RuoYi-Vue-Pro项目中API访问日志记录Query参数的问题分析与修复

问题背景

在RuoYi-Vue-Pro 2.1.0版本中，开发人员发现系统无法正确记录API访问日志中的query参数。这个问题影响了系统对请求参数的完整记录，特别是在需要审计和安全分析的场景下。

问题分析

问题的根源在于sanitizeMap方法中的一个逻辑错误。该方法负责对请求和响应进行脱敏处理，移除类似password、token等敏感字段。原始代码如下：

private static String sanitizeMap(Map<String, ?> map, String[] sanitizeKeys) {
    if (CollUtil.isNotEmpty(map)) { 
        return null;
    }
    if (sanitizeKeys != null) {
        MapUtil.removeAny(map, sanitizeKeys);
    }
    MapUtil.removeAny(map, SANITIZE_KEYS);
    return JsonUtils.toJsonString(map);
}

这段代码存在两个主要问题：

1. 逻辑判断错误：使用isNotEmpty判断时，当map不为空时直接返回null，这导致所有非空的query参数都无法被记录。
2. 脱敏处理失效：由于提前返回null，后续的脱敏处理逻辑根本不会执行。

技术原理

在API日志记录中，通常需要：

1. 完整记录请求参数以便调试和审计
2. 对敏感信息进行脱敏处理以保障安全
3. 确保日志记录不影响正常业务逻辑

sanitizeMap方法的正确实现应该：

1. 首先检查map是否为空，为空则直接返回null
2. 对map进行深拷贝避免修改原始数据
3. 移除所有指定的敏感字段
4. 将处理后的map转换为JSON字符串

修复方案

正确的实现应该是将isNotEmpty改为isEmpty：

private static String sanitizeMap(Map<String, ?> map, String[] sanitizeKeys) {
    if (CollUtil.isEmpty(map)) { 
        return null;
    }
    if (sanitizeKeys != null) {
        MapUtil.removeAny(map, sanitizeKeys);
    }
    MapUtil.removeAny(map, SANITIZE_KEYS);
    return JsonUtils.toJsonString(map);
}

这个修改实现了：

1. 当map为空时直接返回null，避免不必要的处理
2. 当map不为空时，继续执行脱敏处理
3. 最终返回处理后的JSON字符串

影响范围

该问题会影响所有通过API访问日志记录query参数的场景，包括：

1. 后台管理系统的操作日志
2. API调用记录
3. 系统审计日志

最佳实践

在实现类似功能时，建议：

1. 使用防御性编程，先检查参数有效性
2. 对条件判断要仔细验证逻辑是否正确
3. 为关键方法编写单元测试
4. 使用深拷贝避免修改原始数据
5. 考虑使用注解方式标记敏感字段，提高可维护性

总结

这个问题的修复虽然简单，但体现了软件开发中几个重要原则：

1. 条件判断的逻辑正确性至关重要
2. 日志记录功能需要兼顾完整性和安全性
3. 代码审查能够发现这类简单的逻辑错误
4. 完善的测试用例可以预防这类问题

通过这次修复，RuoYi-Vue-Pro项目的API日志记录功能将能够正确记录query参数，同时保证敏感信息的安全脱敏处理。