            } else {

                System.out.println("-----没有人可以请示了，不同意该请求-----");

            }

        }

    }



    public void setNext(Handler next) {

        this.mNextHandler = next;

    }

}

再看一下具体责任人的实现：Parent、Wife、Children

public class Parent extends Handler{



    @Override

    protected int getHandleLevel() {

        return Handler.PARENT_LEVEL_REQUEST;

    }



    @Override

    protected void response(IMan man) {

        System.out.println("----------孩子向父母提出请示----------");

        System.out.println(man.getRequest());

        System.out.println("父母的回答是：同意");

    }

}

public class Wife extends Handler{

    @Override

    protected int getHandleLevel() {

        return Handler.WIFE_LEVEL_REQUEST;

    }



    @Override

    protected void response(IMan man) {

        System.out.println("----------丈夫向妻子提出请示----------");

        System.out.println(man.getRequest());

        System.out.println("妻子的回答是：同意");

    }

}

public class Children extends Handler{

    @Override

    protected int getHandleLevel() {

        return Handler.CHILDREN_LEVEL_REQUEST;

    }



    @Override

    protected void response(IMan man) {

        System.out.println("----------父亲向孩子提出请示----------");

        System.out.println(man.getRequest());

        System.out.println("孩子的回答是：同意");

    }

}

那么再看一下场景复现：
在Client中设置请求的传递顺序，先向父母请示，不是父母应该解决的问题，则由父母传递到妻子类解决，若不是妻子类解决的问题则传递到孩子类解决，最终的结果必然有一个返回，其运行结果如下所示。

----------孩子向父母提出请示----------

15块零花钱

父母的回答是：同意

----------丈夫向妻子提出请示----------

15块零花钱

妻子的回答是：同意

----------父亲向孩子提出请示----------

15块零花钱

孩子的回答是：同意

----------丈夫向妻子提出请示----------

15块零花钱

妻子的回答是：同意

----------父亲向孩子提出请示----------

15块零花钱

孩子的回答是：同意

结果也正确，业务调用类Client也不用去做判断到底是需要谁去处理，而且Handler抽象类的子类可以继续增加下去，只需要扩展传递链而已，调用类可以不用了解变化过程，甚至是谁在处理这个请求都不用知道。在这种模式就是责任链模式

定义

Avoid coupling the sender of a request to its receiver by giving more than one object a chance to handle the request.Chain the receiving objects and pass the request along the chain until an object handles it.
（使多个对象都有机会处理请求，从而避免了请求的发送者和接受者之间的耦合关系。将这些对象连成一条链，并沿着这条链传递该请求，直到有对象处理它为止。） 责任链模式的重点是在“链”上，由一条链去处理相似的请求在链中决定谁来处理这个请 求，并返回相应的结果，其通用类图如图所示

最后总结一下，责任链的模版：
包含四个对象，Handler，Request，Level，Response：

public class Request {

    //请求的等级

    public Level getRequestLevel(){

        return null;

    }

}

public class Level {

    //请求级别

}

public class Response {

   //处理者返回的数据

}

//抽象处理者

public abstract class Handler {

    private Handler mNextHandler;



    //每个处理者都必须对请求做出处理

    public final Response handleMessage(Request request) {

        Response response = null;

        if (getHandlerLevel().equals(request.getRequestLevel())) {

            //是自己处理的级别，自己处理

            response = echo(request);

        } else {

            //不是自己处理的级别，交给下一个处理者

            if (mNextHandler != null) {

                response = mNextHandler.echo(request);

            } else {

                //没有处理者能处理，业务自行处理

            }

        }

        return response;

    }



    public void setNext(Handler next) {

        this.mNextHandler = next;

    }



    @NotNull

    protected abstract Level getHandlerLevel();



    protected abstract Response echo(Request request);

}

实际应用

我们回到开篇的问题：如何设计弹框的责任链？

//抽象处理者

abstract class AbsDialog(private val context: Context) {

    private var nextDialog: AbsDialog? = null

    

    //优先级

    abstract fun getPriority(): Int



    //是否需要展示

    abstract fun needShownDialog(): Boolean



    fun setNextDialog(dialog: AbsDialog?) {

        nextDialog = dialog

    }



    open fun showDialog() {

        //这里的逻辑，我们就简单点，具体逻辑根据业务而定

        if (needShownDialog()) {

            show()

        } else {

            nextDialog?.showDialog()

        }

    }



    protected abstract fun show()

    

    // Sp存储， 记录是否已经展示过

    open fun needShow(key: String): Boolean {

        val sp: SharedPreferences = context.getSharedPreferences(SP_NAME, Context.MODE_PRIVATE)

        return sp.getBoolean(key, true)

    }



    open fun setShown(key: String, show: Boolean) {

        val sp: SharedPreferences = context.getSharedPreferences(SP_NAME, Context.MODE_PRIVATE)

        sp.edit().putBoolean(key, !show).apply()

    }



    companion object {

        const val LOG_TAG = "Dialog"

        const val SP_NAME = "dialog"

        const val POLICY_DIALOG_KEY = "policy_dialog"

        const val AD_DIALOG_KEY = "ad_dialog"

        const val PRAISE_DIALOG_KEY = "praise_dialog"

    }

}

/**

 * 模拟 隐私政策弹窗

 * */

class PolicyDialog(context: Context) : AbsDialog(context) {

    override fun getPriority(): Int = 0



    override fun needShownDialog(): Boolean {

        // 这里可以根据业务逻辑判断是否需要显示弹窗，如接口控制等等

        // 这里通过Sp存储来模拟

        return needShow(POLICY_DIALOG_KEY)

    }



    override fun show() {

        Log.d(LOG_TAG, "显示隐私政策弹窗")

        setShown(POLICY_DIALOG_KEY, true) //记录已经显示过

    }

}

/**

 * 模拟 广告弹窗

 * */

class AdDialog(private val context: Context) : AbsDialog(context) {

    private val ad = DialogData(1, "XX广告弹窗") // 模拟广告数据



    override fun getPriority(): Int = 1



    override fun needShownDialog(): Boolean {

        // 广告数据通过接口获取，广告id应该是唯一的，所以根据id保持sp

        return needShow(AD_DIALOG_KEY + ad.id)

    }



    override fun show() {

        Log.d(LOG_TAG, "显示广告弹窗:${ad.name}")

        setShown(AD_DIALOG_KEY + ad.id, true)

    }

}

/**

 * 模拟 好评弹窗

 * */

class PraiseDialog(context: Context) : AbsDialog(context) {

    override fun getPriority(): Int = 2



    override fun needShownDialog(): Boolean {

        // 这里可以根据业务逻辑判断是否需要显示弹窗，如用户使用7天等

        // 这里通过Sp存储来模拟

        return needShow(PRAISE_DIALOG_KEY)

    }



    override fun show() {

        Log.d(LOG_TAG, "显示好评弹窗")

        setShown(PRAISE_DIALOG_KEY, true)

    }

}

//模拟打开app

val dialogs = mutableListOf<AbsDialog>()

dialogs.add(PolicyDialog(this))

dialogs.add(PraiseDialog(this))

dialogs.add(AdDialog(this))

//根据优先级排序

dialogs.sortBy { it.getPriority() }

//创建链条

for (i in 0 until dialogs.size - 1) {

    dialogs[i].setNextDialog(dialogs[i + 1])

}

dialogs[0].showDialog()

第一次打开

第二次打开

第三次打开

总结：

• 优点

责任链模式非常显著的优点是将请求和处理分开。请求者可以不用知道是谁处理的，处理者可以不用知道请求的全貌，两者解耦，提高系统的灵活性。

• 缺点

责任链有两个非常显著的缺点：一是性能问题，每个请求都是从链头遍历到链尾，特别是在链比较长的时候，性能是一个非常大的问题。二是调试不很方便，特别是链条比较长， 环节比较多的时候，由于采用了类似递归的方式，调试的时候逻辑可能比较复杂。

• 注意事项

链中节点数量需要控制，避免出现超长链的情况，一般的做法是在Handler中设置一个最大节点数量，在setNext方法中判断是否已经是超过其阈值，超过则不允许该链建立，避免无意识地破坏系统性能。