欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 教育 > 锐评 > CleanCode、安全编码规范

CleanCode、安全编码规范

2025/2/24 22:21:54 来源:https://blog.csdn.net/qq_28909387/article/details/140313611  浏览:    关键词:CleanCode、安全编码规范

Clean Code 规范

Clean Code 是由 Robert C. Martin 提出的编写高质量代码的原则。主要包括以下几点

有意义的命名

  • 命名要准确和清晰,让人一看就知道变量、函数或类的用途。
  • 避免使用缩写和难以理解的名称
// 不好的命名
val d: Int = 5// 好的命名
val daysUntilDeadline: Int = 5

 

函数要短小精悍

  • 一个函数只做一件事
  • 函数尽量短小,易于理解和测试。
// 不好的例子
fun processUserData(user: User) {validateUser(user)saveUserToDatabase(user)sendWelcomeEmail(user)
}// 好的例子
fun validateUser(user: User) { /* ... */ }
fun saveUserToDatabase(user: User) { /* ... */ }
fun sendWelcomeEmail(user: User) { /* ... */ }

减少嵌套层次

  • 使用早期返回来减少不必要的嵌套

 

// 不好的例子
fun isValidUser(user: User): Boolean {if (user != null) {if (user.isActive) {if (user.hasPermission) {return true}}}return false
}// 好的例子
fun isValidUser(user: User?): Boolean {if (user == null) return falseif (!user.isActive) return falseif (!user.hasPermission) return falsereturn true
}

 注释要有意义

  • 仅在必要时添加注释,代码本身应该是最好的文档。
  • 避免无意义的注释。
// 不好的例子
// 这个函数返回用户的年龄
fun getUserAge(user: User): Int {return user.age
}// 好的例子
// Only add comments if the code isn't clear enough by itself

 

安全编码规范

安全编码规范旨在防止常见的安全漏洞,提高代码的安全性。以下是一些关键原则:

  1. 输入验证

    • 确保所有外部输入都经过验证和清理,防止注入攻击。
fun validateInput(input: String): Boolean {val pattern = Regex("^[a-zA-Z0-9_]+$")return input.matches(pattern)
}

避免硬编码敏感信息

  • 不要在代码中硬编码密码、密钥等敏感信息。使用安全的存储机制,如 Android 的 Keystore
// 不好的例子
val apiKey = "12345"// 好的例子
val apiKey = getApiKeyFromSecureStorage()

使用安全的库和算法

  • 使用经过验证的安全库和加密算法,避免自己实现加密算法。
// 不好的例子
fun encrypt(data: String): String {// custom encryption logic
}// 好的例子
fun encrypt(data: String): ByteArray {val cipher = Cipher.getInstance("AES/GCM/NoPadding")cipher.init(Cipher.ENCRYPT_MODE, getSecretKey())return cipher.doFinal(data.toByteArray())
}

避免泄露敏感信息

  • 在日志中避免打印敏感信息,如用户数据、密码等。

 

// 不好的例子
Log.d("UserData", "Password: $password")// 好的例子
Log.d("UserData", "Password entered")

最小权限原则

  • 仅授予程序执行其任务所需的最小权限,避免使用不必要的权限。
<!-- 不好的例子 -->
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.INTERNET"/><!-- 好的例子 -->
<uses-permission android:name="android.permission.INTERNET"/>

错误处理

  • 处理所有异常,避免程序崩溃,并给用户友好的提示。
  • 不要暴露内部实现细节。
// 不好的例子
fun readFile(filename: String): String {return File(filename).readText()
}// 好的例子
fun readFile(filename: String): String {return try {File(filename).readText()} catch (e: IOException) {Log.e("FileRead", "Error reading file", e)"Error reading file"}
}

真实的例子和方案代码

结合 Clean Code 和安全编码规范,以下是一个例子:

示例:用户登录

 

import android.content.Context
import android.util.Log
import javax.crypto.Cipher
import javax.crypto.KeyGenerator
import javax.crypto.SecretKey
import javax.crypto.spec.GCMParameterSpec
import android.security.keystore.KeyGenParameterSpec
import android.security.keystore.KeyProperties
import java.security.KeyStoreclass LoginManager(context: Context) {private val keyAlias = "LoginKeyAlias"private val keyStore = KeyStore.getInstance("AndroidKeyStore").apply { load(null) }private val cipher = Cipher.getInstance("AES/GCM/NoPadding")private val preferences = context.getSharedPreferences("login_prefs", Context.MODE_PRIVATE)init {if (!keyStore.containsAlias(keyAlias)) {val keyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, "AndroidKeyStore")keyGenerator.init(KeyGenParameterSpec.Builder(keyAlias, KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT).setBlockModes(KeyProperties.BLOCK_MODE_GCM).setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE).build())keyGenerator.generateKey()}}private fun getSecretKey(): SecretKey {return (keyStore.getEntry(keyAlias, null) as KeyStore.SecretKeyEntry).secretKey}fun encrypt(data: String): ByteArray {cipher.init(Cipher.ENCRYPT_MODE, getSecretKey())val iv = cipher.ivval encryptedData = cipher.doFinal(data.toByteArray())preferences.edit().putString("iv", iv.joinToString(",")).apply()return encryptedData}fun decrypt(encryptedData: ByteArray): String {val iv = preferences.getString("iv", "")!!.split(",").map { it.toByte() }.toByteArray()cipher.init(Cipher.DECRYPT_MODE, getSecretKey(), GCMParameterSpec(128, iv))return String(cipher.doFinal(encryptedData))}fun login(username: String, password: String): Boolean {if (!validateInput(username) || !validateInput(password)) {Log.e("LoginManager", "Invalid input")return false}val encryptedPassword = encrypt(password)// 发送用户名和加密后的密码到服务器进行验证return true}private fun validateInput(input: String): Boolean {val pattern = Regex("^[a-zA-Z0-9_]+$")return input.matches(pattern)}
}

 

在这个例子中,我们创建了一个 LoginManager 类,遵循了 Clean Code 和安全编码规范,包括:

  1. 使用有意义的命名,如 LoginManagerencryptdecrypt
  2. 函数短小且只做一件事,如 encrypt 和 decrypt
  3. 安全处理用户输入,防止注入攻击。
  4. 使用 Android Keystore 存储和管理加密密钥,确保敏感信息安全。
  5. 使用日志记录错误信息,但避免泄露敏感信息。

 

 

 

 

 

 

 

 

 

 

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

相关资讯

热文排行

最新新闻

推荐新闻

热搜词