最近在辅导学弟学妹做毕业设计时发现很多JavaWeb项目都存在“看起来功能齐全但代码一塌糊涂”的问题。要么是用户密码明文存储要么是下单逻辑能重复提交数据库连接也是用完不关。恰好我之前做过一个二手无人机交易系统的项目从需求到上线走了一遍感觉这个案例挺有代表性今天就来复盘一下希望能给正在为毕设发愁的同学提供一个清晰的、可落地的实战参考。1. 背景与常见痛点分析毕业设计不是简单的功能堆砌但很多同学容易陷入几个误区业务逻辑“纸糊的”比如用户登录只在页面用JavaScript判断一下用户名密码非空后端Controller直接就把用户信息存Session了根本没有查数据库验证。又比如下单前端点了按钮后端收到请求就直接insert一条订单记录库存也不扣支付状态也不管。安全漏洞百出这可能是重灾区。我见过直接把用户密码用MD5加密一下就存数据库的现在MD5早已不安全更可怕的是SQL拼接比如搜索商品时SELECT * FROM product WHERE name LIKE % keyword %这就是典型的SQL注入漏洞。XSS过滤、CSRF防护基本没有。代码毫无架构和规范一个Servlet里处理七八个不同的请求代码几百行数据库连接在JSP里直接写死实体类、控制器、业务逻辑全部混在一起。这样的代码别说扩展维护自己过两周再看都看不懂。不考虑并发和异常比如“秒杀”场景下的超卖问题两个人同时买最后一个无人机系统可能判断库存都大于0于是生成两个订单。还有网络异常导致的事务不一致问题经常被忽略。我们这个二手无人机交易系统就是要正面解决这些问题做一个“麻雀虽小五脏俱全”的规范项目。2. 技术选型为什么是Spring Boot MyBatis Thymeleaf选型直接决定了开发效率和项目质量。下面是我的思考后端框架Spring Boot vs 传统SSM传统SSMSpringSpringMVCMyBatis需要大量XML配置如web.xml,spring-mvc.xml,spring-mybatis.xml依赖冲突让人头疼搭建环境就得半天对新手极不友好。Spring Boot核心优势是“约定大于配置”和自动装配。它内嵌了Tomcat一个main方法就能启动Web服务。通过starter依赖如spring-boot-starter-web,spring-boot-starter-data-mybatis一键引入所需功能几乎零配置。对于毕设这种追求快速成型、规范统一的项目Spring Boot是首选。它能让你更专注于业务逻辑而不是繁琐的配置。持久层MyBatis相比Hibernate的全自动ORMMyBatis是半自动的需要自己写SQL。这对于需要复杂查询如多条件搜索无人机、优化SQL性能的场景更灵活。而且它能很好地防止SQL注入正确使用前提下。前端模板引擎Thymeleaf vs JSPJSP需要依赖特定的Servlet容器编译成Servlet性能虽好但语法复杂容易在页面里写Java代码破坏前后端分离思想。Thymeleaf是Spring官方推荐的自然模板引擎。它的语法更接近HTML直接在浏览器中打开也能正常显示静态原型利于前后端协作。它与Spring Boot的集成度极高功能强大适合毕设这种全栈项目。最终技术栈Spring Boot 2.x MyBatis Thymeleaf MySQL Maven。轻量、高效、易上手。3. 核心模块实现详解3.1 用户登录态管理Session与Cookie的协同用户登录后需要维持其登录状态。单纯用Session的话用户关闭浏览器就失效了。我们的策略是Session为主Cookie为辅。登录流程用户提交账号密码后后端Service层进行校验包括密码加盐哈希比对。成功后生成一个唯一的token可以用UUID将userId和token的对应关系存入Redis或数据库我们项目用数据库模拟了Session存储。同时将这个token设置到Cookie中返回给浏览器。状态校验我们编写一个Spring MVC的Interceptor拦截器。所有需要登录的请求如发布商品、下单都会经过它。拦截器从请求的Cookie中读取token然后去存储中查找对应的userId。如果找到说明用户已登录将userId存入ThreadLocal或请求属性中方便后续业务使用如果找不到则重定向到登录页面。安全增强Cookie设置为HttpOnly防止XSS脚本盗取根据安全要求设置合理的Max-Age。关键代码 - 登录拦截器Component public class LoginInterceptor implements HandlerInterceptor { Autowired private UserSessionService sessionService; // 模拟Session存储的服务 Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 1. 从Cookie中获取token Cookie[] cookies request.getCookies(); String token null; if (cookies ! null) { for (Cookie cookie : cookies) { if (USER_TOKEN.equals(cookie.getName())) { token cookie.getValue(); break; } } } // 2. 验证token有效性 if (token ! null) { Integer userId sessionService.getUserIdByToken(token); if (userId ! null) { // 3. 验证通过将用户ID存入请求上下文供后续使用 request.setAttribute(CURRENT_USER_ID, userId); sessionService.refreshTokenExpire(token); // 刷新token有效期 return true; // 放行 } } // 4. 验证失败重定向到登录页 response.sendRedirect(/user/login); return false; } }在Spring Boot配置中将这个拦截器注册到需要保护的路径上如/order/**,/product/publish。3.2 商品发布与幂等性校验用户发布二手无人机信息时可能会因为网络延迟或连续点击导致重复提交表单在数据库里产生两条一模一样的商品记录。前端防抖提交按钮点击后立即变为禁用状态直到收到后端响应。后端幂等这是关键。我们利用数据库的唯一索引和Token机制。方案一简单有效为商品表增加一个由“用户ID发布标题发布时间戳哈希”生成的publish_token字段并为其建立唯一索引。每次提交都生成这个token插入时如果发生唯一键冲突则认为是重复提交直接返回“请勿重复提交”的提示。方案二更通用在页面加载时后端生成一个随机的submitToken存入Session并同时返回给前端页面隐藏在一个表单字段里。提交时将这个submitToken随表单数据一起传到后端。后端校验该submitToken在Session中存在且匹配则处理业务并立即从Session中移除这个token。这样同一个token只能用一次完美防重。3.3 订单状态机设计订单不是简单的“已下单”、“已付款”几个状态。一个严谨的交易流程状态流转必须清晰可控。我们设计一个订单状态枚举public enum OrderStatus { UNPAID(10, 待付款), // 用户下单等待支付 PAID(20, 已付款), // 用户完成支付 SHIPPED(30, 已发货), // 卖家发货 RECEIVED(40, 已收货), // 买家确认收货 FINISHED(50, 交易完成), // 双方互评后 CANCELLED(0, 已取消), // 用户取消或超时未支付 REFUNDING(91, 退款中), // 用户申请退款 REFUNDED(92, 已退款); // 退款完成 private final int code; private final String desc; // ... 构造方法、getter }状态流转规则在订单服务OrderService中所有改变状态的方法如payOrder,cancelOrder,confirmReceipt内部都必须先检查当前状态是否允许变更为目标状态。例如只有UNPAID状态的订单才能变为PAID或CANCELLED。这可以通过一个StateMachine状态机组件来实现也可以简单地在业务方法开始时用if...else判断。这保证了业务逻辑的严谨性。4. 安全性与性能考量4.1 安全性SQL注入防护坚持使用MyBatis的#{}预编译占位符绝对不要用${}进行字符串拼接。#{}会被预处理为参数而${}是直接替换。!-- 正确做法 -- select idsearchProduct resultTypeProduct SELECT * FROM product WHERE name LIKE CONCAT(%, #{keyword}, %) /select !-- 错误做法存在SQL注入风险 -- select idsearchProduct resultTypeProduct SELECT * FROM product WHERE name LIKE %${keyword}% /selectXSS过滤对用户输入如商品描述、评论内容进行转义。Thymeleaf默认会对th:text输出的内容进行HTML转义。对于需要富文本的场景如商品详情可以引入Jsoup这样的库进行白名单过滤只允许安全的HTML标签和属性。密码存储切勿使用MD5。使用BCryptPasswordEncoderSpring Security提供或PBKDF2。它们会自动加盐Salt并多次哈希极大增加破解难度。Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } // 注册时加密 String encodedPwd passwordEncoder.encode(rawPassword); // 登录时比对 boolean matches passwordEncoder.matches(rawPassword, storedEncodedPwd);4.2 性能与并发并发下单超卖问题这是交易系统的经典问题。解决方案有多种悲观锁在查询库存时使用SELECT ... FOR UPDATE但性能较差不推荐在高并发下使用。乐观锁为商品表增加一个version字段。更新库存时条件中加上WHERE id#{id} AND version#{oldVersion}并SET version version 1。如果更新影响行数为0说明版本号不对已被别人修改则返回失败让用户重试。这是推荐做法。数据库唯一索引结合“下单令牌”防止同一用户瞬间重复提交。数据库连接池Spring Boot默认使用HikariCP性能非常好。但在application.yml中需要根据实际情况调整spring: datasource: hikari: maximum-pool-size: 20 # 连接池最大连接数根据数据库和服务器配置调整 minimum-idle: 10 # 最小空闲连接 connection-timeout: 30000 # 连接超时时间(ms) idle-timeout: 600000 # 连接最大空闲时间(ms)5. 生产环境部署避坑指南项目开发完部署上线又是一道坎。打包与运行使用mvn clean package打成可执行的JAR包内嵌Tomcat。运行命令java -jar your-project.jar --spring.profiles.activeprod。prod配置文件(application-prod.yml)中配置生产环境的数据库、Redis等地址。Tomcat部署路径如果你打的是WAR包放到外置Tomcat需要注意上下文路径。在application.properties中设置server.servlet.context-path/drone-trade这样应用访问根路径就是http://yourdomain:port/drone-trade。静态资源缓存为了提高页面加载速度需要对CSS、JS、图片等静态资源设置HTTP缓存头。Spring Boot可以配置spring: web: resources: chain: strategy: content: enabled: true paths: /** # 为资源内容生成唯一哈希实现精确缓存 cache: period: 604800 # 缓存时间单位秒这里是一周或者更精细地通过一个配置类添加WebMvcConfigurer来设置特定路径的缓存策略。日志与监控务必配置日志文件滚动策略避免日志撑满磁盘。使用logback-spring.xml配置按天或按大小分割日志。简单的应用健康监控可以通过Spring Boot Actuator的/health端点实现。6. 总结与扩展建议走完这个二手无人机交易系统的全流程你会发现一个合格的毕业设计不仅仅是功能的实现更是对软件工程全生命周期的实践需求分析、技术选型、数据库设计、模块化编码、安全性保障、性能优化、部署运维。这个项目本身还有很大的扩展空间你可以选择以下方向之一进行深化这会让你的毕设脱颖而出无人机型号智能检索目前的搜索可能只是简单的关键字匹配。可以引入Elasticsearch实现更强大的全文检索支持根据品牌、型号、续航、图传距离等多维度进行组合筛选和智能排序。交易评价系统实现一个类似淘宝的信用评价体系。包括买卖双方互评、动态评分描述相符、物流服务等、评价追评、以及根据评价计算卖家信用等级的功能。这里会涉及到事务、数据一致性和防刷评价的设计。希望这篇笔记能为你提供一个清晰的JavaWeb毕设实战蓝图。最好的学习方式就是动手不妨就以这个框架为起点搭建属于你自己的、代码整洁、逻辑严谨、安全可靠的毕业设计项目吧。