Cursor后端开发规则模板：Java企业级最佳实践指南（增强版）

发表于2025-05-25|更新于2026-03-31

|浏览量:

Cursor作为AI编程助手，可以通过自定义规则模板来大幅降低bug率。本文提供了一套增强版的Java后端开发规则模板，集成了自测规范、代码审查清单、方法抽取策略、防御式编程等全方位质量保障体系，确保生成零缺陷的企业级代码。

Cursor规则模板的核心设计理念

1. 零缺陷编程哲学

🛡️ 核心原则（增强版）

你现在是一名追求零缺陷的Java后端架构师，具备以下核心编程理念：

1. **零容忍Bug原则**：每个方法都必须经过完整测试验证
2. **防御式编程**：全方位参数校验、异常处理、边界条件覆盖
3. **代码审查驱动**：编写代码时同步考虑审查标准
4. **方法抽取至上**：复杂逻辑必须抽取为独立方法
5. **自测先行**：写代码先写测试，TDD最佳实践
6. **性能监控必备**：关键路径100%覆盖性能监控
7. **并发安全第一**：多线程环境下的数据一致性保障
8. **文档即代码**：代码即文档，自动生成完整文档

🏗️ 零缺陷企业级技术栈（终极版）

零缺陷企业级技术栈（16大核心组件）：

🚀 **核心框架层**
- **应用框架**：Spring Boot 3.2.x + Spring Cloud 2023.x + Micronaut
- **响应式框架**：WebFlux + Reactor + R2DBC + Project Loom虚拟线程
- **微服务框架**：Spring Cloud Alibaba + Apache Dubbo + gRPC

🏗️ **数据访问层**
- **ORM框架**：Spring Data JPA + Hibernate 6.x + MyBatis-Plus
- **查询DSL**：QueryDSL + JOOQ + Criteria API
- **缓存系统**：Redis Cluster + Caffeine + JCache + Ehcache
- **数据库**：PostgreSQL + MySQL 8.0 + TiDB + ClickHouse
- **连接池**：HikariCP + Druid + c3p0（多场景选择）

📨 **消息与事件**
- **消息队列**：Apache Kafka + RabbitMQ + RocketMQ + Pulsar
- **事件驱动**：Axon Framework + Eventuate + Debezium CDC
- **流处理**：Apache Flink + Kafka Streams + Spring Cloud Stream

🔒 **安全与认证**
- **安全框架**：Spring Security 6.x + Apache Shiro + Keycloak
- **认证授权**：JWT + OAuth2 + SAML + OpenID Connect
- **API网关**：Spring Cloud Gateway + Kong + APISIX
- **服务治理**：Spring Cloud + Istio + Consul + Eureka

🧪 **测试与质量**
- **单元测试**：JUnit 5 + TestNG + Spock
- **集成测试**：Testcontainers + WireMock + Pact Contract Testing
- **性能测试**：JMeter + Gatling + k6
- **代码质量**：SonarQube + SpotBugs + PMD + ArchUnit
- **测试覆盖**：JaCoCo + Cobertura + Clover

📊 **监控与可观测性**
- **APM监控**：SkyWalking + Apache SkyWalking + Elastic APM
- **指标收集**：Micrometer + Prometheus + Grafana + VictoriaMetrics
- **日志系统**：ELK Stack + Loki + Fluentd
- **链路追踪**：Jaeger + Zipkin + OpenTelemetry
- **健康检查**：Spring Boot Actuator + Micrometer Health

🔧 **开发工具链**
- **构建工具**：Gradle 8.x + Maven 3.9.x + Bazel
- **代码生成**：Lombok + MapStruct + Immutables
- **文档工具**：SpringDoc OpenAPI + AsciiDoc + JavaDoc
- **容器化**：Docker + Podman + Kubernetes + Helm
- **基础设施**：Terraform + Ansible + GitOps

🎯 **高级架构模式**
- **CQRS/ES**：Axon Framework + EventStoreDB + Kafka
- **SAGA模式**：Eventuate Tram + ServiceComb Pack
- **DDD框架**：Context Mapper + ArchUnit + jMolecules
- **响应式**：RxJava + Reactor + Mutiny

🛡️ **安全增强**
- **零信任**：BeyondCorp + SPIFFE/SPIRE + Istio mTLS
- **加密存储**：HashiCorp Vault + AWS KMS + Azure Key Vault
- **审计日志**：Spring Security Audit + ELK Stack
- **入侵检测**：Fail2Ban + OSSEC + WAF

⚡ **性能优化**
- **JVM调优**：Shenandoah GC + ZGC + GraalVM Native Image
- **缓存策略**：Multi-level Caching + Cache-Aside + Write-Through
- **数据库优化**：索引优化 + 分库分表 + 读写分离
- **异步处理**：CompletableFuture + @Async + Reactive Streams

🔄 **DevOps流水线**
- **CI/CD**：GitLab CI + GitHub Actions + Jenkins X + Tekton
- **制品管理**：Nexus + JFrog Artifactory + Harbor
- **配置管理**：Spring Cloud Config + Apollo + Consul KV
- **金丝雀部署**：Istio + Flagger + Argo Rollouts

🏗️ 增强版架构设计规则模板

1. 零缺陷项目结构规范（终极版）

📁 七层清洁架构 + CQRS + Event Sourcing

/**
 * 零缺陷项目结构规范（七层清洁架构 + CQRS + Event Sourcing）
 *
 * src/main/java/com/company/project/
 * ├── 📂 domain-core/                    # 🏛️ 领域核心层（纯业务逻辑）
 * │   ├── 📂 entity/                     # 聚合根实体（不变性保证）
 * │   ├── 📂 valueobject/                # 值对象（VO）
 * │   ├── 📂 domain-service/             # 领域服务（业务规则）
 * │   ├── 📂 repository/                 # 仓储接口（防腐层）
 * │   ├── 📂 event/                      # 领域事件（事件驱动）
 * │   ├── 📂 exception/                  # 领域异常（业务异常）
 * │   ├── 📂 specification/              # 业务规则规范
 * │   └── 📂 factory/                    # 领域对象工厂
 * ├── 📂 application/                    # 🎯 应用层（CQRS用例）
 * │   ├── 📂 command/                    # 命令处理器（写操作）
 * │   │   ├── 📂 handler/                # 命令处理器
 * │   │   ├── 📂 validator/              # 命令验证器
 * │   │   └── 📂 dto/                    # 命令DTO
 * │   ├── 📂 query/                      # 查询处理器（读操作）
 * │   │   ├── 📂 handler/                # 查询处理器
 * │   │   ├── 📂 dto/                    # 查询DTO
 * │   │   └── 📂 viewmodel/              # 视图模型
 * │   ├── 📂 event-handler/              # 应用事件处理器
 * │   └── 📂 saga/                       # 分布式事务处理器
 * ├── 📂 infrastructure/                 # 🔧 基础设施层（技术实现）
 * │   ├── 📂 config/                     # 配置类
 * │   ├── 📂 repository/                 # 仓储实现
 * │   │   ├── 📂 jpa/                    # JPA实现
 * │   │   ├── 📂 mongodb/                # MongoDB实现
 * │   │   └── 📂 redis/                  # Redis缓存实现
 * │   ├── 📂 messaging/                  # 消息队列实现
 * │   ├── 📂 external-api/               # 外部API客户端
 * │   ├── 📂 cache/                      # 缓存实现
 * │   ├── 📂 search/                     # 搜索引擎实现
 * │   ├── 📂 file-storage/               # 文件存储实现
 * │   └── 📂 monitoring/                 # 监控实现
 * ├── 📂 interfaces/                     # 🌐 接口适配器层
 * │   ├── 📂 rest/                       # REST API控制器
 * │   │   ├── 📂 v1/                     # API版本1
 * │   │   ├── 📂 v2/                     # API版本2
 * │   │   └── 📂 common/                 # 公共控制器
 * │   ├── 📂 graphql/                    # GraphQL接口
 * │   ├── 📂 websocket/                  # WebSocket接口
 * │   ├── 📂 messaging/                  # 消息处理器
 * │   ├── 📂 scheduler/                  # 定时任务
 * │   ├── 📂 assembler/                  # DTO转换器
 * │   ├── 📂 validator/                  # 输入验证器
 * │   ├── 📂 exception/                  # 异常处理器
 * │   └── 📂 security/                   # 安全配置
 * ├── 📂 shared-kernel/                  # 🔄 共享内核（跨领域）
 * │   ├── 📂 common/                     # 通用工具类
 * │   ├── 📂 validation/                 # 验证框架
 * │   ├── 📂 security/                   # 安全框架
 * │   ├── 📂 audit/                      # 审计框架
 * │   └── 📂 notification/               # 通知框架
 * └── 📂 bootstrap/                      # 🚀 应用启动层
 *     ├── 📂 config/                     # 启动配置
 *     ├── 📂 Application.java            # 主应用类
 *     └── 📂 profile/                    # 环境配置
 *
 * src/test/java/com/company/project/
 * ├── 📂 domain-core/                    # 领域核心测试
 * │   ├── 📂 entity/                     # 实体测试
 * │   ├── 📂 valueobject/                # 值对象测试
 * │   ├── 📂 domain-service/             # 领域服务测试
 * │   ├── 📂 specification/              # 业务规则测试
 * │   └── 📂 factory/                    # 工厂测试
 * ├── 📂 application/                    # 应用层测试
 * │   ├── 📂 command/                    # 命令测试
 * │   ├── 📂 query/                      # 查询测试
 * │   └── 📂 saga/                       # Saga测试
 * ├── 📂 infrastructure/                 # 基础设施测试
 * │   ├── 📂 repository/                 # 仓储测试
 * │   ├── 📂 messaging/                  # 消息测试
 * │   └── 📂 external-api/               # 外部API测试
 * ├── 📂 interfaces/                     # 接口层测试
 * │   ├── 📂 rest/                       # REST API测试
 * │   ├── 📂 graphql/                    # GraphQL测试
 * │   └── 📂 websocket/                  # WebSocket测试
 * ├── 📂 integration/                    # 集成测试
 * │   ├── 📂 api/                        # API集成测试
 * │   ├── 📂 database/                   # 数据库集成测试
 * │   ├── 📂 messaging/                  # 消息集成测试
 * │   └── 📂 security/                   # 安全集成测试
 * ├── 📂 e2e/                           # 端到端测试
 * │   ├── 📂 user-journey/               # 用户旅程测试
 * │   ├── 📂 business-scenario/          # 业务场景测试
 * │   └── 📂 performance/                # 性能测试
 * ├── 📂 contract/                       # 契约测试
 * │   ├── 📂 consumer/                   # 消费者契约
 * │   ├── 📂 provider/                   # 提供者契约
 * │   └── 📂 messaging/                  # 消息契约
 * └── 📂 property-based/                 # 属性测试
 *     ├── 📂 generators/                 # 测试数据生成器
 *     ├── 📂 invariants/                 # 不变性测试
 *     └── 📂 stateful/                   # 有状态测试
 */

#### 🧪 自测驱动的项目结构
```java
/**
 * 自测驱动的项目结构
 *
 * 每个业务模块都包含：
 * ├── BusinessModule.java          # 业务实现类
 * ├── BusinessModuleTest.java      # 单元测试
 * ├── BusinessModuleIT.java        # 集成测试
 * ├── BusinessModuleSpec.md        # 需求规格说明
 * └── BusinessModuleReview.md      # 代码审查清单
 *
 * 测试覆盖率要求：
 * - 单元测试：>= 80%
 * - 集成测试：>= 60%
 * - 端到端测试：>= 30%
 * - 总体覆盖率：>= 85%
 */

#### 包命名规范
```java
// ✅ 推荐的包命名
com.company.project.domain.user.entity.User
com.company.project.domain.user.repository.UserRepository
com.company.project.application.user.service.UserAppService
com.company.project.infrastructure.user.repository.JpaUserRepository

// ❌ 避免的包命名
com.company.project.model.User        // 过于简单
com.company.project.dao.UserDao       // 不符合DDD
com.company.project.service.UserService // 混淆应用服务和领域服务

2. 实体设计规范

领域实体设计

// ✅ 推荐的实体设计
@Data
@Builder
@NoArgsConstructor
@AllArgsConstructor
@Entity
@Table(name = "users")
public class User extends BaseEntity {
    
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    
    @Column(nullable = false, length = 50)
    private String username;
    
    @Column(nullable = false, unique = true, length = 100)
    private String email;
    
    @Enumerated(EnumType.STRING)
    @Column(nullable = false)
    private UserStatus status;
    
    @Embedded
    private Address address;
    
    // 业务方法
    public void activate() {
        if (this.status != UserStatus.PENDING) {
            throw new BusinessException("只有待激活用户才能激活");
        }
        this.status = UserStatus.ACTIVE;
        registerEvent(new UserActivatedEvent(this.id));
    }
    
    public boolean isActive() {
        return UserStatus.ACTIVE.equals(this.status);
    }
}

值对象设计

// ✅ 值对象设计
@Embeddable
@Value
public class Address {
    
    @Column(length = 100)
    String province;
    
    @Column(length = 100)
    String city;
    
    @Column(length = 100)
    String district;
    
    @Column(length = 200)
    String detail;
    
    // 业务方法
    public String getFullAddress() {
        return String.format("%s%s%s%s", 
            province, city, district, detail);
    }
}

3. 服务层设计规范

应用服务设计

// ✅ 应用服务设计
@Service
@RequiredArgsConstructor
@Slf4j
public class UserAppService {
    
    private final UserDomainService userDomainService;
    private final UserRepository userRepository;
    private final MapStructMapper mapper;
    
    @Transactional
    public UserDTO createUser(CreateUserCommand command) {
        // 1. 参数校验
        validateCreateUserCommand(command);
        
        // 2. 业务逻辑处理
        User user = userDomainService.createUser(
            command.getUsername(),
            command.getEmail(),
            command.getPassword()
        );
        
        // 3. 持久化
        User savedUser = userRepository.save(user);
        
        // 4. 返回结果
        return mapper.toDTO(savedUser);
    }
    
    @Transactional(readOnly = true)
    public Page<UserDTO> queryUsers(UserQuery query) {
        return userRepository.findByQuery(query)
            .map(mapper::toDTO);
    }
}

领域服务设计

// ✅ 领域服务设计
@Service
@RequiredArgsConstructor
public class UserDomainService {
    
    private final PasswordEncoder passwordEncoder;
    private final EventPublisher eventPublisher;
    
    public User createUser(String username, String email, String password) {
        // 防御式编程：参数校验
        Assert.hasText(username, "用户名不能为空");
        Assert.hasText(email, "邮箱不能为空");
        Assert.hasText(password, "密码不能为空");
        
        // 检查用户名唯一性
        if (userRepository.existsByUsername(username)) {
            throw new BusinessException("用户名已存在");
        }
        
        // 创建用户
        User user = User.builder()
            .username(username)
            .email(email)
            .password(passwordEncoder.encode(password))
            .status(UserStatus.PENDING)
            .build();
        
        // 发布领域事件
        eventPublisher.publishEvent(new UserCreatedEvent(user.getId()));
        
        return user;
    }
}

代码质量规范

1. 异常处理规范

全局异常处理

// ✅ 全局异常处理器
@RestControllerAdvice
@Slf4j
public class GlobalExceptionHandler {
    
    @ExceptionHandler(BusinessException.class)
    public ResponseEntity<ErrorResponse> handleBusinessException(BusinessException e) {
        log.warn("业务异常: {}", e.getMessage());
        return ResponseEntity.badRequest()
            .body(ErrorResponse.of(e.getErrorCode(), e.getMessage()));
    }
    
    @ExceptionHandler(Exception.class)
    public ResponseEntity<ErrorResponse> handleException(Exception e) {
        log.error("系统异常", e);
        return ResponseEntity.internalServerError()
            .body(ErrorResponse.of("SYSTEM_ERROR", "系统内部错误"));
    }
}

自定义异常

// ✅ 自定义业务异常
@Getter
public class BusinessException extends RuntimeException {
    
    private final String errorCode;
    
    public BusinessException(String errorCode, String message) {
        super(message);
        this.errorCode = errorCode;
    }
    
    public BusinessException(ErrorCode errorCode) {
        super(errorCode.getMessage());
        this.errorCode = errorCode.getCode();
    }
}

2. 数据传输规范

DTO设计规范

// ✅ DTO设计规范
@Data
@Builder
@NoArgsConstructor
@AllArgsConstructor
public class UserDTO {
    
    private Long id;
    private String username;
    private String email;
    private UserStatus status;
    private LocalDateTime createdAt;
    private LocalDateTime updatedAt;
    
    // 关联对象（避免N+1查询）
    private DepartmentDTO department;
    private List<RoleDTO> roles;
}

MapStruct映射

// ✅ MapStruct映射器
@Mapper(componentModel = "spring", 
        unmappedTargetPolicy = ReportingPolicy.IGNORE)
public interface UserMapper {
    
    UserDTO toDTO(User user);
    
    @Mapping(target = "roles", source = "userRoles")
    UserDTO toDTOWithRoles(User user, List<UserRole> userRoles);
    
    List<UserDTO> toDTOList(List<User> users);
    
    User toEntity(CreateUserCommand command);
    
    void updateEntity(UpdateUserCommand command, @MappingTarget User user);
}

3. 工具类设计规范

通用工具类

// ✅ 工具类设计
@Component
@Slf4j
public class ExcelExportUtil {
    
    private final Stopwatch stopwatch = Stopwatch.createUnstarted();
    
    public <T> byte[] exportToExcel(List<T> data, Class<T> clazz) {
        stopwatch.start();
        try {
            // 使用FastExcel进行导出
            return exportWithFastExcel(data, clazz);
        } finally {
            stopwatch.stop();
            log.info("Excel导出耗时: {} ms", stopwatch.elapsed(TimeUnit.MILLISECONDS));
            stopwatch.reset();
        }
    }
    
    public <T> List<T> importFromExcel(MultipartFile file, Class<T> clazz) {
        stopwatch.start();
        try {
            // 使用FastExcel进行导入
            return importWithFastExcel(file, clazz);
        } finally {
            stopwatch.stop();
            log.info("Excel导入耗时: {} ms", stopwatch.elapsed(TimeUnit.MILLISECONDS));
            stopwatch.reset();
        }
    }
}

缓存工具类

// ✅ 缓存工具类
@Component
@Slf4j
public class CacheUtil {
    
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;
    
    @Autowired
    private CacheManager cacheManager;
    
    public <T> T getWithCache(String key, Class<T> type, Supplier<T> supplier) {
        // 先查本地缓存
        Cache cache = cacheManager.getCache("default");
        Cache.ValueWrapper wrapper = cache.get(key);
        
        if (wrapper != null) {
            return type.cast(wrapper.get());
        }
        
        // 再查Redis缓存
        T value = (T) redisTemplate.opsForValue().get(key);
        if (value != null) {
            cache.put(key, value);
            return value;
        }
        
        // 缓存未命中，执行查询
        value = supplier.get();
        
        // 双写缓存
        redisTemplate.opsForValue().set(key, value, 30, TimeUnit.MINUTES);
        cache.put(key, value);
        
        return value;
    }
}

性能优化规范

1. 数据库访问优化

查询优化

// ✅ 优化的查询方法
@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    
    // 1. 使用@Query优化复杂查询
    @Query("""
        SELECT u FROM User u 
        LEFT JOIN FETCH u.roles r 
        LEFT JOIN FETCH u.department d 
        WHERE u.status = :status 
        AND u.createdAt >= :startDate
        """)
    Page<User> findActiveUsersWithDetails(
        @Param("status") UserStatus status,
        @Param("startDate") LocalDateTime startDate,
        Pageable pageable
    );
    
    // 2. 使用Specifications进行动态查询
    Page<User> findAll(Specification<User> spec, Pageable pageable);
    
    // 3. 自定义查询方法
    @Query("SELECT COUNT(u) FROM User u WHERE u.status = :status")
    long countByStatus(@Param("status") UserStatus status);
}

分页查询优化

// ✅ 分页查询优化
@Service
public class UserQueryService {
    
    public Page<UserDTO> findUsers(UserQuery query) {
        // 1. 使用Specification构建查询条件
        Specification<User> spec = buildSpecification(query);
        
        // 2. 优化分页参数
        Pageable pageable = PageRequest.of(
            Math.max(0, query.getPage() - 1), // 页码从0开始
            Math.min(100, Math.max(1, query.getSize())), // 限制每页大小
            buildSort(query.getSort()) // 构建排序
        );
        
        // 3. 执行查询
        Page<User> users = userRepository.findAll(spec, pageable);
        
        // 4. 转换为DTO
        return users.map(userMapper::toDTO);
    }
    
    private Specification<User> buildSpecification(UserQuery query) {
        return (root, criteriaQuery, criteriaBuilder) -> {
            List<Predicate> predicates = new ArrayList<>();
            
            // 动态添加查询条件
            if (StringUtils.hasText(query.getUsername())) {
                predicates.add(criteriaBuilder.like(
                    root.get("username"), 
                    "%" + query.getUsername() + "%"
                ));
            }
            
            if (query.getStatus() != null) {
                predicates.add(criteriaBuilder.equal(
                    root.get("status"), 
                    query.getStatus()
                ));
            }
            
            return criteriaBuilder.and(predicates.toArray(new Predicate[0]));
        };
    }
}

2. 缓存策略优化

多级缓存策略

// ✅ 多级缓存策略
@Configuration
@EnableCaching
public class CacheConfig {
    
    @Bean
    public CacheManager cacheManager() {
        // Caffeine本地缓存
        CaffeineCacheManager cacheManager = new CaffeineCacheManager();
        cacheManager.setCaffeine(Caffeine.newBuilder()
            .initialCapacity(100)
            .maximumSize(1000)
            .expireAfterWrite(10, TimeUnit.MINUTES)
            .weakKeys()
            .recordStats());
        
        return cacheManager;
    }
    
    @Bean
    public RedisTemplate<String, Object> redisTemplate(
            RedisConnectionFactory connectionFactory) {
        RedisTemplate<String, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);
        
        // 使用Jackson序列化
        Jackson2JsonRedisSerializer<Object> serializer = 
            new Jackson2JsonRedisSerializer<>(Object.class);
        template.setDefaultSerializer(serializer);
        
        return template;
    }
}

缓存使用规范

// ✅ 缓存使用规范
@Service
@Slf4j
public class UserService {
    
    @Cacheable(value = "users", key = "#id", unless = "#result == null")
    public UserDTO getUserById(Long id) {
        return userRepository.findById(id)
            .map(userMapper::toDTO)
            .orElseThrow(() -> new BusinessException("用户不存在"));
    }
    
    @CachePut(value = "users", key = "#result.id")
    @CacheEvict(value = "userList", allEntries = true)
    @Transactional
    public UserDTO updateUser(Long id, UpdateUserCommand command) {
        User user = userRepository.findById(id)
            .orElseThrow(() -> new BusinessException("用户不存在"));
        
        userMapper.updateEntity(command, user);
        User savedUser = userRepository.save(user);
        
        return userMapper.toDTO(savedUser);
    }
    
    @CacheEvict(value = "users", key = "#id")
    @Transactional
    public void deleteUser(Long id) {
        userRepository.deleteById(id);
    }
}

🔒 零缺陷安全与防护规范

1. 零信任安全架构

🏰 零信任核心原则

零信任安全架构原则：

1. **永不信任，始终验证**
   - 所有访问请求都必须经过身份验证
   - 每次访问都进行授权检查
   - 持续监控和动态风险评估

2. **最小权限原则**
   - 基于角色的访问控制(RBAC)
   - 基于属性的访问控制(ABAC)
   - 权限最小化，按需分配

3. **深度防御策略**
   - 多层次安全防护
   - 加密数据传输和存储
   - 实时安全监控和告警

4. **持续验证机制**
   - 动态身份验证
   - 设备信任评估
   - 行为模式分析

🔐 零信任安全架构实现

// ✅ 零信任安全拦截器
@Component
public class ZeroTrustSecurityInterceptor implements HandlerInterceptor {

    private final JwtTokenProvider jwtTokenProvider;
    private final UserContextService userContextService;
    private final RiskAssessmentService riskAssessmentService;

    @Override
    public boolean preHandle(HttpServletRequest request,
                           HttpServletResponse response,
                           Object handler) throws Exception {

        // 1. 身份验证
        String token = extractToken(request);
        if (!jwtTokenProvider.validateToken(token)) {
            throw new AuthenticationException("无效的访问令牌");
        }

        // 2. 用户上下文验证
        UserContext userContext = jwtTokenProvider.getUserContext(token);
        if (!userContextService.isValidContext(userContext)) {
            throw new SecurityException("用户上下文无效");
        }

        // 3. 动态风险评估
        RiskLevel riskLevel = riskAssessmentService.assessRisk(
            userContext, request, getClientInfo(request)
        );

        if (riskLevel == RiskLevel.HIGH) {
            // 触发额外验证
            triggerAdditionalVerification(userContext, request);
        }

        // 4. 权限验证
        if (!hasPermission(userContext, request)) {
            throw new AccessDeniedException("权限不足");
        }

        // 5. 审计日志
        auditService.logAccess(userContext, request);

        return true;
    }

    private String extractToken(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }

    private ClientInfo getClientInfo(HttpServletRequest request) {
        return ClientInfo.builder()
            .ipAddress(getClientIp(request))
            .userAgent(request.getHeader("User-Agent"))
            .deviceFingerprint(request.getHeader("X-Device-Fingerprint"))
            .build();
    }
}

🛡️ 零信任API网关配置

# application-security.yml
zero-trust:
  enabled: true
  policies:
    - name: api-access-policy
      rules:
        - condition: "request.path.startsWith('/api/')"
          actions:
            - type: authenticate
              provider: jwt
            - type: authorize
              roles: ["USER", "ADMIN"]
            - type: rate-limit
              limit: 1000
              window: 1h
            - type: risk-assess
              threshold: MEDIUM
            - type: audit
              level: INFO

    - name: sensitive-data-policy
      rules:
        - condition: "request.path.matches('/api/users/*/sensitive')"
          actions:
            - type: mfa-verify
              required: true
            - type: encryption
              algorithm: AES256
            - type: audit
              level: WARN
            - type: data-masking
              enabled: true

security:
  oauth2:
    resourceserver:
      jwt:
        issuer-uri: https://auth.example.com
        jwk-set-uri: https://auth.example.com/.well-known/jwks.json

  csrf:
    enabled: false  # 零信任架构下，API通常使用token认证，无需CSRF保护

  headers:
    content-type-options: nosniff
    frame-options: DENY
    xss-protection: "1; mode=block"
    strict-transport-security: "max-age=31536000; includeSubDomains"
    content-security-policy: "default-src 'self'; script-src 'self' 'unsafe-inline'"

2. 零缺陷加密安全体系

🔐 端到端加密架构

// ✅ 端到端加密服务
@Service
@Slf4j
public class EndToEndEncryptionService {

    private final KeyManagementService keyManagementService;
    private final EncryptionAlgorithmFactory algorithmFactory;

    // 数据加密
    public EncryptedData encrypt(SensitiveData data, EncryptionContext context) {
        // 1. 生成数据密钥
        String dataKey = keyManagementService.generateDataKey();

        // 2. 选择加密算法
        EncryptionAlgorithm algorithm = algorithmFactory.getAlgorithm(
            context.getAlgorithm(),
            context.getKeySize()
        );

        // 3. 加密数据
        byte[] encryptedData = algorithm.encrypt(
            data.getContent().getBytes(StandardCharsets.UTF_8),
            dataKey
        );

        // 4. 加密数据密钥
        String encryptedKey = keyManagementService.encryptDataKey(
            dataKey,
            context.getKeyId()
        );

        return EncryptedData.builder()
            .encryptedContent(Base64.getEncoder().encodeToString(encryptedData))
            .encryptedKey(encryptedKey)
            .algorithm(context.getAlgorithm())
            .keyId(context.getKeyId())
            .iv(context.getIv())
            .build();
    }

    // 数据解密
    public String decrypt(EncryptedData encryptedData, String userId) {
        // 1. 验证访问权限
        if (!keyManagementService.hasAccessPermission(
            encryptedData.getKeyId(), userId)) {
            throw new SecurityException("无权访问加密数据");
        }

        // 2. 解密数据密钥
        String dataKey = keyManagementService.decryptDataKey(
            encryptedData.getEncryptedKey()
        );

        // 3. 选择解密算法
        EncryptionAlgorithm algorithm = algorithmFactory.getAlgorithm(
            encryptedData.getAlgorithm(),
            0 // 解密时不需要keySize
        );

        // 4. 解密数据
        byte[] decryptedData = algorithm.decrypt(
            Base64.getDecoder().decode(encryptedData.getEncryptedContent()),
            dataKey,
            encryptedData.getIv()
        );

        return new String(decryptedData, StandardCharsets.UTF_8);
    }

    // 密钥轮换
    @Scheduled(fixedRate = 86400000) // 每天轮换
    public void rotateKeys() {
        log.info("开始执行密钥轮换");
        keyManagementService.rotateExpiredKeys();
        log.info("密钥轮换完成");
    }
}

🔑 密钥管理服务

// ✅ 密钥管理服务 (AWS KMS集成)
@Service
public class KeyManagementService {

    private final AmazonKeyManagementService kmsClient;
    private final KeyRepository keyRepository;
    private final KeyRotationPolicy rotationPolicy;

    // 生成数据密钥
    public String generateDataKey() {
        GenerateDataKeyRequest request = new GenerateDataKeyRequest()
            .withKeyId(getMasterKeyId())
            .withKeySpec(DataKeySpec.AES_256);

        GenerateDataKeyResult result = kmsClient.generateDataKey(request);

        // 存储加密后的数据密钥
        EncryptedDataKey encryptedKey = EncryptedDataKey.builder()
            .encryptedKey(Base64.getEncoder().encodeToString(
                result.getCiphertextBlob().array()))
            .keyId(result.getKeyId())
            .creationTime(Instant.now())
            .build();

        keyRepository.save(encryptedKey);

        // 返回明文数据密钥
        return Base64.getEncoder().encodeToString(
            result.getPlaintext().array());
    }

    // 加密数据密钥
    public String encryptDataKey(String plainDataKey, String keyId) {
        EncryptRequest request = new EncryptRequest()
            .withKeyId(keyId)
            .withPlaintext(ByteBuffer.wrap(plainDataKey.getBytes()));

        EncryptResult result = kmsClient.encrypt(request);

        return Base64.getEncoder().encodeToString(
            result.getCiphertextBlob().array());
    }

    // 解密数据密钥
    public String decryptDataKey(String encryptedDataKey) {
        DecryptRequest request = new DecryptRequest()
            .withCiphertextBlob(ByteBuffer.wrap(
                Base64.getDecoder().decode(encryptedDataKey)));

        DecryptResult result = kmsClient.decrypt(request);

        return new String(result.getPlaintext().array());
    }

    // 密钥轮换策略
    public void rotateExpiredKeys() {
        List<EncryptedDataKey> expiredKeys = keyRepository
            .findExpiredKeys(rotationPolicy.getMaxAge());

        for (EncryptedDataKey expiredKey : expiredKeys) {
            // 创建新密钥
            String newDataKey = generateDataKey();

            // 重新加密相关数据
            reEncryptDataWithNewKey(expiredKey, newDataKey);

            // 标记旧密钥为已轮换
            expiredKey.setRotated(true);
            keyRepository.save(expiredKey);
        }
    }

    private String getMasterKeyId() {
        // 从配置或环境变量获取主密钥ID
        return System.getenv("AWS_KMS_MASTER_KEY_ID");
    }
}

3. 零缺陷身份认证与授权

🆔 多因子认证体系

// ✅ 多因子认证服务
@Service
@Slf4j
public class MultiFactorAuthenticationService {

    private final OtpService otpService;
    private final SmsService smsService;
    private final EmailService emailService;
    private final UserDeviceRepository userDeviceRepository;

    // 发起MFA验证
    public MfaChallenge initiateMfaChallenge(User user, MfaType mfaType) {
        MfaChallenge challenge = MfaChallenge.builder()
            .userId(user.getId())
            .challengeId(generateChallengeId())
            .mfaType(mfaType)
            .status(MfaStatus.PENDING)
            .createdAt(Instant.now())
            .expiresAt(Instant.now().plusSeconds(300)) // 5分钟过期
            .build();

        // 根据MFA类型发送验证码
        switch (mfaType) {
            case SMS:
                String smsCode = otpService.generateOtp();
                smsService.sendSms(user.getPhoneNumber(),
                    "您的验证码是: " + smsCode);
                challenge.setVerificationCode(hashCode(smsCode));
                break;

            case EMAIL:
                String emailCode = otpService.generateOtp();
                emailService.sendEmail(user.getEmail(),
                    "登录验证码", "您的验证码是: " + emailCode);
                challenge.setVerificationCode(hashCode(emailCode));
                break;

            case TOTP:
                // TOTP不需要发送验证码，用户使用APP生成
                challenge.setSecret(otpService.generateTotpSecret());
                break;

            case HARDWARE_TOKEN:
                // 硬件令牌验证
                challenge.setChallengeData(generateHardwareChallenge());
                break;
        }

        return challengeRepository.save(challenge);
    }

    // 验证MFA响应
    public boolean verifyMfaResponse(String challengeId, String userResponse) {
        MfaChallenge challenge = challengeRepository.findById(challengeId)
            .orElseThrow(() -> new SecurityException("MFA挑战不存在"));

        // 检查挑战是否过期
        if (challenge.getExpiresAt().isBefore(Instant.now())) {
            throw new SecurityException("MFA挑战已过期");
        }

        boolean isValid = false;

        switch (challenge.getMfaType()) {
            case SMS:
            case EMAIL:
                isValid = verifyOtpCode(challenge, userResponse);
                break;

            case TOTP:
                isValid = otpService.verifyTotp(challenge.getSecret(), userResponse);
                break;

            case HARDWARE_TOKEN:
                isValid = verifyHardwareToken(challenge, userResponse);
                break;
        }

        if (isValid) {
            challenge.setStatus(MfaStatus.VERIFIED);
            challenge.setVerifiedAt(Instant.now());
            challengeRepository.save(challenge);
        }

        return isValid;
    }

    // 自适应MFA策略
    public MfaType determineMfaType(User user, HttpServletRequest request) {
        // 基于风险评估确定MFA类型
        RiskAssessment risk = assessLoginRisk(user, request);

        switch (risk.getLevel()) {
            case LOW:
                return MfaType.TOTP; // 低风险使用TOTP
            case MEDIUM:
                return MfaType.SMS;  // 中风险使用SMS
            case HIGH:
                return MfaType.HARDWARE_TOKEN; // 高风险使用硬件令牌
            default:
                return MfaType.SMS;  // 默认使用SMS
        }
    }

    private RiskAssessment assessLoginRisk(User user, HttpServletRequest request) {
        RiskAssessment risk = new RiskAssessment();

        // 检查登录位置异常
        if (isUnusualLocation(user, request)) {
            risk.increaseRisk(30);
        }

        // 检查设备异常
        if (isUnusualDevice(user, request)) {
            risk.increaseRisk(25);
        }

        // 检查时间异常
        if (isUnusualTime(user)) {
            risk.increaseRisk(15);
        }

        // 检查失败登录次数
        int failedAttempts = getRecentFailedAttempts(user);
        risk.increaseRisk(Math.min(failedAttempts * 10, 30));

        return risk;
    }
}

🗝️ 基于属性的访问控制(ABAC)

// ✅ ABAC访问控制引擎
@Component
public class AttributeBasedAccessControl {

    private final PolicyDecisionPoint pdp;
    private final PolicyInformationPoint pip;
    private final PolicyEnforcementPoint pep;

    // 访问决策
    public AccessDecision evaluateAccess(Subject subject, Resource resource,
                                       Action action, Environment environment) {

        // 1. 收集属性信息
        SubjectAttributes subjectAttrs = pip.getSubjectAttributes(subject);
        ResourceAttributes resourceAttrs = pip.getResourceAttributes(resource);
        ActionAttributes actionAttrs = pip.getActionAttributes(action);
        EnvironmentAttributes envAttrs = pip.getEnvironmentAttributes(environment);

        // 2. 策略评估
        PolicyEvaluationResult result = pdp.evaluatePolicies(
            subjectAttrs, resourceAttrs, actionAttrs, envAttrs
        );

        // 3. 访问执行
        return pep.enforceDecision(result.getDecision(), subject, resource, action);
    }

    // 动态策略更新
    @EventListener
    public void onPolicyChange(PolicyChangeEvent event) {
        pdp.reloadPolicies();
        log.info("访问控制策略已更新: {}", event.getPolicyId());
    }
}

// 🎯 ABAC策略定义
@Configuration
public class AbacPolicyConfiguration {

    @Bean
    public List<AccessPolicy> accessPolicies() {
        return List.of(
            // 管理员策略
            AccessPolicy.builder()
                .id("admin-full-access")
                .description("管理员拥有所有权限")
                .condition("subject.role == 'ADMIN'")
                .effect(Effect.PERMIT)
                .build(),

            // 部门数据访问策略
            AccessPolicy.builder()
                .id("department-data-access")
                .description("用户只能访问本部门数据")
                .condition("subject.department == resource.department")
                .effect(Effect.PERMIT)
                .build(),

            // 敏感数据访问策略
            AccessPolicy.builder()
                .id("sensitive-data-access")
                .description("敏感数据需要额外审批")
                .condition("""
                    resource.classification == 'SENSITIVE' &&
                    subject.clearance >= resource.classification_level &&
                    environment.time in business_hours &&
                    subject.mfa_verified == true
                    """)
                .effect(Effect.PERMIT)
                .build(),

            // 时间限制策略
            AccessPolicy.builder()
                .id("time-based-access")
                .description("工作时间外限制访问")
                .condition("""
                    environment.time >= '09:00' &&
                    environment.time <= '18:00' &&
                    environment.day_of_week in ['MONDAY', 'TUESDAY', 'WEDNESDAY', 'THURSDAY', 'FRIDAY']
                    """)
                .effect(Effect.PERMIT)
                .build(),

            // 地理位置限制策略
            AccessPolicy.builder()
                .id("location-based-access")
                .description("限制从公司网络外部访问")
                .condition("""
                    environment.ip_address in company_network_ranges ||
                    subject.trusted_device == true
                    """)
                .effect(Effect.PERMIT)
                .build()
        );
    }
}

4. 零缺陷安全监控与告警

📊 实时安全监控仪表板

// ✅ 安全监控仪表板
@RestController
@RequestMapping("/api/security/dashboard")
public class SecurityDashboardController {

    private final SecurityMetricsCollector metricsCollector;
    private final ThreatDetectionService threatDetectionService;
    private final IncidentResponseService incidentResponseService;

    // 安全概览数据
    @GetMapping("/overview")
    public SecurityOverview getSecurityOverview() {
        return SecurityOverview.builder()
            .activeThreats(threatDetectionService.getActiveThreatCount())
            .blockedAttacks(metricsCollector.getBlockedAttacksLast24h())
            .failedLogins(metricsCollector.getFailedLoginsLast24h())
            .suspiciousActivities(threatDetectionService.getSuspiciousActivityCount())
            .systemHealth(getSystemHealthStatus())
            .lastUpdated(Instant.now())
            .build();
    }

    // 实时威胁检测
    @GetMapping("/threats/realtime")
    public Flux<SecurityEvent> getRealtimeThreats() {
        return threatDetectionService.getThreatStream()
            .filter(threat -> threat.getSeverity() >= ThreatSeverity.MEDIUM)
            .map(this::enrichThreatData);
    }

    // 安全事件详情
    @GetMapping("/events/{eventId}")
    public SecurityEventDetails getEventDetails(@PathVariable String eventId) {
        SecurityEvent event = threatDetectionService.getEventById(eventId);
        return SecurityEventDetails.builder()
            .event(event)
            .relatedEvents(threatDetectionService.getRelatedEvents(eventId))
            .affectedSystems(getAffectedSystems(event))
            .recommendedActions(getRecommendedActions(event))
            .incidentResponseStatus(incidentResponseService.getStatus(eventId))
            .build();
    }

    // 安全趋势分析
    @GetMapping("/trends")
    public SecurityTrends getSecurityTrends(
            @RequestParam(defaultValue = "7") int days) {

        Instant endTime = Instant.now();
        Instant startTime = endTime.minus(days, ChronoUnit.DAYS);

        return SecurityTrends.builder()
            .attackTrends(metricsCollector.getAttackTrends(startTime, endTime))
            .vulnerabilityTrends(metricsCollector.getVulnerabilityTrends(startTime, endTime))
            .responseTimeTrends(metricsCollector.getResponseTimeTrends(startTime, endTime))
            .complianceTrends(metricsCollector.getComplianceTrends(startTime, endTime))
            .build();
    }

    private SecurityEvent enrichThreatData(SecurityEvent threat) {
        // 丰富威胁数据
        threat.setGeoLocation(lookupGeoLocation(threat.getSourceIp()));
        threat.setThreatIntelligence(getThreatIntelligence(threat));
        threat.setRiskScore(calculateRiskScore(threat));
        return threat;
    }

    private SystemHealthStatus getSystemHealthStatus() {
        return SystemHealthStatus.builder()
            .firewallStatus("ACTIVE")
            .idsStatus("ACTIVE")
            .encryptionStatus("HEALTHY")
            .backupStatus("SUCCESS")
            .lastSecurityScan(Instant.now().minusSeconds(3600))
            .build();
    }
}

🚨 智能安全告警系统

// ✅ 智能安全告警系统
@Service
@Slf4j
public class IntelligentAlertingSystem {

    private final AlertEngine alertEngine;
    private final AlertRepository alertRepository;
    private final NotificationService notificationService;
    private final AlertCorrelationEngine correlationEngine;

    // 告警规则引擎
    private final List<AlertRule> alertRules = List.of(
        AlertRule.builder()
            .id("brute-force-detection")
            .name("暴力破解检测")
            .condition("failed_login_attempts > 5 && time_window < 300")
            .severity(AlertSeverity.HIGH)
            .actions(List.of("block_ip", "notify_security_team", "require_mfa"))
            .build(),

        AlertRule.builder()
            .id("data-exfiltration")
            .name("数据外泄检测")
            .condition("large_data_download && unusual_location && after_hours")
            .severity(AlertSeverity.CRITICAL)
            .actions(List.of("block_user", "notify_ciso", "initiate_incident_response"))
            .build(),

        AlertRule.builder()
            .id("privilege-escalation")
            .name("权限提升检测")
            .condition("user_role_changed && unusual_pattern && high_privilege")
            .severity(AlertSeverity.CRITICAL)
            .actions(List.of("revoke_access", "security_audit", "legal_notification"))
            .build(),

        AlertRule.builder()
            .id("anomaly-detection")
            .name("异常行为检测")
            .condition("behavior_deviation_score > 0.8")
            .severity(AlertSeverity.MEDIUM)
            .actions(List.of("additional_verification", "user_notification"))
            .build()
    );

    // 处理安全事件
    @Async
    public void processSecurityEvent(SecurityEvent event) {
        log.info("处理安全事件: {}", event.getType());

        // 1. 事件关联分析
        List<SecurityEvent> correlatedEvents =
            correlationEngine.findCorrelatedEvents(event);

        // 2. 风险评分
        double riskScore = calculateRiskScore(event, correlatedEvents);

        // 3. 告警规则匹配
        List<Alert> triggeredAlerts = evaluateAlertRules(event, correlatedEvents, riskScore);

        // 4. 生成告警
        for (Alert alert : triggeredAlerts) {
            createAlert(alert);
        }

        // 5. 自动响应
        executeAutomatedResponses(triggeredAlerts);
    }

    private List<Alert> evaluateAlertRules(SecurityEvent event,
                                         List<SecurityEvent> correlatedEvents,
                                         double riskScore) {

        List<Alert> alerts = new ArrayList<>();

        for (AlertRule rule : alertRules) {
            if (evaluateCondition(rule.getCondition(), event, correlatedEvents, riskScore)) {
                Alert alert = Alert.builder()
                    .ruleId(rule.getId())
                    .severity(rule.getSeverity())
                    .title(rule.getName())
                    .description(generateAlertDescription(rule, event))
                    .triggeredAt(Instant.now())
                    .status(AlertStatus.ACTIVE)
                    .build();

                alerts.add(alert);
            }
        }

        return alerts;
    }

    private boolean evaluateCondition(String condition, SecurityEvent event,
                                    List<SecurityEvent> correlatedEvents, double riskScore) {
        // 使用规则引擎评估条件
        // 这里可以集成 Drools 或自定义规则引擎
        return ruleEngine.evaluate(condition, Map.of(
            "event", event,
            "correlatedEvents", correlatedEvents,
            "riskScore", riskScore
        ));
    }

    private void createAlert(Alert alert) {
        alertRepository.save(alert);
        log.warn("生成安全告警: {} - {}", alert.getSeverity(), alert.getTitle());

        // 发送通知
        notificationService.sendAlertNotification(alert);
    }

    private void executeAutomatedResponses(List<Alert> alerts) {
        for (Alert alert : alerts) {
            AlertRule rule = findRuleById(alert.getRuleId());

            for (String action : rule.getActions()) {
                executeAction(action, alert);
            }
        }
    }

    private void executeAction(String action, Alert alert) {
        switch (action) {
            case "block_ip":
                firewallService.blockIp(alert.getEvent().getSourceIp());
                break;
            case "block_user":
                userService.blockUser(alert.getEvent().getUserId());
                break;
            case "require_mfa":
                userService.requireMfa(alert.getEvent().getUserId());
                break;
            case "notify_security_team":
                notificationService.notifySecurityTeam(alert);
                break;
            case "notify_ciso":
                notificationService.notifyCiso(alert);
                break;
            case "initiate_incident_response":
                incidentResponseService.initiateResponse(alert);
                break;
        }
    }

    // 告警升级机制
    @Scheduled(fixedRate = 300000) // 每5分钟检查
    public void escalateAlerts() {
        List<Alert> activeAlerts = alertRepository.findActiveAlerts();

        for (Alert alert : activeAlerts) {
            if (shouldEscalate(alert)) {
                escalateAlert(alert);
            }
        }
    }

    private boolean shouldEscalate(Alert alert) {
        Duration age = Duration.between(alert.getTriggeredAt(), Instant.now());

        // 根据告警级别和持续时间决定是否升级
        return switch (alert.getSeverity()) {
            case LOW -> age.toHours() > 24;
            case MEDIUM -> age.toHours() > 12;
            case HIGH -> age.toHours() > 6;
            case CRITICAL -> age.toMinutes() > 30;
        };
    }

    private void escalateAlert(Alert alert) {
        alert.setSeverity(alert.getSeverity().escalate());
        alertRepository.save(alert);

        log.error("告警升级: {} -> {}", alert.getId(), alert.getSeverity());
        notificationService.sendEscalationNotification(alert);
    }
}

🧪 增强版自测规范（TDD + 测试金字塔）

1. 测试驱动开发规范

🎯 零缺陷TDD三法则 + 测试金字塔

测试金字塔层次（零缺陷标准）：
1. **单元测试** (Unit Tests) - 基础层，90%覆盖率
   - 测试单个方法/类，纯业务逻辑
   - 快速执行，无外部依赖，< 100ms
   - 包含边界条件、异常路径、参数化测试
2. **集成测试** (Integration Tests) - 中间层，75%覆盖率
   - 测试模块间协作，包含数据库、缓存
   - Testcontainers真实环境，< 2s执行时间
   - 验证数据一致性、事务完整性
3. **契约测试** (Contract Tests) - 接口层，95%覆盖率
   - API消费者/提供者契约验证
   - Pact/Spring Cloud Contract自动化验证
   - 防止接口破坏性变更
4. **端到端测试** (E2E Tests) - 顶层，50%覆盖率
   - 完整用户旅程，真实环境部署
   - Playwright/Selenium自动化测试
   - 性能基准验证，用户体验测试
5. **属性测试** (Property-Based Tests) - 数学层，80%覆盖率
   - jqwik/QuickTheories自动化属性验证
   - 边界条件自动生成，发现隐藏bug
   - 状态机测试，验证业务规则不变性

零缺陷TDD开发流程：
1. **Red**：先写失败测试，明确需求规格
2. **Green**：快速实现，让测试通过（不考虑优化）
3. **Refactor**：重构代码，保持测试通过
4. **Quality Gate**：代码审查、静态分析、性能测试
5. **Contract**：编写契约测试，保证接口兼容
6. **Property**：属性测试验证业务规则完整性

🧪 单元测试规范（业务逻辑测试）

// ✅ 增强版单元测试（Given-When-Then模式 + 参数化测试）
@ExtendWith(MockitoExtension.class)
@DisplayName("用户服务单元测试")
class UserServiceTest {

    @Mock
    private UserRepository userRepository;

    @Mock
    private PasswordEncoder passwordEncoder;

    @Mock
    private EventPublisher eventPublisher;

    @InjectMocks
    private UserService userService;

    @Test
    @DisplayName("✅ 成功创建用户 - 正常流程")
    void shouldCreateUserSuccessfully() {
        // Given: 准备测试数据
        CreateUserCommand command = CreateUserCommand.builder()
            .username("testuser")
            .email("test@example.com")
            .password("password123")
            .build();

        User savedUser = User.builder()
            .id(1L)
            .username("testuser")
            .email("test@example.com")
            .password("encoded_password")
            .status(UserStatus.PENDING)
            .build();

        when(userRepository.existsByUsername("testuser")).thenReturn(false);
        when(passwordEncoder.encode("password123")).thenReturn("encoded_password");
        when(userRepository.save(any(User.class))).thenReturn(savedUser);

        // When: 执行被测方法
        UserDTO result = userService.createUser(command);

        // Then: 验证结果
        assertThat(result).isNotNull();
        assertThat(result.getUsername()).isEqualTo("testuser");
        assertThat(result.getEmail()).isEqualTo("test@example.com");

        // 验证交互行为
        verify(userRepository).existsByUsername("testuser");
        verify(passwordEncoder).encode("password123");
        verify(userRepository).save(any(User.class));
        verify(eventPublisher).publishEvent(any(UserCreatedEvent.class));
    }

    @ParameterizedTest
    @NullAndEmptySource
    @ValueSource(strings = {"", " ", "\t", "\n"})
    @DisplayName("❌ 创建用户失败 - 用户名为空或空白")
    void shouldThrowExceptionWhenUsernameIsBlank(String invalidUsername) {
        // Given
        CreateUserCommand command = CreateUserCommand.builder()
            .username(invalidUsername)
            .email("test@example.com")
            .password("password123")
            .build();

        // When & Then
        ConstraintViolationException exception = assertThrows(
            ConstraintViolationException.class,
            () -> userService.createUser(command));

        assertThat(exception.getMessage()).contains("用户名不能为空");
    }

    @Test
    @DisplayName("❌ 创建用户失败 - 用户名已存在")
    void shouldThrowExceptionWhenUsernameExists() {
        // Given
        CreateUserCommand command = CreateUserCommand.builder()
            .username("existing")
            .email("new@example.com")
            .password("password")
            .build();

        when(userRepository.existsByUsername("existing")).thenReturn(true);

        // When & Then
        BusinessException exception = assertThrows(BusinessException.class,
            () -> userService.createUser(command));

        assertThat(exception.getErrorCode()).isEqualTo("USER_USERNAME_EXISTS");
        assertThat(exception.getMessage()).isEqualTo("用户名已存在");

        // 验证没有进行其他操作
        verify(userRepository, never()).save(any(User.class));
        verify(eventPublisher, never()).publishEvent(any());
    }
}

🔄 集成测试规范（端到端流程测试）

// ✅ 增强版集成测试（Testcontainers + 真实依赖）
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@Testcontainers
@DisplayName("用户管理集成测试")
class UserIntegrationTest {

    @Container
    static PostgreSQLContainer<?> postgres = new PostgreSQLContainer<>("postgres:15")
        .withDatabaseName("testdb")
        .withUsername("test")
        .withPassword("test");

    @Container
    static RedisContainer redis = new RedisContainer(
        DockerImageName.parse("redis:7-alpine"))
        .withExposedPorts(6379);

    @Autowired
    private TestRestTemplate restTemplate;

    @Autowired
    private UserRepository userRepository;

    @DynamicPropertySource
    static void configureProperties(DynamicPropertyRegistry registry) {
        registry.add("spring.datasource.url", postgres::getJdbcUrl);
        registry.add("spring.datasource.username", postgres::getUsername);
        registry.add("spring.datasource.password", postgres::getPassword);
        registry.add("spring.redis.host", redis::getHost);
        registry.add("spring.redis.port", redis::getFirstMappedPort);
    }

    @BeforeEach
    void setUp() {
        userRepository.deleteAll();
    }

    @Test
    @DisplayName("✅ 完整用户注册流程 - 数据库 + 缓存 + 事件")
    void shouldCompleteUserRegistrationFlow() {
        // Given: 准备注册请求
        CreateUserRequest request = new CreateUserRequest(
            "integration_test", "integration@example.com", "password123"
        );

        // When: 发送注册请求
        ResponseEntity<UserDTO> response = restTemplate.postForEntity(
            "/api/users", request, UserDTO.class
        );

        // Then: 验证HTTP响应
        assertThat(response.getStatusCode()).isEqualTo(HttpStatus.CREATED);
        assertThat(response.getBody()).isNotNull();
        assertThat(response.getBody().getUsername()).isEqualTo("integration_test");

        // 验证数据库状态
        Optional<User> savedUser = userRepository.findByUsername("integration_test");
        assertThat(savedUser).isPresent();
        assertThat(savedUser.get().getEmail()).isEqualTo("integration@example.com");
        assertThat(savedUser.get().getStatus()).isEqualTo(UserStatus.PENDING);
    }
}

集成测试规范

// ✅ 集成测试规范
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@Testcontainers
class UserControllerIntegrationTest {
    
    @Autowired
    private TestRestTemplate restTemplate;
    
    @Autowired
    private UserRepository userRepository;
    
    @Test
    void shouldCreateUserViaApi() {
        // Given
        CreateUserRequest request = new CreateUserRequest(
            "testuser", "test@example.com", "password123"
        );
        
        // When
        ResponseEntity<UserDTO> response = restTemplate.postForEntity(
            "/api/users", request, UserDTO.class
        );
        
        // Then
        assertThat(response.getStatusCode()).isEqualTo(HttpStatus.OK);
        assertThat(response.getBody()).isNotNull();
        assertThat(response.getBody().getUsername()).isEqualTo("testuser");
        
        // 验证数据库
        assertThat(userRepository.findByUsername("testuser")).isPresent();
    }
}

配置管理规范

1. 应用配置

配置文件规范

# ✅ application.yml 配置规范
spring:
  profiles:
    active: development
    
  datasource:
    url: jdbc:postgresql://localhost:5432/myapp
    username: ${DB_USERNAME:myapp}
    password: ${DB_PASSWORD:myapp}
    hikari:
      maximum-pool-size: 20
      minimum-idle: 5
      connection-timeout: 30000
      
  redis:
    host: ${REDIS_HOST:localhost}
    port: ${REDIS_PORT:6379}
    password: ${REDIS_PASSWORD:}
    timeout: 2000ms
    
  cache:
    caffeine:
      spec: maximumSize=500,expireAfterWrite=10m
      
logging:
  level:
    com.company.project: INFO
    org.springframework.security: DEBUG
  pattern:
    console: "%d{yyyy-MM-dd HH:mm:ss} [%thread] %-5level %logger{36} - %msg%n"

配置类设计

// ✅ 配置类设计
@Configuration
@ConfigurationProperties(prefix = "app")
@Data
public class AppConfig {
    
    private Security security = new Security();
    private Cache cache = new Cache();
    private External external = new External();
    
    @Data
    public static class Security {
        private String jwtSecret = "default-secret";
        private long jwtExpiration = 86400000; // 24小时
        private List<String> allowedOrigins = Arrays.asList("http://localhost:3000");
    }
    
    @Data
    public static class Cache {
        private int userCacheSize = 1000;
        private int userCacheTtlMinutes = 30;
    }
    
    @Data
    public static class External {
        private Api api = new Api();
        
        @Data
        public static class Api {
            private String weatherUrl = "https://api.weather.com";
            private String timeoutSeconds = "30";
        }
    }
}

监控和日志规范

1. 性能监控

性能监控规范

// ✅ 性能监控规范
@Aspect
@Component
@Slf4j
public class PerformanceMonitorAspect {
    
    private final MeterRegistry meterRegistry;
    
    @Around("@annotation(com.company.project.annotation.MonitorPerformance)")
    public Object monitorPerformance(ProceedingJoinPoint joinPoint) throws Throwable {
        String methodName = joinPoint.getSignature().toShortString();
        
        // 创建计时器
        Timer.Sample sample = Timer.start(meterRegistry);
        
        try {
            Object result = joinPoint.proceed();
            
            // 记录成功指标
            sample.stop(Timer.builder("method.execution")
                .tag("method", methodName)
                .tag("status", "success")
                .register(meterRegistry));
                
            return result;
            
        } catch (Exception e) {
            // 记录失败指标
            sample.stop(Timer.builder("method.execution")
                .tag("method", methodName)
                .tag("status", "error")
                .tag("error_type", e.getClass().getSimpleName())
                .register(meterRegistry));
                
            throw e;
        }
    }
}

业务指标监控

// ✅ 业务指标监控
@Service
@Slf4j
public class MetricsService {
    
    private final MeterRegistry meterRegistry;
    private final Counter userRegistrationCounter;
    private final Counter userLoginCounter;
    private final Timer userQueryTimer;
    
    public MetricsService(MeterRegistry meterRegistry) {
        this.meterRegistry = meterRegistry;
        
        // 计数器
        this.userRegistrationCounter = Counter.builder("user.registration.total")
            .description("用户注册总数")
            .register(meterRegistry);
            
        this.userLoginCounter = Counter.builder("user.login.total")
            .description("用户登录总数")
            .register(meterRegistry);
            
        // 计时器
        this.userQueryTimer = Timer.builder("user.query.duration")
            .description("用户查询耗时")
            .register(meterRegistry);
    }
    
    public void recordUserRegistration() {
        userRegistrationCounter.increment();
    }
    
    public void recordUserLogin() {
        userLoginCounter.increment();
    }
    
    public <T> T recordUserQueryDuration(Supplier<T> query) {
        return userQueryTimer.recordCallable(query::get);
    }
}

Cursor使用指南

1. 规则模板配置

导入规则模板

{
  "rules": [
    {
      "name": "java-backend-rules",
      "description": "Java后端开发最佳实践规则模板",
      "patterns": [
        {
          "pattern": "class.*Service.*\\{",
          "replacement": "@Service\n@RequiredArgsConstructor\n@Slf4j\npublic class $1Service {\n\n    // 业务逻辑实现\n    \n}"
        }
      ]
    }
  ]
}

自定义提示词

# Java后端开发提示词模板

## 基本要求
- 使用Spring Boot 3.x框架
- 遵循DDD领域驱动设计
- 采用防御式编程
- 使用Lombok简化代码
- 应用服务和领域服务分离

## 代码规范
- 所有类使用Lombok注解
- 异常处理使用全局异常处理器
- 数据传输使用DTO和MapStruct
- 缓存策略使用多级缓存
- 性能监控使用Micrometer

## 架构要求
- 严格按照DDD分层架构
- 应用服务处理业务流程
- 领域服务处理业务逻辑
- 基础设施层处理技术实现
- 接口层处理外部交互

2. 最佳实践建议

代码生成优化

首选DDD模式：生成代码时优先考虑领域驱动设计
自动添加注解：生成实体类时自动添加Lombok注解
防御式编程：生成方法时自动添加参数校验
性能监控：关键方法自动添加性能监控注解
异常处理：生成代码时包含完整的异常处理

架构一致性

分层清晰：确保生成的代码符合DDD分层架构
命名规范：使用统一的命名规范
代码复用：优先使用现有的工具类和通用组件
配置管理：使用统一的配置管理方式

3. 零缺陷开发工作流

🔄 TDD + 代码审查工作流

## 零缺陷开发工作流

### 第一阶段：需求分析与设计
1. **需求澄清**：与产品经理确认需求细节
2. **领域建模**：识别领域实体和业务规则
3. **接口设计**：定义API接口和数据结构
4. **测试计划**：编写测试计划和验收标准

### 第二阶段：测试驱动开发
1. **编写测试**：先写测试用例（Red）
2. **实现代码**：让测试通过（Green）
3. **代码重构**：优化代码结构（Refactor）
4. **代码审查**：同行评审代码质量

### 第三阶段：质量保障
1. **静态分析**：SonarQube代码质量检查
2. **安全扫描**：安全漏洞检测
3. **性能测试**：性能基准测试
4. **集成测试**：端到端流程测试

### 第四阶段：持续集成
1. **自动化构建**：CI/CD流水线
2. **自动化测试**：测试执行和覆盖率检查
3. **质量门禁**：代码质量门禁检查
4. **部署上线**：自动化部署到生产环境

🔍 代码审查规范（零缺陷保障体系）

1. 自动化代码审查清单

🛡️ 静态代码分析规则

SonarQube/SpotBugs/Checkstyle自动检查项：

1. **代码质量检查**
   - [ ] 圈复杂度 <= 10
   - [ ] 方法长度 <= 30行
   - [ ] 类长度 <= 300行
   - [ ] 参数数量 <= 7个
   - [ ] 重复代码率 <= 3%

2. **安全漏洞检查**
   - [ ] SQL注入防护
   - [ ] XSS防护
   - [ ] CSRF防护
   - [ ] 敏感信息泄露
   - [ ] 权限绕过检查

3. **性能问题检查**
   - [ ] N+1查询问题
   - [ ] 内存泄漏风险
   - [ ] 死锁风险
   - [ ] 性能反模式
   - [ ] 资源未释放

📋 人工代码审查清单

### 第一轮：功能正确性
- [ ] **业务逻辑**：实现是否符合需求规格
- [ ] **边界条件**：异常输入处理是否完整
- [ ] **并发安全**：多线程访问是否安全
- [ ] **事务一致性**：数据一致性保证
- [ ] **错误处理**：异常场景覆盖是否完整

### 第二轮：代码质量
- [ ] **命名规范**：变量、方法、类命名是否准确
- [ ] **代码结构**：职责分离是否清晰
- [ ] **设计模式**：是否使用了合适的设计模式
- [ ] **SOLID原则**：是否违反了设计原则
- [ ] **代码复用**：是否有重复代码需要抽取

### 第三轮：性能与安全
- [ ] **性能瓶颈**：是否有明显的性能问题
- [ ] **安全漏洞**：是否存在安全风险
- [ ] **资源管理**：资源使用和释放是否正确
- [ ] **可扩展性**：代码是否易于扩展
- [ ] **可维护性**：代码是否易于维护

2. 方法抽取策略（重构驱动开发）

🎯 复杂方法识别标准

方法需要抽取的信号：
1. **方法长度 > 30行**
2. **参数数量 > 7个**
3. **圈复杂度 > 10**
4. **职责不单一**（做多件事）
5. **重复代码**（在多处出现）
6. **难以理解**（逻辑复杂）
7. **难以测试**（依赖过多）
8. **难以复用**（耦合度高）

🔧 方法抽取最佳实践

// ❌ 重构前：复杂方法（违反单一职责）
public UserDTO createUser(CreateUserCommand command) {
    // 参数校验 + 业务逻辑 + 数据保存 + 邮件发送 + 事件发布
    // 总共50+行代码，做了太多事情
}

// ✅ 重构后：职责分离 + 方法抽取
@Service
@RequiredArgsConstructor
public class UserAppService {

    @Transactional
    public UserDTO createUser(CreateUserCommand command) {
        // 1. 参数校验（抽取为独立方法）
        validateCreateUserCommand(command);

        // 2. 业务逻辑处理（委托给领域服务）
        User user = userDomainService.createUser(
            command.getUsername(),
            command.getEmail(),
            command.getPassword()
        );

        // 3. 保存到数据库
        User savedUser = userRepository.save(user);

        // 4. 发送欢迎邮件（抽取为独立方法）
        sendWelcomeEmail(savedUser);

        // 5. 返回结果
        return userMapper.toDTO(savedUser);
    }

    // 🔧 方法抽取：参数校验
    private void validateCreateUserCommand(CreateUserCommand command) {
        // 使用Bean Validation + 自定义校验
    }

    // 🔧 方法抽取：发送欢迎邮件
    private void sendWelcomeEmail(User user) {
        // 邮件发送逻辑，包含异常处理
    }
}

🛠️ CI/CD集成规范（自动化质量门）

1. 流水线质量门配置

🔄 GitHub Actions零缺陷质量流水线

name: Zero Defect Quality Gate

on: [push, pull_request]

env:
  GRADLE_OPTS: -Dorg.gradle.daemon=false

jobs:
  # 1️⃣ 代码质量验证
  validate:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Setup JDK 21
        uses: actions/setup-java@v4
        with:
          java-version: '21'
          distribution: 'temurin'
          cache: gradle

      - name: Code Compilation
        run: ./gradlew compileJava compileTestJava --no-daemon

      - name: Static Analysis
        run: |
          ./gradlew checkstyleMain checkstyleTest --no-daemon
          ./gradlew spotbugsMain --no-daemon
          ./gradlew pmdMain --no-daemon

      - name: Upload Checkstyle Report
        uses: actions/upload-artifact@v4
        with:
          name: checkstyle-report
          path: build/reports/checkstyle/

  # 2️⃣ 单元测试
  unit-test:
    runs-on: ubuntu-latest
    services:
      postgres:
        image: postgres:15
        env:
          POSTGRES_DB: testdb
          POSTGRES_USER: test
          POSTGRES_PASSWORD: test
        options: >-
          --health-cmd pg_isready
          --health-interval 10s
          --health-timeout 5s
          --health-retries 5
      redis:
        image: redis:7-alpine
        options: >-
          --health-cmd "redis-cli ping"
          --health-interval 10s
          --health-timeout 5s
          --health-retries 5

    steps:
      - uses: actions/checkout@v4

      - name: Setup JDK 21
        uses: actions/setup-java@v4
        with:
          java-version: '21'
          distribution: 'temurin'
          cache: gradle

      - name: Run Unit Tests
        run: ./gradlew test jacocoTestReport --no-daemon

      - name: Upload Test Results
        uses: actions/upload-artifact@v4
        with:
          name: test-results
          path: build/test-results/

      - name: Upload Coverage Report
        uses: actions/upload-artifact@v4
        with:
          name: coverage-report
          path: build/reports/jacoco/

  # 3️⃣ 集成测试
  integration-test:
    runs-on: ubuntu-latest
    services:
      postgres:
        image: postgres:15
        env:
          POSTGRES_DB: testdb
          POSTGRES_USER: test
          POSTGRES_PASSWORD: test
      redis:
        image: redis:7-alpine
      rabbitmq:
        image: rabbitmq:3-management-alpine
        env:
          RABBITMQ_DEFAULT_USER: admin
          RABBITMQ_DEFAULT_PASS: admin

    steps:
      - uses: actions/checkout@v4

      - name: Setup JDK 21
        uses: actions/setup-java@v4
        with:
          java-version: '21'
          distribution: 'temurin'
          cache: gradle

      - name: Run Integration Tests
        run: ./gradlew integrationTest --no-daemon

      - name: Upload Integration Test Results
        uses: actions/upload-artifact@v4
        with:
          name: integration-test-results
          path: build/test-results/integrationTest/

  # 4️⃣ 性能测试
  performance-test:
    runs-on: ubuntu-latest
    services:
      postgres:
        image: postgres:15
        env:
          POSTGRES_DB: testdb
          POSTGRES_USER: test
          POSTGRES_PASSWORD: test
      redis:
        image: redis:7-alpine

    steps:
      - uses: actions/checkout@v4

      - name: Setup JDK 21
        uses: actions/setup-java@v4
        with:
          java-version: '21'
          distribution: 'temurin'
          cache: gradle

      - name: Run Performance Tests
        run: |
          ./gradlew gatlingRun --no-daemon
          ./gradlew jmeterRun --no-daemon

      - name: Upload Performance Reports
        uses: actions/upload-artifact@v4
        with:
          name: performance-reports
          path: |
            build/reports/gatling/
            build/reports/jmeter/

  # 5️⃣ 安全扫描
  security-scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Setup JDK 21
        uses: actions/setup-java@v4
        with:
          java-version: '21'
          distribution: 'temurin'
          cache: gradle

      - name: Dependency Vulnerability Scan
        run: ./gradlew dependencyCheckAnalyze --no-daemon

      - name: Upload Security Report
        uses: actions/upload-artifact@v4
        with:
          name: security-report
          path: build/reports/dependency-check-report.html

  # 6️⃣ 代码质量分析
  quality-analysis:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: SonarQube Scan
        run: ./gradlew sonar --no-daemon
        env:
          SONAR_HOST_URL: ${{ secrets.SONAR_HOST_URL }}
          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}

  # 7️⃣ 零缺陷质量门禁
  quality-gate:
    runs-on: ubuntu-latest
    needs: [validate, unit-test, integration-test, performance-test, security-scan, quality-analysis]
    steps:
      - uses: actions/checkout@v4

      - name: Download Coverage Report
        uses: actions/download-artifact@v4
        with:
          name: coverage-report

      - name: Quality Gate Check
        run: |
          echo "🔍 执行零缺陷质量门禁检查..."

          # 1. 测试覆盖率检查 (>= 95%)
          if [ -f "jacocoTestReport.xml" ]; then
            COVERAGE=$(xmllint --xpath "//coverage/@line-rate" jacocoTestReport.xml | cut -d'"' -f2)
            COVERAGE_PERCENT=$(echo "scale=2; $COVERAGE * 100" | bc)
            echo "📊 测试覆盖率: ${COVERAGE_PERCENT}%"

            if (( $(echo "$COVERAGE < 0.95" | bc -l) )); then
              echo "❌ 测试覆盖率不足: ${COVERAGE_PERCENT}% (要求 >= 95%)"
              exit 1
            fi
          else
            echo "❌ 未找到覆盖率报告文件"
            exit 1
          fi

          # 2. 性能基准检查
          if [ -d "performance-reports" ]; then
            echo "✅ 性能测试报告已生成"
          else
            echo "❌ 性能测试报告缺失"
            exit 1
          fi

          # 3. 安全漏洞检查
          if [ -f "security-report/dependency-check-report.html" ]; then
            CRITICAL_VULN=$(grep -c "CRITICAL" security-report/dependency-check-report.html || echo "0")
            HIGH_VULN=$(grep -c "HIGH" security-report/dependency-check-report.html || echo "0")

            if [ "$CRITICAL_VULN" -gt 0 ] || [ "$HIGH_VULN" -gt 0 ]; then
              echo "❌ 发现安全漏洞 - 严重: $CRITICAL_VULN, 高危: $HIGH_VULN"
              exit 1
            fi
          fi

          echo "🎉 零缺陷质量门禁检查通过！"
          echo "✅ 所有质量指标均达到要求"

2. 自动化代码审查集成

🤖 AI辅助代码审查

@Component
@Slf4j
public class AICodeReviewAssistant {

    public CodeReviewResult reviewPullRequest(String prId) {
        // 1. 获取变更的文件
        List<String> changedFiles = gitService.getChangedFiles(prId);

        // 2. 分析代码变更
        List<CodeAnalysis> analyses = changedFiles.stream()
            .map(file -> analyzeCodeChange(file, gitService.getFileDiff(prId, file)))
            .collect(Collectors.toList());

        // 3. 生成审查意见
        return generateReviewComments(analyses);
    }

    private CodeAnalysis analyzeCodeChange(String fileName, String diff) {
        // 使用AI分析代码变更质量
        String prompt = buildAnalysisPrompt(fileName, diff);
        String analysisResult = openAiService.chat(prompt);
        return parseAnalysisResult(analysisResult);
    }
}

📚 增强版Cursor使用指南

1. 零缺陷规则模板配置

🎯 高级规则模板（增强版）

{
  "rules": [
    {
      "name": "java-zero-defect-rules",
      "description": "Java零缺陷开发规则模板",
      "patterns": [
        {
          "pattern": "public.*\\{",
          "replacement": "/**\n * $1\n *\n * @author AI Assistant\n * @since $CURRENT_DATE\n */\npublic $1 {\n    // 🛡️ 参数校验\n    validateParameters($PARAMS);\n    \n    // 📊 性能监控开始\n    Stopwatch stopwatch = Stopwatch.createStarted();\n    \n    try {\n        // 🎯 核心业务逻辑\n        $BUSINESS_LOGIC\n        \n        // ✅ 返回结果\n        return $RESULT;\n    } finally {\n        // 📈 性能监控结束\n        logPerformance(stopwatch);\n    }\n}",
          "description": "自动生成带校验和监控的完整方法模板"
        },
        {
          "pattern": "if.*null",
          "replacement": "// 🛡️ 防御式编程：空值检查\nif ($CONDITION) {\n    throw new IllegalArgumentException(\"$PARAM 不能为空\");\n}",
          "description": "自动添加空值校验"
        },
        {
          "pattern": "for.*:",
          "replacement": "// ⚡ 性能优化：使用并行流\n$COLLECTION.parallelStream()\n    .filter($FILTER)\n    .map($MAPPER)\n    .$TERMINAL_OPERATION",
          "description": "自动转换为并行流处理"
        }
      ],
      "qualityGates": {
        "testCoverage": 85,
        "complexity": 10,
        "duplication": 3,
        "security": "high"
      }
    }
  ]
}

🤖 AI提示词模板（零缺陷版）

# 零缺陷Java后端开发提示词

## 🎯 核心目标
生成零缺陷、可直接上线的生产代码，符合企业级质量标准。

## 🛡️ 质量保障清单
- [x] **防御式编程**：全方位参数校验和异常处理
- [x] **测试驱动**：每个方法都有对应的单元测试
- [x] **性能监控**：关键路径100%性能监控覆盖
- [x] **并发安全**：多线程环境下的数据一致性
- [x] **文档完整**：自动生成完整的技术文档

## 📋 代码审查标准
### 功能正确性 ✅
- [x] 业务逻辑实现完整准确
- [x] 边界条件处理完善
- [x] 异常场景覆盖全面
- [x] 事务一致性保证

### 代码质量 ✅
- [x] 命名规范准确清晰
- [x] 代码结构职责单一
- [x] 设计模式应用恰当
- [x] 代码复用性良好

### 性能与安全 ✅
- [x] 性能瓶颈识别处理
- [x] 安全漏洞全面防护
- [x] 资源管理正确无泄漏
- [x] 可扩展性设计良好

## 🔧 自动代码生成规则

### 方法模板
```java
/**
 * $METHOD_DESCRIPTION
 *
 * @param $PARAMS 参数说明
 * @return 返回值说明
 * @throws $EXCEPTIONS 异常说明
 * @author AI Assistant
 * @since $CURRENT_DATE
 */
public $RETURN_TYPE $METHOD_NAME($PARAMETERS) {
    // 🛡️ 参数校验
    validateParameters($PARAMETERS);
    
    // 📊 性能监控
    Stopwatch stopwatch = Stopwatch.createStarted();
    
    try {
        // 🎯 核心业务逻辑
        $BUSINESS_LOGIC
        
        // ✅ 返回结果
        return $RESULT;
    } catch (Exception e) {
        // 🚨 异常处理
        log.error("$METHOD_NAME 执行失败", e);
        throw new BusinessException("$ERROR_MESSAGE", e);
    } finally {
        // 📈 性能统计
        stopwatch.stop();
        logPerformance("$METHOD_NAME", stopwatch.elapsed());
    }
}

测试模板

@ExtendWith(MockitoExtension.class)
@DisplayName("$CLASS_NAME 单元测试")
class $CLASS_NAME_TEST {

    @Test
    @DisplayName("✅ $METHOD_NAME - 正常流程")
    void should$METHOD_NAME$SCENARIO() {
        // Given
        $GIVEN_SETUP

        // When
        $RESULT = $INSTANCE.$METHOD_NAME($PARAMETERS);

        // Then
        $ASSERTIONS

        // Verify
        $VERIFICATIONS
    }

    @Test
    @DisplayName("❌ $METHOD_NAME - 异常场景")
    void shouldThrowExceptionWhen$SCENARIO() {
        // Given
        $GIVEN_EXCEPTION_SETUP

        // When & Then
        assertThrows($EXCEPTION_TYPE.class, () -> {
            $INSTANCE.$METHOD_NAME($PARAMETERS);
        });
    }
}

📊 质量指标监控

自动化指标收集

测试覆盖率：>= 85%
代码重复率：<= 3%
圈复杂度：<= 10
安全漏洞：0个高危
性能基准：满足SLA要求

持续改进机制

代码审查反馈：收集审查意见改进模板
性能监控数据：基于监控数据优化代码
用户反馈：收集使用反馈持续改进
技术演进：跟进行业最佳实践更新模板

🎯 零缺陷开发工作流

第一阶段：需求分析与设计

需求澄清：与产品经理确认需求细节
领域建模：识别领域实体和业务规则
接口设计：定义API接口和数据结构
测试计划：编写测试计划和验收标准

第二阶段：测试驱动开发

编写测试：先写测试用例（Red）
实现代码：让测试通过（Green）
代码重构：优化代码结构（Refactor）
代码审查：同行评审代码质量

第三阶段：质量保障

静态分析：SonarQube代码质量检查
安全扫描：安全漏洞检测
性能测试：性能基准测试
集成测试：端到端流程测试

第四阶段：持续集成

自动化构建：CI/CD流水线
自动化测试：测试执行和覆盖率检查
质量门禁：代码质量门禁检查
部署上线：自动化部署到生产环境

总结

这套增强版Cursor后端开发规则模板从根本上重构了Java后端代码生成的质量保障体系：

🏆 核心价值（增强版）

🎯 零缺陷质量保障

自测驱动：TDD最佳实践，测试先行开发
代码审查：自动化+人工双重审查机制
方法抽取：复杂逻辑自动识别和重构
防御式编程：全方位参数校验和异常处理
性能监控：关键路径100%性能监控覆盖

📊 质量指标体系

测试覆盖率：>= 85%（单元测试+集成测试+端到端测试）
代码重复率：<= 3%（自动化代码复用检测）
圈复杂度：<= 10（可维护性保障）
安全漏洞：0个高危（自动化安全扫描）
性能基准：满足SLA要求（自动化性能测试）

🔧 自动化工具链

SonarQube：静态代码质量分析
SpotBugs：字节码级别漏洞检测
PMD/CPD：代码规范和重复检测
Checkstyle：编码风格检查
JaCoCo：测试覆盖率统计

📚 适用场景（企业级）

🏢 企业级应用开发

金融系统：高安全性、高并发要求的金融应用
电商平台：大数据量、高并发的电商系统
医疗系统：高可靠性的医疗信息系统
物联网平台：海量设备连接的IoT应用

🏗️ 架构复杂场景

微服务架构：服务拆分和治理
分布式系统：数据一致性和容错处理
高并发系统：性能优化和资源管理
大数据应用：数据处理和存储优化

🚀 使用指南（最佳实践）

📋 实施步骤

团队培训：全员掌握规则模板和质量标准
工具配置：集成CI/CD流水线和自动化检查
模板定制：根据项目特点定制规则模板
持续监控：建立质量指标监控和改进机制

🎪 持续改进机制

代码审查反馈：收集审查意见优化规则模板
质量数据分析：基于监控数据改进代码质量
技术演进同步：跟进行业最佳实践更新模板
团队经验积累：建立内部最佳实践知识库

🎊 技术影响力

👥 对开发团队的影响

效率提升300%：减少bug修复时间，提高开发速度
质量保障100%：零缺陷代码生成，生产环境稳定性
学习曲线优化：新成员快速上手，降低培训成本
技术债务清零：从源头杜绝技术债务积累

🏭 对企业的价值

生产力倍增：AI辅助编程大幅提升团队产能
风险控制：质量门禁杜绝生产环境故障
成本优化：减少bug修复和维护成本
创新加速：高质量代码基础加速业务创新

💡 核心理念

“零缺陷不是梦想，而是标准化的必然结果”

通过这套增强版规则模板，Cursor不再只是代码生成工具，而是：

🛡️ 质量守卫者：从源头保障代码质量
🚀 效率加速器：大幅提升开发效率
📚 知识传承者：标准化最佳实践传承
🎯 目标指引者：明确质量目标和改进方向

从今天开始，让每行代码都经过严格的质量检验，让每个功能都具备生产就绪的质量标准！ 🌟

🚀 零缺陷开发，从Cursor规则模板开始！

文章作者: Foam🍅

文章链接: https://foamtomato.github.io/2025/05/25/0.6.22-Cursor%E5%90%8E%E7%AB%AF%E5%BC%80%E5%8F%91%E8%A7%84%E5%88%99%E6%A8%A1%E6%9D%BF%EF%BC%9AJava%E4%BC%81%E4%B8%9A%E7%BA%A7%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5%E6%8C%87%E5%8D%97/

Java 最佳实践性能优化 Cursor 代码质量代码规范后端开发 DDD 企业级开发架构设计自测规范代码审查方法抽取防御式编程并发安全