面试题手册

在生产环境中保护 WebSocket 连接需要多层次的安全措施。以下是关键的安全实践：1. 使用 WSS（WebSocket Secure）强制使用加密连接：// 始终使用 wss:// 而不是 ws://const ws = new WebSocket('wss://example.com/socket');// 验证证书const ws = new WebSocket('wss://example.com/socket', { rejectUnauthorized: true // 拒绝无效证书});WSS 的优势：数据传输加密（TLS/SSL）防止中间人攻击保护敏感信息不被窃听2. 身份验证和授权连接时验证// 在握手时传递认证令牌const ws = new WebSocket(`wss://example.com/socket?token=${authToken}`);// 或在连接建立后发送认证消息ws.onopen = () => { ws.send(JSON.stringify({ type: 'auth', token: authToken }));};服务器端验证// 验证 JWT 令牌function validateConnection(token) { try { const decoded = jwt.verify(token, SECRET_KEY); return decoded.userId; } catch (error) { return null; }}// 握手时验证wss.on('connection', (ws, req) => { const token = req.url.split('token=')[1]; const userId = validateConnection(token); if (!userId) { ws.close(1008, 'Unauthorized'); return; } // 认证成功，继续处理});3. Origin 头部验证防止跨站 WebSocket 劫持（CSWSH）：wss.on('connection', (ws, req) => { const origin = req.headers.origin; const allowedOrigins = ['https://yourdomain.com', 'https://app.yourdomain.com']; if (!allowedOrigins.includes(origin)) { ws.close(1003, 'Unsupported Data'); return; } // 允许连接});4. 速率限制和节流防止消息洪泛和 DoS 攻击：const rateLimiter = new Map();function checkRateLimit(userId) { const now = Date.now(); const userLimit = rateLimiter.get(userId); if (!userLimit) { rateLimiter.set(userId, { count: 1, resetTime: now + 60000 }); return true; } if (now > userLimit.resetTime) { rateLimiter.set(userId, { count: 1, resetTime: now + 60000 }); return true; } if (userLimit.count >= 100) { // 每分钟最多100条消息 return false; } userLimit.count++; return true;}wss.on('connection', (ws, req) => { ws.on('message', (message) => { if (!checkRateLimit(userId)) { ws.send(JSON.stringify({ type: 'error', message: 'Rate limit exceeded' })); return; } // 处理消息 });});5. 输入验证和消息过滤验证所有传入消息：function validateMessage(message) { const data = JSON.parse(message); // 验证消息结构 if (!data.type || typeof data.type !== 'string') { return false; } // 验证消息类型 const allowedTypes = ['chat', 'ping', 'auth']; if (!allowedTypes.includes(data.type)) { return false; } // 验证数据大小 if (JSON.stringify(data).length > 10240) { // 10KB 限制 return false; } // 验证内容（防止 XSS） if (data.content && /<script|javascript:|onerror=/i.test(data.content)) { return false; } return true;}ws.on('message', (message) => { if (!validateMessage(message)) { ws.close(1007, 'Invalid frame payload data'); return; } // 处理有效消息});6. 连接超时管理设置合理的超时时间：// 服务器端超时设置const server = http.createServer();const wss = new WebSocket.Server({ server, clientTracking: true, perMessageDeflate: false});// 设置 ping/pong 超时wss.on('connection', (ws) => { ws.isAlive = true; ws.on('pong', () => { ws.isAlive = true; });});// 定期检查连接状态const interval = setInterval(() => { wss.clients.forEach((ws) => { if (ws.isAlive === false) { return ws.terminate(); } ws.isAlive = false; ws.ping(); });}, 30000);wss.on('close', () => { clearInterval(interval);});7. 日志和监控记录安全相关事件：const securityLogger = { logConnection: (userId, ip, userAgent) => { console.log(`[SECURITY] Connection from ${ip} - User: ${userId} - UA: ${userAgent}`); }, logUnauthorized: (ip, reason) => { console.warn(`[SECURITY] Unauthorized connection attempt from ${ip} - Reason: ${reason}`); }, logSuspiciousActivity: (userId, activity) => { console.error(`[SECURITY] Suspicious activity from user ${userId}: ${activity}`); }};8. 网络层安全防火墙和负载均衡器配置：限制连接来源 IP设置最大连接数启用 DDoS 防护配置 Web 应用防火墙（WAF）安全检查清单[ ] 使用 WSS 加密连接[ ] 实施身份验证机制[ ] 验证 Origin 头部[ ] 实现速率限制[ ] 验证所有输入消息[ ] 设置连接超时[ ] 记录安全事件日志[ ] 定期更新依赖库[ ] 进行安全审计和渗透测试

Maven 构建优化是提高项目构建速度和效率的重要手段，特别是在大型项目和持续集成环境中。通过合理的配置和优化策略，可以显著减少构建时间。构建优化策略：并行构建（Parallel Build）：Maven 支持多线程并行构建，利用多核 CPU 加速构建过程：mvn clean install -T 4 # 使用 4 个线程mvn clean install -T 1C # 每个核心使用 1 个线程增量构建（Incremental Build）：Maven 默认只重新编译修改过的文件，但可以通过以下方式优化：使用 maven-compiler-plugin 的增量编译功能配置 useIncrementalCompilation 参数跳过不必要的阶段：mvn clean install -DskipTests # 跳过测试mvn clean install -Dmaven.test.skip=true # 跳过测试编译和执行mvn clean install -Dcheckstyle.skip=true # 跳过代码检查优化依赖下载：使用国内镜像加速下载：<mirrors> <mirror> <id>aliyun-maven</id> <mirrorOf>central</mirrorOf> <url>https://maven.aliyun.com/repository/public</url> </mirror></mirrors>配置本地仓库缓存策略使用离线模式：mvn -o clean install优化插件配置：禁用不必要的插件：<plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-surefire-plugin</artifactId> <configuration> <skipTests>true</skipTests> </configuration></plugin>配置插件并行执行使用插件的最小必要配置使用构建缓存：配置 Maven 构建缓存目录使用持续集成工具的缓存功能配置 ~/.m2/repository 的缓存策略优化测试执行：并行执行测试：<plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-surefire-plugin</artifactId> <configuration> <parallel>methods</parallel> <threadCount>4</threadCount> </configuration></plugin>使用测试分组和分类跳过慢速测试多模块项目优化：使用 -pl 参数构建特定模块：mvn clean install -pl module-a -am合理划分模块粒度使用 Reactor 优化构建顺序性能监控和分析：使用构建分析工具：mvn clean install -X # 启用调试模式mvn help:evaluate -Dexpression=project.version # 评估表达式分析依赖树：mvn dependency:treemvn dependency:analyze使用 Maven Profiler：安装 Maven Profiler 插件分析构建瓶颈识别慢速插件和目标最佳实践：在父 POM 中统一管理插件配置定期更新插件版本，获取性能优化使用 Profile 区分不同环境的构建配置在 CI/CD 流程中启用构建缓存监控构建时间，持续优化避免在构建过程中执行不必要的操作使用轻量级的测试框架优化资源文件处理CI/CD 环境优化：使用 Docker 镜像缓存依赖配置 CI 工具的构建缓存使用增量构建策略并行执行独立的构建任务预热构建环境通过以上优化策略，可以将 Maven 构建时间减少 30%-70%，显著提高开发效率和 CI/CD 流程的速度。

Maven 的核心概念包括项目对象模型（POM）、依赖管理、构建生命周期和插件系统。POM 是 Maven 项目的核心配置文件，使用 XML 格式描述项目的基本信息、依赖关系、构建配置等。依赖管理通过中央仓库和本地仓库自动下载和管理项目所需的 jar 包，解决了传统手动管理依赖的痛点。Maven 的构建生命周期分为 clean、default 和 site 三个阶段，每个阶段包含多个阶段（phase），如 compile、test、package 等。插件系统扩展了 Maven 的功能，允许开发者自定义构建行为。Maven 的优势在于：标准化的项目结构、统一的构建过程、自动化的依赖管理、丰富的插件生态和中央仓库支持。它通过约定优于配置的理念，减少了开发者的配置工作，提高了开发效率。Maven 还支持多模块项目构建，通过继承和聚合机制管理复杂的项目结构。在实际应用中，Maven 广泛用于 Java 项目的构建、测试、打包和部署。开发者可以通过配置 pom.xml 文件来定义项目的构建行为，Maven 会根据配置自动执行相应的构建任务。Maven 还与持续集成工具（如 Jenkins、GitLab CI）无缝集成，支持自动化构建和部署流程。

SQLite 是一个轻量级的嵌入式数据库引擎，具有以下主要特点：零配置：不需要安装或配置数据库服务器，直接集成到应用程序中无服务器架构：数据库引擎直接嵌入到应用程序中，无需独立的数据库服务器进程单一文件存储：整个数据库存储在一个单一的磁盘文件中，便于备份和迁移跨平台：支持 Windows、Linux、macOS 等多种操作系统事务支持：支持 ACID（原子性、一致性、隔离性、持久性）事务特性自包含：不需要任何外部依赖，编译后即可运行开源免费：属于公共领域，可自由使用和分发高性能：对于中小型应用，性能优于许多客户端/服务器数据库SQLite 适用于移动应用、桌面应用、嵌入式系统、小型网站等场景，但不适合高并发、多用户同时写入的大型企业级应用。

SQLite 在移动开发中有广泛的应用和特定的最佳实践：SQLite 在移动开发中的优势轻量级：占用资源少，适合移动设备零配置：无需安装和配置数据库服务器本地存储：数据存储在设备本地，离线可用跨平台：iOS、Android、React Native 等都支持移动平台集成 // iOS (Swift) - 使用 SQLite import SQLite3 let dbPath = NSSearchPathForDirectoriesInDomains(.documentDirectory, .userDomainMask, true)[0] + "/database.db" var db: OpaquePointer? if sqlite3_open(dbPath, &db) == SQLITE_OK { // 数据库打开成功 } // Android (Kotlin) - 使用 SQLite class DatabaseHelper(context: Context) : SQLiteOpenHelper(context, "database.db", null, 1) { override fun onCreate(db: SQLiteDatabase) { db.execSQL("CREATE TABLE users (id INTEGER PRIMARY KEY, name TEXT)") } override fun onUpgrade(db: SQLiteDatabase, oldVersion: Int, newVersion: Int) { db.execSQL("DROP TABLE IF EXISTS users") onCreate(db) } }移动应用数据库设计最佳实践简化表结构：避免过度规范化，减少 JOIN 操作使用索引：为常用查询字段创建索引批量操作：使用事务批量插入数据分页加载：使用 LIMIT 和 OFFSET 分页查询性能优化技巧 // Swift - 使用事务批量插入 sqlite3_exec(db, "BEGIN TRANSACTION", nil, nil, nil) for user in users { let sql = "INSERT INTO users (name) VALUES ('\(user.name)')" sqlite3_exec(db, sql, nil, nil, nil) } sqlite3_exec(db, "COMMIT", nil, nil, nil) // Kotlin - 使用预编译语句 val stmt = db.compileStatement("INSERT INTO users (name) VALUES (?)") users.forEach { user -> stmt.clearBindings() stmt.bindString(1, user.name) stmt.executeInsert() }数据同步策略增量同步：只同步变更的数据时间戳标记：使用 updated_at 字段跟踪变更冲突解决：实现冲突检测和解决机制后台同步：在后台线程执行同步操作离线支持本地缓存：将服务器数据缓存到本地 SQLite离线队列：将离线操作存储在队列中，在线时同步数据合并：实现本地和服务器数据的合并逻辑数据安全 // iOS - 使用 SQLCipher 加密 let key = "encryption_key".data(using: .utf8) sqlite3_key(db, key, Int32(key!.count)) // Android - 使用 SQLCipher SQLiteDatabase.loadLibs(context) val db = SQLiteDatabase.openOrCreateDatabase(dbPath, "encryption_key", null)数据库版本管理 // Android - 数据库升级 override fun onUpgrade(db: SQLiteDatabase, oldVersion: Int, newVersion: Int) { if (oldVersion < 2) { db.execSQL("ALTER TABLE users ADD COLUMN email TEXT") } if (oldVersion < 3) { db.execSQL("CREATE INDEX idx_email ON users(email)") } }常见问题解决数据库锁定：使用 WAL 模式提高并发性能问题：使用 EXPLAIN QUERY PLAN 分析查询内存泄漏：及时关闭数据库连接和游标数据丢失：定期备份数据库ORM 框架选择iOS：Core Data、Realm、GRDBAndroid：Room、Realm、GreenDAOReact Native：react-native-sqlite-storage、WatermelonDBSQLite 是移动应用本地数据存储的首选方案，掌握其最佳实践对移动开发者至关重要。

Maven 资源过滤（Resource Filtering）是 Maven 提供的一种机制，允许在构建过程中动态替换资源文件中的变量。这个功能对于管理不同环境的配置非常有用。资源过滤的基本原理：Maven 在构建过程中会扫描资源文件（如 properties、xml、yml 文件），将其中包含的 ${variable} 形式的变量替换为 POM 文件中定义的属性值。配置资源过滤：在 POM 中启用资源过滤：<build> <resources> <resource> <directory>src/main/resources</directory> <filtering>true</filtering> <includes> <include>**/*.properties</include> <include>**/*.xml</include> </includes> </resource> </resources></build>定义属性变量：<properties> <database.url>jdbc:mysql://localhost:3306/mydb</database.url> <database.username>root</database.username> <database.password>password</database.password> <app.version>1.0.0</app.version></properties>在资源文件中使用变量：# application.propertiesdatabase.url=${database.url}database.username=${database.username}database.password=${database.password}app.version=${app.version}结合 Profile 使用资源过滤：<profiles> <profile> <id>dev</id> <properties> <env>dev</env> <database.url>jdbc:mysql://dev-db:3306/mydb</database.url> </properties> </profile> <profile> <id>prod</id> <properties> <env>prod</env> <database.url>jdbc:mysql://prod-db:3306/mydb</database.url> </properties> </profile></profiles>资源过滤的高级用法：多资源目录配置：<build> <resources> <resource> <directory>src/main/resources</directory> <filtering>true</filtering> </resource> <resource> <directory>src/main/static</directory> <filtering>false</filtering> </resource> </resources></build>使用外部属性文件：<build> <filters> <filter>src/main/filters/${env}.properties</filter> </filters> <resources> <resource> <directory>src/main/resources</directory> <filtering>true</filtering> </resource> </resources></build>测试资源过滤：<build> <testResources> <testResource> <directory>src/test/resources</directory> <filtering>true</filtering> </testResource> </testResources></build>注意事项：资源过滤会增加构建时间，只对需要的文件启用过滤避免在二进制文件（如图片、jar 包）上启用过滤使用 Profile 区分不同环境的配置敏感信息（如密码）应该使用环境变量或加密存储在 CI/CD 流程中使用 -D 参数传递动态属性最佳实践：使用 @variable@ 或 ${variable} 格式，避免与 Spring 等框架的占位符冲突在父 POM 中统一管理资源过滤配置使用 Maven 的默认分隔符 ${}，也可以自定义分隔符定期检查过滤后的文件，确保变量替换正确资源过滤是 Maven 管理多环境配置的重要手段，能够显著简化配置管理工作。

Maven 的构建生命周期（Build Lifecycle）是一系列有序的阶段（Phase），每个阶段代表构建过程中的一个步骤。Maven 定义了三套相互独立的生命周期：clean、default 和 site。1. Clean 生命周期：用于清理项目，包含三个阶段：pre-clean：执行清理前的工作clean：删除上一次构建生成的文件（target 目录）post-clean：执行清理后的工作2. Default 生命周期：这是最常用的生命周期，包含约 20 个阶段，主要阶段包括：validate：验证项目是否正确，所有必要信息是否可用compile：编译项目的源代码test：使用合适的单元测试框架测试编译后的源代码package：将编译后的代码打包成可分发的格式（JAR、WAR 等）integration-test：在集成环境中处理和发布包verify：运行检查验证包是否有效且符合质量标准install：将包安装到本地仓库，供本地其他项目使用deploy：将最终的包复制到远程仓库，供其他开发者和项目共享3. Site 生命周期：用于生成项目站点文档，包含：pre-site：执行生成站点前的工作site：生成项目站点文档post-site：执行生成站点后的工作site-deploy：将生成的站点部署到服务器生命周期执行规则：执行某个阶段时，其之前的所有阶段都会自动执行不同生命周期之间相互独立，执行一个生命周期不会影响其他生命周期可以通过 mvn phase 命令执行特定阶段，如 mvn clean install实际应用：开发阶段：mvn compile 编译代码测试阶段：mvn test 运行测试打包阶段：mvn package 打包应用本地安装：mvn install 安装到本地仓库完整构建：mvn clean package 清理并打包部署：mvn deploy 部署到远程仓库理解 Maven 生命周期对于自动化构建、持续集成和项目部署至关重要。

SQLite 提供多种备份和恢复方法：文件复制备份最简单的备份方式：直接复制数据库文件需要确保没有写入操作正在进行适合小型数据库或离线备份 cp database.db database_backup.db在线备份 API使用 SQLite 的备份 API 进行在线备份不需要停止数据库服务支持增量备份 -- 命令行工具 sqlite3 source.db ".backup backup.db"VACUUM INTO 备份使用 VACUUM INTO 命令创建数据库副本同时进行数据库优化和碎片整理 VACUUM INTO 'backup.db';导出 SQL 脚本使用 .dump 命令导出为 SQL 脚本可以选择性导出特定表或数据 sqlite3 database.db ".dump" > backup.sql恢复方法从文件备份恢复：直接复制备份文件从 SQL 脚本恢复：执行导出的 SQL 脚本 sqlite3 database.db < backup.sql增量备份使用 WAL 模式时，可以备份 WAL 文件定期执行检查点后进行完整备份结合 WAL 文件实现时间点恢复备份最佳实践定期执行自动备份保留多个历史备份版本验证备份文件的完整性测试恢复流程确保可用性考虑加密敏感数据跨平台备份SQLite 数据库文件是跨平台的可以在不同操作系统之间复制数据库文件注意文件路径和权限问题选择合适的备份策略取决于应用的重要性、数据变更频率和恢复时间要求。

SQLite 支持多种数据类型，采用动态类型系统：存储类（Storage Classes）NULL：空值INTEGER：有符号整数，根据值大小自动选择 1、2、3、4、6 或 8 字节存储REAL：浮点数，8 字节 IEEE 浮点数TEXT：字符串，使用数据库编码（UTF-8、UTF-16BE 或 UTF-16LE）存储BLOB：二进制大对象，完全按照输入存储类型亲和性（Type Affinity）SQLite 使用类型亲和性来处理数据类型，而不是严格的类型检查：TEXT：用于存储字符串，使用 TEXT 存储类NUMERIC：可能包含整数或浮点数的值，转换为 INTEGER 或 REALINTEGER：与 NUMERIC 类似，但优先转换为 INTEGERREAL：与 NUMERIC 类似，但优先转换为 REALNONE：不进行类型转换动态类型特点可以在同一列中存储不同类型的数据插入数据时，SQLite 会根据值的类型和列的类型亲和性选择合适的存储类查询时可以动态转换数据类型类型转换规则当向具有 INTEGER 亲和性的列插入文本时，SQLite 会尝试将其转换为整数当向具有 REAL 亲和性的列插入整数时，会转换为浮点数如果转换失败，则存储原始值这种灵活的类型系统使得 SQLite 能够适应各种应用场景，但也要求开发者更加注意数据类型的一致性。

Maven 的依赖传递性是指当一个项目依赖另一个项目时，会自动传递获取该项目的依赖。这种机制可以简化依赖管理，但也可能导致依赖冲突和版本不一致的问题。依赖传递规则：最短路径优先：如果存在多个版本的依赖，Maven 会选择依赖路径最短的版本。例如：A→B→C(v1.0) 和 A→D→C(v2.0)，如果 A→B 的路径更短，则选择 v1.0。声明顺序优先：当依赖路径长度相同时，Maven 会选择在 pom.xml 中先声明的版本。依赖范围影响传递：只有 compile 范围的依赖会传递，test 和 provided 范围的依赖不会传递。依赖冲突解决方案：使用 <exclusions> 标签排除不需要的传递依赖：<dependency> <groupId>com.example</groupId> <artifactId>example-lib</artifactId> <version>1.0.0</version> <exclusions> <exclusion> <groupId>org.conflict</groupId> <artifactId>conflict-lib</artifactId> </exclusion> </exclusions></dependency>使用 <dependencyManagement> 统一管理依赖版本：<dependencyManagement> <dependencies> <dependency> <groupId>org.conflict</groupId> <artifactId>conflict-lib</artifactId> <version>2.0.0</version> </dependency> </dependencies></dependencyManagement>直接声明需要的版本，覆盖传递依赖的版本。最佳实践：定期使用 mvn dependency:tree 命令查看依赖树，识别潜在的冲突使用 mvn dependency:analyze 分析未使用和声明的依赖在父 POM 中使用 dependencyManagement 统一管理版本避免使用 SNAPSHOT 版本依赖，除非是开发环境对于大型项目，考虑使用 BOM（Bill of Materials）管理依赖版本