支撐子域是為了項(xiàng)目成功必須要處理的問(wèn)題，但由于沒有現(xiàn)成、成熟的解決方案，必須要定制，費(fèi)時(shí)費(fèi)力。

如果能恰當(dāng)?shù)刈R(shí)別支撐子域的邊界，形成"可復(fù)用"的"解決方案"，就可以將其從支撐子域簡(jiǎn)化為通用子域，降低成本和風(fēng)險(xiǎn) 。

[[266460]]

不就是個(gè)短信驗(yàn)證嘛，有這么復(fù)雜嗎?

前幾天安全專家馬偉發(fā)布了《不就是個(gè)短信登錄API嘛，有這么復(fù)雜嗎?》，文章從“新增手機(jī)號(hào)和短信驗(yàn)證碼登錄”簡(jiǎn)單的一句話需求最終演變?yōu)楣适驴?274。

作為用戶，我可以通過(guò)手機(jī)號(hào)和短信驗(yàn)證碼登錄，以便于我更方便的登錄。

安全驗(yàn)收標(biāo)準(zhǔn)：

• 短信驗(yàn)證碼有效期2分鐘
• 驗(yàn)證碼為6位純數(shù)字
• 每個(gè)手機(jī)號(hào)60秒內(nèi)只能發(fā)送一次短信驗(yàn)證碼，且這一規(guī)則的校驗(yàn)必須在服務(wù)器端執(zhí)行
• 同一個(gè)手機(jī)號(hào)在同一時(shí)間內(nèi)可以有多個(gè)有效的短信驗(yàn)證碼
• 保存于服務(wù)器端的驗(yàn)證碼，至多可被使用3次(無(wú)論和請(qǐng)求中的驗(yàn)證碼是否匹配)，隨后立即作廢，以防止暴力攻擊
• 短信驗(yàn)證碼不可直接記錄到日志文件
• 發(fā)送短信驗(yàn)證碼之前，先驗(yàn)證圖形驗(yàn)證碼是否正確(可選)
• 集成第三方API做登錄保護(hù)(可選)

實(shí)際上，根據(jù)我的經(jīng)驗(yàn)，還可以再加一些驗(yàn)收條件

• 應(yīng)該可以通過(guò)配置白名單的方式，只向特定手機(jī)號(hào)碼發(fā)送驗(yàn)證碼，以免在非生產(chǎn)環(huán)境測(cè)試時(shí)發(fā)生打擾真實(shí)用戶的事故
• 應(yīng)該可以通過(guò)配置By Pass的方式，在特定環(huán)境禁用短信驗(yàn)證碼發(fā)送，并總是驗(yàn)證通過(guò)，以便在非生產(chǎn)環(huán)境節(jié)約短信配額

一個(gè)小小的需求可以衍生出如此之多的驗(yàn)收條件，而且其中不少是非功能性的(不容易識(shí)別的、不容易實(shí)現(xiàn)的)，以至于有同學(xué)感嘆：

運(yùn)用子域進(jìn)行戰(zhàn)略設(shè)計(jì)

那么短信驗(yàn)證是否能成為"整套解決方案"呢，我們可以使用領(lǐng)域驅(qū)動(dòng)設(shè)計(jì)中子域分類的框架來(lái)分析：

可以發(fā)現(xiàn)：

• 核心子域是沒有必要或者說(shuō)不應(yīng)該嘗試開發(fā)“可復(fù)用”的"整套解決方案"的，因?yàn)?quot;可復(fù)用“、”整套解決方案“意味著高度的標(biāo)準(zhǔn)化，也就意味著可以以較低成本復(fù)制，就不可能成為核心競(jìng)爭(zhēng)力。
• 通用子域應(yīng)該采用，而且往往也能找到“可復(fù)用”的"整套解決方案"，以便降低成本和風(fēng)險(xiǎn)。
• 支撐子域則顯得很"雞肋"，由于沒有現(xiàn)成、成熟的解決方案，必須定制，但它又不是項(xiàng)目的核心價(jià)值。因此，如果能恰當(dāng)?shù)刈R(shí)別支撐子域的邊界，形成"可復(fù)用"的"解決方案"，就可以將其從支撐子域簡(jiǎn)化為通用子域，進(jìn)一步降低成本和風(fēng)險(xiǎn)。

我認(rèn)為短信驗(yàn)證就是一個(gè)好例子，短信驗(yàn)證自身沒有獨(dú)立的價(jià)值，但沒有它，某些重要的功能會(huì)缺乏保護(hù)。但目前只能找到發(fā)送短信的SDK，而缺乏對(duì)于"發(fā)送-驗(yàn)證"這個(gè)相對(duì)標(biāo)準(zhǔn)化的問(wèn)題域的支持。

解決方案的形態(tài)是什么樣的

在微服務(wù)的大潮下，如果想要復(fù)用短信驗(yàn)證的能力，最先想到的是開發(fā)一個(gè)短信驗(yàn)證服務(wù)，開放API給Consumer驗(yàn)證手機(jī)號(hào)碼或是短信登錄，名字我都想好了，叫sms-otp(OPT為one time password縮寫)。

(sms-otp 服務(wù))

如果我是甲方IT部門，可能就這么做了，找到一個(gè)軟件集成商實(shí)現(xiàn)sms-otp就行了。

作為數(shù)字化轉(zhuǎn)型服務(wù)廠商，ThoughtWorks的想法會(huì)再進(jìn)一步，是否還有更通用的方法?

ThoughtWorks可能需要為很多客戶交付短信驗(yàn)證服務(wù)，并且出于專業(yè)要求，我們并不會(huì)把為A客戶定制的代碼復(fù)制到B家使用，這時(shí)候一個(gè)開箱即用的微服務(wù)是最佳選擇嗎?

如果還有其他的“通用”需求呢?例如支付寶支付、微信登錄呢，微服務(wù)的數(shù)量就開始膨脹了。在一些項(xiàng)目中，部分客戶的IT基礎(chǔ)設(shè)施比較滯后，這類項(xiàng)目未必適合以微服務(wù)啟動(dòng)。那有沒有更靈活的方案，既可以在單體應(yīng)用中開箱即用，又可以按需擴(kuò)展為獨(dú)立服務(wù)呢?

如果存在不確定性，不妨做個(gè)MVP

提到開箱即用，近幾年在Java業(yè)界最火的就是Spring Boot了，Auto Configuration大大提高了新應(yīng)用搭建的速度，在需要定制時(shí)又不失靈活性。我覺得這是把好錘子，來(lái)敲兩下看看是不是找對(duì)了釘子?

我們針對(duì)短信驗(yàn)證推出了自定義的 Spring Boot Starter，大名。

通過(guò)starter，既可以將解決方案"嵌入"單體應(yīng)用，也可以快速啟動(dòng)新的微服務(wù)。

以下是一個(gè)簡(jiǎn)單的接入示例，為項(xiàng)目添加Starter：

compile group: "com.github.hippoom:sms-verification-starter:${latestVersion}" 
# 如果需要使用開箱即用的Redis驗(yàn)證碼存儲(chǔ) 
compile "org.springframework.data:spring-data-redis:2.1.2.RELEASE" 
# 如果需要使用開箱即用的Aliyun短信服務(wù) 
compile("com.aliyun:aliyun-java-sdk-core:4.0.6") 
compile("com.aliyun:aliyun-java-sdk-dysmsapi:1.1.0") 

為應(yīng)用注入配置項(xiàng)：

# application-{profile}.properties 
# 如果使用開箱即用的Aliyun短信服務(wù) 
daming.sms.provider=aliyun 
daming.aliyun.accessKeyId={your key id} 
daming.aliyun.accessKeySecret={your key secret} 
daming.aliyun.sms.signature={your text} # 阿里云短信服務(wù)的簽名，可以在控制臺(tái)找到，如是中文，請(qǐng)轉(zhuǎn)為Unicode 
daming.aliyun.sms.templateCode={your code} #阿里云短信服務(wù)的模板Code，可以在控制臺(tái)找到 
 
# 設(shè)置私鑰地址，此私鑰會(huì)用來(lái)簽名被驗(yàn)證過(guò)的手機(jī)號(hào)碼 
daming.jwt.privateKeyFileLocation=/home/your-app/sms-verification-private.der 

啟動(dòng)應(yīng)用，并請(qǐng)求驗(yàn)證碼：

>curl -H 'Content-Type: 
 application/json' 
-XPOST ${host}:${port}/api/sms/verification/code 
-d '{"mobile": "${your mobile}"}' 

在收到驗(yàn)證短信后，嘗試驗(yàn)證：

>curl -H 'Content-Type: application/json' -XDELETE ${host}:${port}/api/sms/verification/code -d '{"mobile": "${your mobile}","code":"${the code}"}' 
{"token":"{a very long string}"}% 

在Response中可以得到一個(gè)JWT，前端應(yīng)用將該JWT提交給Consumer應(yīng)用，Consumer應(yīng)用使用私鑰對(duì)應(yīng)的公鑰即可驗(yàn)證該手機(jī)號(hào)碼實(shí)現(xiàn)業(yè)務(wù)目標(biāo)(如登錄或保存驗(yàn)證過(guò)的手機(jī)號(hào)碼)。

一些自問(wèn)自答

如果是Starter的話，如何靈活定制呢?

既然這些Starter都是解決支撐/通用子域的問(wèn)題，那么其領(lǐng)域規(guī)則、業(yè)務(wù)流程是比較固定、不易變化的。需要靈活定制的部分其實(shí)是技術(shù)實(shí)現(xiàn)，使用端口和適配器架構(gòu)可以將這兩部分隔離開，使用適配器擴(kuò)展/變更技術(shù)解決方案。舉個(gè)例子：

大名的端口和適配器架構(gòu)

各個(gè)出口端口(右側(cè)橙色板塊的Port)作為擴(kuò)展點(diǎn)，定制的Driven Adapter通過(guò)Spring注入。

為什么要綁定技術(shù)棧?非Java技術(shù)棧怎么辦?

可以使用該Starter快速搭建一個(gè)微服務(wù)。。。

有沒有前端的開箱即用方案 ?

還沒有，我不是前端專家，但我猜測(cè)前端的開箱即用方案可以做成類似于 Ant Design 或 Element UI 但更專用的組件?

總結(jié)

• 支撐子域是為了項(xiàng)目成功必須要處理的問(wèn)題，但由于沒有現(xiàn)成、成熟的解決方案，它必須定制，費(fèi)時(shí)費(fèi)力
• 如果能恰當(dāng)?shù)刈R(shí)別支撐子域的邊界，形成"可復(fù)用"的"解決方案"，就可以將其從支撐子域簡(jiǎn)化為通用子域，降低成本和風(fēng)險(xiǎn)
• 短信驗(yàn)證是從支撐子域簡(jiǎn)化為通用子域的好例子，Project Daming(中文為大名)，是我們推出的短信驗(yàn)證的解決方案，它的目標(biāo)是將短信驗(yàn)證從支撐域簡(jiǎn)化為通用域，它以自定義的 spring boot starter出現(xiàn)，可以幫助團(tuán)隊(duì)在單體應(yīng)用中快速嵌入短信驗(yàn)證功能，也可以快速啟動(dòng)一個(gè)短信驗(yàn)證的微服務(wù)