導讀：近來在做庫存調劑系統時，我從前臺到後臺的傳值方式，主要包括：1個，用@PathVariable或者@RequestParam從路徑取；大於一個，用於更新或者新增操作的，我用的是表單實體傳到後臺；大於一個，用於查詢的，我用的@RequestBody（好吧，我承認這個只是我覺得好玩，但沒有多少人願意在後臺一行又一行的寫：String test=request.getParameter("test");吧？？？？？）

現在，主要就是想說一個從路徑取值的“坑”，而重中之重，就想說一下我更偏愛的@PathVariable（別問我為什麼，/{param}/fn.do，簡單啊）

一、使用@PathVariable的轉變過程

首先：

在盤古開天闢地時，就是一切還很混沌時，姑娘我連用@PathVariable取值都沒有取過來，還蒙圈蒙了一小會兒，完全不明白髮生了什麼，因為我看著我的語法和格式，哪兒哪兒都對，但就是沒有傳過來值。我一想我原來寫/{param}/fn.do這種方式傳值的時候，也沒有問題呀，怎麼今天是見鬼了？？？？ 蒙圈完了之後，就發現端倪了。

請看看我怎麼寫的哈：

@RequestMapping("/dealerStock/swapOrder/{orderID}/cancelAuditThisOrder.do")
public @ResponseBody String cancelAuditThisOrder(@PathVariable("OrderID") String strOrderID）){
...
...
}
 

然後：

當代碼規範審查通過後，也經過了測試部的一級功能業務測試以及業務部的二級業務流程測試。文件之類的，都準備好了（我還能再說什麼呢，無聲的兩個呵 呵） 正要布上去生產線的時候，老大再次審查了一遍程式碼，審查到最後也沒個啥結果，但是，突然間看到那個@PathVariable就問了我兩個問題：一，如果我的ID是不連續的，這種方法還能好使嗎？比如說：HC  782981；二，是不是隻要我拿到這個請求路徑，而我隨便推測一個ID號，就能避過使用者操作別人的資料？

姑娘我再次被雷擊倒，無言以對，馬上實際驗證。結果：Yes！  你說第一個的結果是Yes，這個我很滿意，但第二個是Yes，就很想哭了。   測試出結果後，就請命去幹掉這個問題了。

我的第一步嘗試：

新增method=RequestMethod.post，也就是說使用者不能輸入Url地址以get的形式獲取資料，只能通過系統內部請求。   

組長：你自己說，就算咱們改成了Post請求，你能不能訪問到？

姑娘：我能，就自己寫一個按鈕，再用post請求就行了。如果使用者裡面有懂點程式編碼的，輕而易舉就能破掉。我再去改

組長：其實，我們只能防君子，哪個系統都有漏洞，沒有絕對的許可權控制和安全，但咱們儘量的給做好。

我的第二步嘗試：

在第二步嘗試前，我想了一會兒。我發現這個事件有以下幾個突破口：一、像訂單編號這個敏感的資料，能不能做到不被推測出來？二、使用者是根據訪問路徑，然後加上一個ID號去請求，如果使用者拿不到訪問路徑呢？三、要點就是使用者只能操作自己的資料，我可以在敏感操作的時候，同時校驗當前使用者。四、既然都是@PathVariable這種方式帶來的一些問題，那我可以把相應的方法，換掉這種傳值方式。五、使用者看到的是一個請求方法路徑，我可不可以在路徑中加入隨機密碼鹽，進一步的控制關鍵操作的訪問。

好吧，為了方便迅速，我直接把這種傳值方式給改了。當然也沒有改完，時間關係，像一些本來就屬於公開資料的內容，還是沒改。

我的第三步嘗試：

在第二步的時候，就已經改完程式碼了。然後，我覺得我是一個很較真的人。忙裡偷閒，我把我在第二步嘗試中想到了幾個點，都寫程式碼測了測。最先測出來的是第三種（同時檢驗當前使用者，也就簡單類似於where orderID=? and userID=? ） 其次，還測了測那個密碼鹽值，也確實能夠控制住，但是，想了想系統的性質和資源的最終走向，沒改。然後，去禁止使用者開啟開發者工具或者檢視原始碼，然而，這根本不是我能控制住的。我也最多就是能控制住快捷鍵開啟，但人家還有滑鼠啊？？？？？？瀏覽器提供的功能，不是我想幹掉就幹掉滴滴滴滴。

我的第一個方案，就是改造訂單生成的方式，然後我覺得吧，這個好像不怎麼靠譜。但毫無疑問比當前的生成方式要靠譜得太多，但這要改動下來，呃，原諒我很慫。

二、個人總結

我最大的問題，不是我後來想不出更為優雅的方案去解決，而是，我從根本上，對這是個問題的問題毫無知覺。我甚至都不覺得那樣有什麼問題，這才是我最該考慮的點。

其實，我用@PathVariable或者什麼別的方式去傳值，這都無可厚非。但我也應該更進一步的考慮到它的應用場景和系統功能鎖涉及到的資料，以及可能帶來的後果。就比如說我這個@PathVariable的問題，在別的查詢一些區域資訊（公共展示資料）的時候，我也這麼用了，組長也看見了，但為什麼他著重說了訂單這一塊，還要求這一塊必須改。反正，我就是欠思考。。。。。。

很多很多的東西，都是建立在日常生活體驗上的。我以前就很崇拜架構師，現在也很崇拜。但是，我突然明白，架構師也不是光有空架子的。就比如說我自己吧，我還算是亂七八糟的想法挺多的那種（雖然並不是每個都靠譜）但是，做事情不能光憑想象，要實際操作的。

感覺最近做得比較好一點的就是：

1，因為有一個地方查詢的資料有很多，那天我跟組長提出，我要換一種查詢方法，提升查詢效率。然後組長就問我究竟想怎麼換？我就直接同時運行了兩套程式碼幹同樣的事兒給他看，結果，就很so easy的換成了我想換的那種方式，我想說的話，全都在程式碼裡。後來弄完了，閒下來，我解釋了一下不同點，關鍵點。

2，因為強調程式碼規範和效率嘛。我就在自己私下寫程式碼的時候，旁邊就放著一本程式碼整潔之道，還有阿里程式碼規範手冊，然後還有我閒下來的時候，去官網找的一些常用資料結構、資料型別的應用對比。我是一邊寫，一邊看。有不知道怎麼寫的，就乾脆先看一眼，照著書寫。剛開始挺痛苦的，因為寫一句就錯一句，也不能說錯，就是不夠優美。但是，感覺現在慢慢變得好了特別特別多。  

所謂經驗，就是經常體驗。多寫程式碼多思考，一定要多寫程式碼，多寫優雅的程式碼。