warmwind (姜鹏)

[成都 / 西安] 金数据招聘 Rails 工程师

warmwind — Tue, 06 Mar 2018 18:44:07 +0800

金数据又开始招聘了，这次我们需要 4 名 Ruby/Rails 工程师，你可以选择工作在成都或者西安。

过去 8 个月

距离上一次招聘过去了 8 个月，从达到盈利到扩大盈利，从 27 人到 35 人，从国内年会到集体普吉出游，从团队内的周年庆到与用户一起欢聚，我们在稳步成长，实现着对自身和社会的承诺。

技术栈

过去 5 年，金数据经历了 Rails3，Rails4，到现在 Rails5，去年还引入了 React，GraphQL，Cassandra，Ionic(Angular) 等，这些技术的演进将帮助金数据走向下一个 5 年。另外，为了维护平台的纯净，保证所有用户的共同利益，我们也拥抱 Python，使用机器学习，结合 Rails 一起来进行表单的鉴定，感兴趣的同学可以看看去年 RubyConf 上的分享金数据是如何鉴黄的。

如果你的 Rails 经验较少，那么希望你热爱 Rails 的哲学，理解 web 开发的原理，享受写代码带来的成就
如果你的 Rails 经验较多，那么希望你对于高质量的交付、具有挑战的性能优化、可拓展的建模设计有满满的热情
如果你更专注前端技术，那么我们提供一个使用 Ionic 和 Angular 进行手机开发的 Junior Developer 职位，不过只在成都

薪资福利

即便工作在二线城市，金数据的薪资瞄准北上深一线城市。我们薪资福利的目标是让你放下与其他城市的比较，安心的投入工作。我们对于谈判阶段压榨工资没有兴趣。我们看重的是长期的关系，而非一朝一夕的分厘。我们会不断评估你的能力、成长、贡献，每年主动调整你的薪资到更有竞争力的位置。

其他的福利：

午餐补贴 / 水果零食 1-3 个月年终奖半年一次团队 Retreat 所有国家假日的周末调休全部放假每年一次免费体检五险一金补充医疗保险 + 子女医疗保险 + 人身意外险 + 交通意外险每年 4000 元「Learn Something New」培训经费，可用于任何可以提升自己的活动

与小金一起成长是我们对每个伙伴的期望，不用担心现在自己还不够强大，在这个过程中，会有足够的机会来提升和施展自己的技能。发送简历到 talent@jinshuju.net，小金欢迎你！

[RubyConfChina2017 话题分享] 金数据是如何鉴黄的

warmwind — Tue, 19 Sep 2017 11:58:57 +0800

slides

这次分享的目的是：

针对完全没有机器学习或者高等数学基础的同学，介绍机器学习在文本分类领域的使用
如何无缝对接到现有的系统中（不用修改现有系统一行代码）
活跃下现场气氛

我的微信号是 forsea001，现场时间有限，想多聊聊的童靴也可以加微信~~（请备注 RubyChina）

Rails 中消失的 CSRF token

warmwind — Wed, 01 Oct 2014 23:45:00 +0800

CSRF(Cross-Site Request Forgery) 是一种常见的攻击手段，Rails 中下面的代码帮助我们的应用来阻止 CSRF 攻击。

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
end

这段代码是 Rails4 自动生成的，这里使用了with: :exception设置了对在handle_unverified_request使用的策略是抛出异常ActionController::InvalidAuthenticityToken。Rails3 中默认使用的reset_session。 Rails 防止 CSRF 的机制是在表单中随机生成一个 authenticity_token，同时存储于表单的隐藏域以及当前的 session 中，当表单提交时，而 server 端就可以比较这两处的是否一致来做出判断，判断请求的来源是否可靠，因为第三方是无法知道 session 中的 token 的。

# Sets the token value for the current session.
def form_authenticity_token
  session[:_csrf_token] ||= SecureRandom.base64(32)
end

<div style="margin:0;padding:0;display:inline">
  <input name="utf8" type="hidden" value="✓">
  <input name="authenticity_token" type="hidden" value="EZWDs44j5vzY+DCsgTHL0iPYiOUwaFnemwtGmo2AVRM=">
</div>

当然，这些都是正常情况，当表单要作为 ajax 提交，也就是data-remote=true时，情况就不同了，默认配置下，authenticityt_token不再自动生成。如果是 Rails3 就会发现 session 中的信息不见了，如果是把 user_id 存储在 session 中的，当然登录的状态就改变了。如果是 Rails4，默认就会得到上面提到的InvalidAuthenticityToken异常。

#form_tag_helper.rb
def html_options_for_form(url_for_options, options)
   options.stringify_keys.tap do |html_options|
     ...
     if html_options["data-remote"] &&
        !embed_authenticity_token_in_remote_forms &&
        html_options["authenticity_token"].blank?
       # The authenticity token is taken from the meta tag in this case
       html_options["authenticity_token"] = false
     elsif html_options["authenticity_token"] == true
       # Include the default authenticity_token, which is only generated when its set to nil,
       # but we needed the true value to override the default of no authenticity_token on data-remote.
       html_options["authenticity_token"] = nil
     end
   end
 end

上面代码的 5-14 行可以看到生成 token 时的配置判断，从中也可以得到解决的两种办法： 1. 配置

config.action_view.embed_authenticity_token_in_remote_forms = true

2. 通过 JS 获取其实在默认的 layout 中，一般会有一行<%= csrf_meta_tags %>，它的定义是：

def csrf_meta_tags
  if protect_against_forgery?
    [
      tag('meta', :name => 'csrf-param', :content => request_forgery_protection_token),
      tag('meta', :name => 'csrf-token', :content => form_authenticity_token)
    ].join("\n").html_safe
  end
end

它在页面的 head 中增加一个csrf-token的属性

meta content="authenticity_token" name="csrf-param" />
meta content="VY13wlC2rgGccbkxyvm7Z1WX4LKH+71vzIj+8Um0QO8=" name="csrf-token" />

这与表单渲染出的 authenticity_token 完全一致，所以这就给了我们通过 js 来给表单设置 authenticity_token 的办法，如下

//application.js
$('input[name=authenticity_token]').val($('meta[name=csrf-token]').attr('content'))

Rails 3.2 升级到 Rails 4 中遇到的问题

warmwind — Sat, 27 Sep 2014 17:53:33 +0800

很久一段时间以来，我们使用的都是 Rails3.2 + Mongoid3，虽然 Rails4 发布已经快一年的时间了，但由于 mongoid3 不能支持 Rails4，所以升级就一推再推，不过终于在近期 Mongoid 发布 4.0 以后完成了这次期盼已经的升级。心情是兴奋地，不过过程还是曲折的，不少细节，只看升级文档，或者 google，不看源码还是真心不好解决。本文不是升级指导，因已经有很多文章，本文将对这次升级遇到的问题做个简单的介绍，包括了 Rails，Mongoid，Capistrano。

每次升级有两个前提必须保证才可以稍微顺利一些：

完备的测试
通读官方升级文档。当然升级基本完成后才发现因为已经有 Rails4 已经有一年的时间，网上其实有不少可以参考的其他人的文章，中英文都可以，还有好心人翻译了国外的博文。

1. Strong Parameters 它主要用来增强 mass assignment 的安全性，Rails3 中通过使用 attr_accessible 在 model 层面进行控制，没有声明为 attr_accessible 的属性不能用 mass assignment 来赋值。但通常来说这个赋值的行为发生在 controller 级别，所以 Strong Parameter 将这样行为的限制上升在 controller，并通过下面的格式来进行限制。

params.permit(:name, {:emails => []}, :friends => [ :name, { :family => [ :name ], :hobbies => [] }])

这其中定义了三种格式的参数类型，其中期望 emails 的值为 Array 的类型，而 friends 是一组 Array 的资源，有 name 属性，family 的值为 Array 并含有 name 属性，hobbies 的值则是 Array 类型。

2. controller 测试异常缓慢我们使用的 MiniTest，升级完成后运行 controller 测试时，非常非常的缓慢。后来发现当测试中 request 请求成功后，停在了在 render layout 那这一步，需要将近 5 分钟才可以完成。测试本身是成功的，而这 5 分钟也与 asset precompile 的时间类似。

Rails 4 no longer sets default config values for Sprockets in test.rb, so test.rb now requires Sprockets configuration. The old defaults in the test environment are: config.assets.compile = true, config.assets.compress = false, config.assets.debug = false and config.assets.digest = false.

其中最主要的设置为

# Don't fallback to assets pipeline if a precompiled asset is missed
config.assets.compile = true

此项设置的主要目的是当找不到 precompiled 的 asset 时是不是需要时时编译。当然，我们是不需要这样的设置的，所以当设置为false时就解决了这个问题。 不过有个问题还是不明白，之前的默认值为true是如何正确工作的呢？

3. 测试单独通过，rake test 失败使用 rake 运行所有测试时，抛出

TypeError: compared with non class/module

无法定位是什么问题，好在有人遇到了一样的问题 https://github.com/freerange/mocha/issues/199,不要使用 ruby2.0.0-p0，改为 2.0.0-p353 就好了。

4. Capistrano 原先使用的是 Capistrano2，由于 Capistrano3 做了很大的改动，所以为了平稳尽快完成 Rails 的升级，对 Capistrano 尽量做到最小的改动，这篇文章一定要看。其中两点最重要：

升级到 2.15.4
将 manifest.yml 从 shared/assets 目录移到 releases，并重命名为 assets_manifest.yml，否则部署时会报错说有重复的 manifest 文件

需要注意的是，升级之后在部署过中可能会看到一些 err 输出，实际上是 Capistrano 将 info 的输出信息作为 err 打印到 console 了。参见这里INFO messages while asset precompiling treated as errors

5. 嵌入的支持 Rails4 会在 response 的 header 里增加一下的默认值，其中SAMEORIGIN限定了 iframe 在同一个 domain 中可以使用。如果取消这一限制有两种做法，一个是在下面的全局配置中将X-Frame-Options改为ALLOWALL。当然，如果只想针对单个请求，可以将这个设置在该请求的 response 中去除response.headers.except! 'X-Frame-Options'。

config.action_dispatch.default_headers = {
'X-Frame-Options' => 'SAMEORIGIN',
'X-XSS-Protection' => '1; mode=block',
'X-Content-Type-Options' => 'nosniff'
}

6. Mongid 中使用 Only 后的限制升级 Mongoid4 后，使用 Only 后的 model 对象将为只读，不可以再修改，否则会抛出下面的异常。检测 document 是否为只读可以直接在 model 上调用readonly?。在 Mongoid3 中没有这样的限制

Mongoid::Errors::ReadonlyDocument:
Problem:  Attempted to persist the readonly document 'Entry'.
Summary:
  Documents loaded from the database using #only cannot be persisted.
Resolution:
  Donot attempt to persist documents that are flagged as readonly.

另外使用 only 后，如果直接读取没有加载的属性，将抛出异常ActiveModel::MissingAttributeError: Missing attribute: 'not_load_attr’。在 Mongoid3 中返回 nil。

下面是一些升级指导的链接

原文来自我的博客，不正确的地方欢迎大家交流。