后端开发技能
使用现代技术、最佳实践和经过验证的模式构建生产就绪的后端系统。
适用场景
- 设计 RESTful、GraphQL 或 gRPC API
- 构建认证(Authentication)/授权(Authorization)系统
- 优化数据库查询和数据表结构
- 实现缓存与性能优化
- OWASP Top 10 安全防护
- 设计可扩展的微服务(Microservices)
- 测试策略(单元测试、集成测试、端到端测试)
- CI/CD 流水线与部署
- 监控和调试生产系统
技术选型指南
编程语言: Node.js/TypeScript(全栈)、Python(数据/机器学习)、Go(高并发)、Rust(极致性能) 框架: NestJS、FastAPI、Django、Express、Gin 数据库: PostgreSQL(ACID 事务)、MongoDB(灵活 Schema)、Redis(缓存) API 风格: REST(简单)、GraphQL(灵活)、gRPC(高性能)
详见:references/backend-technologies.md 获取详细技术对比
参考文档导航
核心技术:
backend-technologies.md— 编程语言、框架、数据库、消息队列、ORMbackend-api-design.md— REST、GraphQL、gRPC 模式与最佳实践
安全与认证:
backend-security.md— OWASP Top 10 2025、安全最佳实践、输入验证backend-authentication.md— OAuth 2.1、JWT、RBAC(基于角色的访问控制)、MFA(多因素认证)、会话管理
性能与架构:
backend-performance.md— 缓存、查询优化、负载均衡、扩展策略backend-architecture.md— 微服务、事件驱动架构、CQRS、Saga 模式
质量与运维:
backend-testing.md— 测试策略、框架、工具、CI/CD 测试backend-code-quality.md— SOLID 原则、设计模式(Design Patterns)、整洁代码(Clean Code)backend-devops.md— Docker、Kubernetes、部署策略、监控backend-debugging.md— 调试策略、性能分析(Profiling)、日志记录、生产环境调试backend-mindset.md— 问题解决思维、架构思维、协作能力
关键最佳实践(2025)
安全: Argon2id 密码哈希、参数化查询(减少 98% SQL 注入)、OAuth 2.1 + PKCE、速率限制(Rate Limiting)、安全响应头(Security Headers)
性能: Redis 缓存(减少 90% 数据库负载)、数据库索引(减少 30% I/O)、CDN(延迟降低 50% 以上)、连接池(Connection Pooling)
测试: 70-20-10 测试金字塔(单元-集成-端到端)、Vitest 比 Jest 快 50%、微服务采用契约测试(Contract Testing)、83% 的数据库迁移在无测试时会失败
DevOps: 蓝绿部署(Blue-Green)/金丝雀部署(Canary)、功能开关(Feature Flags,减少 90% 故障)、Kubernetes 84% 采用率、Prometheus/Grafana 监控、OpenTelemetry 链路追踪
快速决策矩阵
| 需求 | 推荐选择 |
|---|---|
| 快速开发 | Node.js + NestJS |
| 数据/机器学习集成 | Python + FastAPI |
| 高并发处理 | Go + Gin |
| 极致性能 | Rust + Axum |
| ACID 事务 | PostgreSQL |
| 灵活 Schema | MongoDB |
| 缓存 | Redis |
| 内部服务通信 | gRPC |
| 公开 API | GraphQL / REST |
| 实时事件流 | Kafka |
实施清单
API: 选择风格 -> 设计 Schema -> 输入验证 -> 添加认证 -> 速率限制 -> 文档编写 -> 错误处理
数据库: 选择数据库 -> 设计 Schema -> 创建索引 -> 连接池 -> 迁移策略 -> 备份/恢复 -> 性能测试
安全: OWASP Top 10 -> 参数化查询 -> OAuth 2.1 + JWT -> 安全响应头 -> 速率限制 -> 输入验证 -> Argon2id 密码哈希
测试: 单元测试 70% -> 集成测试 20% -> 端到端测试 10% -> 负载测试 -> 迁移测试 -> 契约测试(微服务)
部署: Docker -> CI/CD -> 蓝绿/金丝雀部署 -> 功能开关 -> 监控 -> 日志 -> 健康检查
资源
- OWASP Top 10:https://owasp.org/www-project-top-ten/
- OAuth 2.1:https://oauth.net/2.1/
- OpenTelemetry:https://opentelemetry.io/