服务端面试题手册

Rspack 的 Source Map 功能对于调试和错误追踪至关重要，它能够将编译后的代码映射回原始源代码。以下是 Rspack Source Map 的详细说明：Source Map 基本概念Source Map 是一个信息文件，存储了源代码和编译后代码之间的映射关系。它允许开发者在浏览器中调试原始源代码，而不是编译后的代码。Source Map 类型Rspack 支持多种 Source Map 类型，每种类型都有不同的性能和精度权衡：1. eval最快的 Source Map 类型，但信息最少：module.exports = { mode: 'development', devtool: 'eval'}特点：构建速度最快每个模块都使用 eval() 执行不包含列信息不适合生产环境2. eval-source-map每个模块都生成独立的 Source Map：module.exports = { mode: 'development', devtool: 'eval-source-map'}特点：构建速度较快包含完整的 Source Map适合开发环境文件体积较大3. cheap-eval-source-map不包含列信息的 Source Map：module.exports = { mode: 'development', devtool: 'cheap-eval-source-map'}特点：构建速度快不包含列信息适合开发环境性能和精度的平衡4. cheap-module-eval-source-map包含 Loader 转换后的 Source Map：module.exports = { mode: 'development', devtool: 'cheap-module-eval-source-map'}特点：包含 Loader 的 Source Map不包含列信息适合开发环境更准确的调试信息5. source-map生成完整的 Source Map 文件：module.exports = { mode: 'production', devtool: 'source-map'}特点：生成独立的 .map 文件包含完整的调试信息构建速度较慢适合生产环境6. hidden-source-map生成 Source Map 但不引用：module.exports = { mode: 'production', devtool: 'hidden-source-map'}特点：生成独立的 Source Map不在 bundle 中引用用于错误追踪服务不影响用户体验7. nosources-source-map只显示错误行号，不显示源代码：module.exports = { mode: 'production', devtool: 'nosources-source-map'}特点：保护源代码只显示错误位置适合生产环境安全性高环境配置开发环境module.exports = { mode: 'development', devtool: 'eval-cheap-module-source-map', devServer: { client: { overlay: { errors: true, warnings: false } } }}推荐配置：eval-cheap-module-source-map：平衡性能和精度eval-source-map：需要完整调试信息时cheap-module-eval-source-map：大型项目生产环境module.exports = { mode: 'production', devtool: 'source-map', optimization: { minimize: true }}推荐配置：source-map：完整的调试信息hidden-source-map：错误追踪服务nosources-source-map：保护源代码Source Map 优化1. 排除第三方库module.exports = { devtool: 'source-map', module: { rules: [ { test: /\.js$/, exclude: /node_modules/, use: { loader: 'babel-loader', options: { sourceMaps: true } } } ] }}2. 使用 Source Map DevToolconst { SourceMapDevToolPlugin } = require('@rspack/core');module.exports = { plugins: [ new SourceMapDevToolPlugin({ filename: '[file].map', exclude: [/node_modules/], append: '\n//# sourceMappingURL=[url]' }) ]}3. 配置 Source Map 选项module.exports = { devtool: 'source-map', output: { devtoolModuleFilenameTemplate: 'webpack://[resource-path]?[loaders]', devtoolFallbackModuleFilenameTemplate: 'webpack:///[resource-path]?[hash]' }}Source Map 与错误追踪1. 错误追踪服务module.exports = { mode: 'production', devtool: 'hidden-source-map', plugins: [ new SentryWebpackPlugin({ authToken: process.env.SENTRY_AUTH_TOKEN, org: 'your-org', project: 'your-project', include: './dist' }) ]}2. 本地错误分析const sourceMap = require('source-map');async function analyzeError(stackTrace) { const consumer = await new sourceMap.SourceMapConsumer(sourceMapData); const originalPosition = consumer.originalPositionFor({ line: lineNumber, column: columnNumber }); return originalPosition;}性能考虑1. 构建时间不同 Source Map 类型的构建时间对比：eval：最快eval-source-map：较快cheap-eval-source-map：快source-map：较慢2. 文件体积Source Map 会增加文件体积：开发环境：可接受生产环境：考虑使用 CDN 或分离存储3. 内存占用Source Map 会占用额外内存：大型项目：考虑使用 cheap 选项监控内存使用情况最佳实践开发环境：使用 eval-cheap-module-source-map启用错误覆盖快速反馈生产环境：使用 source-map 或 hidden-source-map配置错误追踪服务保护源代码性能优化：排除第三方库的 Source Map使用 cheap 选项提升性能合理选择 Source Map 类型安全考虑：生产环境使用 nosources-source-map避免暴露源代码配置访问控制调试体验：配置浏览器 Source Map使用调试工具提供清晰的错误信息Rspack 的 Source Map 功能为开发者提供了强大的调试能力，通过合理配置和使用，可以在保证性能的同时提供良好的调试体验。

Expo应用的安全性和数据保护是开发过程中不可忽视的重要方面。随着移动应用安全威胁的增加，开发者需要采取多层次的安全措施来保护用户数据和隐私。数据安全策略：敏感数据存储使用expo-secure-store存储敏感信息：import * as SecureStore from 'expo-secure-store';// 保存敏感数据async function saveToken(token: string) { try { await SecureStore.setItemAsync('userToken', token, { keychainAccessible: SecureStore.WHEN_UNLOCKED, }); } catch (error) { console.error('Failed to save token:', error); }}// 读取敏感数据async function getToken(): Promise<string | null> { try { return await SecureStore.getItemAsync('userToken'); } catch (error) { console.error('Failed to get token:', error); return null; }}// 删除敏感数据async function deleteToken() { try { await SecureStore.deleteItemAsync('userToken'); } catch (error) { console.error('Failed to delete token:', error); }}加密通信使用HTTPS和证书固定：import * as SecureStore from 'expo-secure-store';// 配置证书固定const fetchWithCertificatePinning = async (url: string) => { try { const response = await fetch(url, { headers: { 'Content-Type': 'application/json', }, }); return response.json(); } catch (error) { console.error('Network error:', error); throw error; }};API密钥管理避免在客户端硬编码API密钥：// 使用环境变量const API_KEY = process.env.EXPO_PUBLIC_API_KEY;// 或者使用后端代理const fetchSecureData = async () => { const response = await fetch('https://api.example.com/data', { headers: { 'Authorization': `Bearer ${await getToken()}`, }, }); return response.json();};身份验证和授权：JWT令牌管理import * as SecureStore from 'expo-secure-store';// 保存JWT令牌async function saveAuthToken(token: string) { await SecureStore.setItemAsync('authToken', token);}// 获取JWT令牌async function getAuthToken(): Promise<string | null> { return await SecureStore.getItemAsync('authToken');}// 刷新令牌async function refreshToken(): Promise<string> { const refreshToken = await SecureStore.getItemAsync('refreshToken'); const response = await fetch('https://api.example.com/refresh', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ refreshToken }), }); const { token } = await response.json(); await saveAuthToken(token); return token;}OAuth集成import * as WebBrowser from 'expo-web-browser';import * as AuthSession from 'expo-auth-session';// OAuth认证流程const discovery = { authorizationEndpoint: 'https://auth.example.com/authorize', tokenEndpoint: 'https://auth.example.com/token',};async function authenticate() { const request = new AuthSession.AuthRequest({ clientId: 'your-client-id', scopes: ['openid', 'profile'], redirectUri: AuthSession.makeRedirectUri({ scheme: 'myapp', }), }); const result = await request.promptAsync(discovery); if (result.type === 'success') { const { accessToken } = result.params; await saveAuthToken(accessToken); return accessToken; }}网络安全：HTTPS强制// 确保所有网络请求使用HTTPSconst secureFetch = async (url: string, options?: RequestInit) => { if (!url.startsWith('https://')) { throw new Error('Only HTTPS requests are allowed'); } return fetch(url, options);};请求验证// 验证响应数据interface ApiResponse<T> { data: T; success: boolean; message?: string;}async function fetchValidatedData<T>(url: string): Promise<T> { const response = await fetch(url); const data: ApiResponse<T> = await response.json(); if (!data.success) { throw new Error(data.message || 'Request failed'); } return data.data;}防止CSRF攻击// 使用CSRF令牌async function fetchWithCSRF(url: string, options?: RequestInit) { const csrfToken = await SecureStore.getItemAsync('csrfToken'); return fetch(url, { ...options, headers: { ...options?.headers, 'X-CSRF-Token': csrfToken || '', }, });}输入验证：表单验证// 验证邮箱格式const validateEmail = (email: string): boolean => { const emailRegex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/; return emailRegex.test(email);};// 验证密码强度const validatePassword = (password: string): boolean => { // 至少8个字符，包含大小写字母和数字 const passwordRegex = /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)[a-zA-Z\d]{8,}$/; return passwordRegex.test(password);};// 验证手机号const validatePhone = (phone: string): boolean => { const phoneRegex = /^1[3-9]\d{9}$/; return phoneRegex.test(phone);};XSS防护// 转义HTML特殊字符const escapeHtml = (unsafe: string): string => { return unsafe .replace(/&/g, "&") .replace(/</g, "<") .replace(/>/g, ">") .replace(/"/g, """) .replace(/'/g, "'");};// 安全地渲染用户输入function SafeText({ text }: { text: string }) { const safeText = escapeHtml(text); return <Text>{safeText}</Text>;}应用安全配置：app.json安全配置{ "expo": { "ios": { "bundleIdentifier": "com.yourcompany.yourapp", "infoPlist": { "NSAppTransportSecurity": { "NSAllowsArbitraryLoads": false } } }, "android": { "package": "com.yourcompany.yourapp", "permissions": [] }, "extra": { "eas": { "projectId": "your-project-id" } } }}环境变量管理# .env文件EXPO_PUBLIC_API_URL=https://api.example.comEXPO_PUBLIC_API_KEY=your-api-key// 使用环境变量const API_URL = process.env.EXPO_PUBLIC_API_URL;const API_KEY = process.env.EXPO_PUBLIC_API_KEY;日志和监控：错误追踪import * as Sentry from '@sentry/react-native';// 配置SentrySentry.init({ dsn: 'your-sentry-dsn', environment: __DEV__ ? 'development' : 'production',});// 捕获错误try { // 可能出错的代码} catch (error) { Sentry.captureException(error);}安全日志// 记录安全事件const logSecurityEvent = async (event: string, details: any) => { if (!__DEV__) { await fetch('https://logs.example.com/security', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ event, details, timestamp: Date.now() }), }); }};最佳实践：最小权限原则：只请求必要的权限数据最小化：只收集和存储必要的数据加密传输：所有网络通信使用HTTPS安全存储：敏感数据使用加密存储定期审计：定期进行安全审计和渗透测试用户教育：教育用户注意安全风险常见安全威胁：中间人攻击：使用HTTPS和证书固定数据泄露：加密敏感数据逆向工程：使用代码混淆重放攻击：使用时间戳和nonceSQL注入：使用参数化查询通过实施这些安全措施，可以显著提高Expo应用的安全性，保护用户数据和隐私。

Serverless 冷启动是指函数在首次调用或长时间未调用后，需要初始化运行时环境、加载依赖包和代码的过程，这会导致额外的延迟。冷启动时间通常在几百毫秒到几秒之间。冷启动的影响因素：运行时语言：Node.js、Python 较快，Java、.NET 较慢代码包大小：依赖包越多，加载时间越长内存配置：更大的内存分配可以加快启动速度VPC 配置：配置 VPC 会增加网络初始化时间预热策略：定期触发函数保持实例活跃优化策略：代码优化：精简依赖包，使用轻量级框架预热机制：使用定时触发器保持函数热状态并发配置：设置合适的预留并发实例运行时选择：选择启动速度快的语言架构设计：将关键路径放在常驻服务中面试者应能结合实际项目，说明如何评估冷启动对业务的影响，以及采取了哪些优化措施。

Serverless 架构下的 API 设计需要考虑无状态特性、冷启动延迟和自动扩展能力：API 设计原则：1. RESTful 设计资源导向：使用名词表示资源，动词表示操作统一接口：使用标准的 HTTP 方法（GET、POST、PUT、DELETE）版本控制：通过 URL 路径或请求头进行版本控制2. 无状态设计会话管理：使用 JWT Token 或外部存储管理会话请求独立性：每个请求包含所有必要信息幂等性：确保重复请求不会产生副作用3. 性能优化响应缓存：使用 CloudFront、CDN 缓存响应批量操作：支持批量请求减少调用次数异步处理：将长时间任务改为异步处理API Gateway 配置：1. 路由配置路径映射：配置路径到函数的映射关系参数验证：使用请求验证器验证请求参数限流配置：设置 API 级别的限流策略2. 认证授权API Key：使用 API Key 进行简单认证Cognito：集成 Cognito 进行用户认证Lambda Authorizer：使用 Lambda 函数进行自定义授权3. 响应处理CORS 配置：配置跨域资源共享错误处理：统一错误响应格式响应转换：使用映射模板转换响应格式最佳实践：接口文档：使用 Swagger/OpenAPI 生成接口文档监控告警：监控 API 调用次数、错误率、响应时间安全防护：配置 WAF 防护常见攻击测试覆盖：编写 API 测试用例，确保接口质量面试者应能分享实际项目中的 API 设计经验和最佳实践。

Serverless 架构下的多环境管理需要考虑开发、测试、预发布、生产等不同环境的配置和部署策略：环境管理策略：1. 环境隔离独立资源：每个环境使用独立的云资源命名规范：使用环境前缀区分不同环境（dev、test、staging、prod）权限控制：不同环境设置不同的访问权限2. 配置管理环境变量：使用环境变量管理不同环境的配置配置文件：使用配置文件存储环境特定配置密钥管理：使用 Secrets Manager 管理敏感信息3. 部署策略蓝绿部署：同时维护两个版本，快速切换金丝雀发布：逐步流量切换，降低风险滚动更新：逐步替换旧版本，保持服务可用配置管理工具：1. Serverless Framework多环境支持：通过 stage 参数区分不同环境配置文件：使用 serverless.yml 定义不同环境配置变量替换：支持变量替换和引用2. AWS SAM参数化模板：使用 Parameters 定义环境特定参数环境变量：通过 EnvironmentVariables 配置环境变量条件部署：使用 Conditions 实现条件部署3. Terraform工作空间：使用 Workspaces 管理不同环境模块化：使用模块复用配置状态管理：管理不同环境的状态文件最佳实践：配置分离：将配置与代码分离，便于管理版本控制：将配置文件纳入版本控制自动化部署：使用 CI/CD 自动化部署流程环境一致性：确保不同环境的配置一致性面试者应能分享多环境管理的经验和最佳实践。

Serverless 架构下的定时任务和事件驱动是其重要特性，可以实现自动化和响应式应用：定时任务实现：1. EventBridge (CloudWatch Events)Cron 表达式：使用 Cron 表达式定义触发规则定时触发：按固定时间间隔触发 Lambda 函数适用场景：数据备份、报表生成、清理任务2. 定时触发器配置Rate 表达式：使用 rate(1 minute)、rate(1 hour) 等表达式Cron 表达式：使用 cron(0 10 * * ? *) 等表达式时区设置：支持设置特定时区3. 最佳实践幂等性：确保任务可以安全重试超时设置：设置合理的超时时间错误处理：实现完善的错误处理和重试机制事件驱动架构：1. 事件源S3 事件：文件上传、删除等操作触发DynamoDB Streams：数据库变更触发SNS/SQS：消息发布和队列触发API Gateway：HTTP 请求触发2. 事件处理模式直接触发：事件源直接触发 Lambda 函数异步处理：通过消息队列异步处理事件事件路由：使用 EventBridge 路由事件到多个消费者3. 事件溯源事件存储：将事件存储在事件日志中状态重建：通过重放事件重建应用状态审计追踪：完整记录所有状态变更常见应用场景：1. 数据处理ETL 流程：定时执行数据抽取、转换、加载数据清洗：定时清理和转换数据数据分析：定时生成分析报告2. 运维自动化资源清理：定时清理过期资源健康检查：定时检查系统健康状态告警通知：定时发送告警通知3. 业务自动化订单处理：定时处理待处理订单会员管理：定时更新会员状态营销活动：定时启动和结束营销活动面试者应能分享实际项目中的定时任务和事件驱动实现经验。

Serverless 架构下的容器化方案结合了 Serverless 的按需付费和容器的灵活性，为开发者提供了更多选择：主要方案：1. AWS Fargate特点：无需管理服务器，按容器运行时间和 vCPU/内存付费适用场景：长时间运行的任务、需要持久连接的应用优势：与 AWS 生态深度集成，支持 ECS 和 EKS2. Azure Container Instances特点：按秒计费的容器实例，支持快速部署适用场景：批处理任务、CI/CD 流水线优势：简单易用，无需管理集群3. Google Cloud Run特点：基于 Knative 的无服务器容器平台适用场景：HTTP 服务、微服务优势：自动扩展，支持从零到无限的并发4. AWS Lambda 容器镜像特点：支持使用容器镜像部署 Lambda 函数适用场景：需要自定义运行时、依赖复杂的场景优势：镜像大小可达 10GB，支持更多依赖选择标准：1. 执行时间短时间任务：选择 Lambda、Cloud Functions长时间任务：选择 Fargate、Cloud Run2. 资源需求轻量级：选择传统 Serverless 函数重量级：选择容器化 Serverless3. 启动延迟低延迟要求：选择传统 Serverless 函数可接受延迟：选择容器化 Serverless最佳实践：镜像优化：使用多阶段构建减小镜像大小健康检查：实现健康检查端点资源限制：合理设置 CPU 和内存限制日志监控：集成日志和监控服务面试者应能根据业务需求选择合适的容器化 Serverless 方案。

Serverless 架构下的微服务设计需要充分利用其无状态、自动扩展的特性，同时注意服务间的通信和协调：设计原则：1. 单一职责函数粒度：每个函数只做一件事，保持简单业务边界：按照业务领域划分函数边界可复用性：设计可复用的通用函数2. 无状态设计状态外置：将状态存储在外部服务中幂等性：确保函数可以安全重试无副作用：避免函数产生不可预测的副作用3. 事件驱动异步通信：使用消息队列实现服务间异步通信事件溯源：通过事件流记录状态变化发布订阅：使用事件总线实现松耦合服务通信模式：1. 同步通信API Gateway：通过 HTTP/HTTPS 调用其他服务适用场景：需要立即返回结果的场景缺点：存在冷启动延迟，不适合高并发2. 异步通信消息队列：使用 SQS、Kafka 等消息队列适用场景：长时间运行的任务、高并发场景优点：解耦服务，提高系统弹性3. 编排模式Step Functions：使用状态机编排多个函数适用场景：复杂的工作流程优点：可视化管理，错误处理完善最佳实践：服务拆分：合理拆分服务，避免过度拆分API 设计：设计 RESTful API，保持接口简洁错误处理：实现完善的错误处理和重试机制监控追踪：使用分布式追踪监控服务调用链面试者应能分享实际项目中的微服务架构设计经验。

Serverless 架构下的性能测试需要考虑其独特的特性，如冷启动、自动扩展和按需付费等特点：性能测试重点：1. 冷启动测试首次调用延迟：测量函数首次调用的响应时间预热策略验证：验证预热机制的有效性不同运行时对比：对比不同语言的冷启动时间2. 并发性能测试并发扩展能力：测试函数在高并发下的扩展能力资源限制：验证账户级别和函数级别的并发限制性能瓶颈：识别性能瓶颈和资源瓶颈3. 持续负载测试长时间运行：测试函数在持续负载下的稳定性内存泄漏：检测是否存在内存泄漏问题资源回收：验证函数实例的回收机制测试工具：Artillery：支持 HTTP 负载测试k6：现代化的性能测试工具JMeter：传统的性能测试工具Locust：Python 编写的分布式负载测试工具测试策略：基准测试：建立性能基准，用于对比优化效果压力测试：测试系统在极端负载下的表现容量规划：根据测试结果进行容量规划持续监控：在生产环境中持续监控性能指标关键指标：响应时间（P50、P95、P99）吞吐量（请求/秒）错误率冷启动时间资源使用率面试者应能分享实际项目中的性能测试经验和优化成果。

Serverless 架构下的数据库访问需要特别注意性能和成本优化：数据库选择：Serverless 数据库：如 Aurora Serverless、DynamoDB、Cosmos DB传统数据库：RDS、PostgreSQL、MySQL（需要连接池管理）NoSQL 数据库：适合高并发、灵活数据模型场景连接管理挑战：连接池限制：传统数据库连接数有限，函数并发高时可能耗尽冷启动影响：每次冷启动都需要建立新连接，增加延迟连接泄漏：函数异常退出可能导致连接未释放优化策略：1. 使用 Serverless 数据库自动扩展：根据负载自动调整资源按需付费：只为实际使用的资源付费无连接限制：无需担心连接池问题2. 连接池管理外部连接池：使用 RDS Proxy、Neon 等连接池服务连接复用：在函数实例生命周期内复用连接合理配置：根据并发需求配置连接池大小3. 访问模式优化批量操作：减少数据库往返次数缓存策略：使用 Redis 缓存热点数据读写分离：使用读写副本分散负载4. 性能优化索引优化：合理创建索引提高查询效率查询优化：避免全表扫描，优化复杂查询异步处理：将数据库操作放入消息队列异步处理面试者应能根据业务场景，选择合适的数据库和访问策略。