博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
非功能性需求,不要成为项目的坑
阅读量:6257 次
发布时间:2019-06-22

本文共 2258 字,大约阅读时间需要 7 分钟。

我们在审批case的时候,最容易忽略的部分就是非功能性需求。非功能性需求分析不透彻,或者被忽略,常常给项目埋下巨大无比的坑。这个坑,想必大家都或多或少遇到过吧。比如项目要交付的时候,交互或需求不明确或者有歧义导致项目返工或延期,安全问题考虑不周导致生产环节被攻击者恶意攻击,没有考虑性能导致遇到高流量的时候就悲剧了等场景。今天的话题,我们就来聊聊《非功能性需求,不要成为项目的坑》。

原文地址:

博客地址:

易用性需求

顾名思义,用户在使用过程中易理解,易操作等。页面描述要清晰,最高境界就是“零手册”,不能让用户理解有歧义,此外,一致性也是很重要的,比如输入内容校验规则,页面展示风格,类似模块的交互等等。比如,一个系统,有的地方是用瀑布式风格,有的地方使用正常的分页,在页面展示上就会有点奇怪,不是么?

页面交互

换句话说,就是页面交互中我们需要确认的一些常常容易忽略的问题。这里面的坑太多了,我举几个案例作为引子,希望引起大家的注意。

案例一 有效性校验

有效性校验,有什么特别之处么,我们正常都会考虑到的 ? 我想说“Are you sure?”,我们来看看下面两个场景。

首先,看看新浪微博的发布文章功能,并不是我们理解的所有中文,字母,数字,符合分别都算1个字哟,这里的2个数字才算1个字。所以,我们的产品中有存在这种场景,就需要和策划/需求人员确认清楚规则,而不是想当然咯。

然后,我们再看看微信公众号发布文章功能,正文内容限制是2万字,超过2万字就不让提交了。这也是一个非功能性需求,需要和策划/需求人员确认清楚文章字数限制,如果他们说希望无穷大,然后你答应了,请挖好坑把自己埋了吧。

案例二 潜在默认值规则

很多情况下,存在如果不填写会设置默认值的场景,此时你要确认清楚具体的默认值规则。比如,发布一个应用,默认是下架还是上架状态?设置权重,是否有默认值场景?再比如,文章摘要的场景也是一个很好的例子。微信公众号,摘要的规则就是如果不填写会默认抓取正文前54个字。

案例三 注册用户与游客用户的区分

如果是游客用户,下面的收藏、评论、点赞,交互场景如何呢?是屏蔽让游客用户无法看到,还是置灰禁止操作,还是弹出登录页面,让用户注册或者登陆。

功能逻辑

功能逻辑,也是一个很经常考虑的问题。这里面的坑也很多,我举几个案例,看看是否引起大家的共鸣。

案例一 涉及自身

比如,生日祝福功能,是否可以给自己祝福呢? 关注用户功能,可以不可以关注自己哈?这些都是需要考虑的,虽然从产品的角度而言没太大问题,但是从使用的角度,就存在一定的业务问题。

案例二 敏感信息

比如,服务端发送消息给客户端,如果单单从客户端的角度进行敏感信息的过滤,安全性上面就存在很大的风险。之前,我抓包分析过一些产品的接口数据,有的产品接口层面没有做屏蔽,只是简单的在页面加”*“符号替换,当然这些信息,被一览无余。

可靠性需求

例如,是否考虑容错性,是否考虑灰度环境,是否服务降级,是否考虑故障转移等。

兼容性需求

Web端是否考虑兼容市面上主流浏览器,比如是否需要兼容IE8、IE9,这也是比较头大的问题,需要一开始就要确认清楚,而不是开发过程中再去考虑。因为,IE8、IE9涉及技术选型上的问题,比如是否要用HTML5,跨域问题要如何处理,需要采用什么框架,是使用原生的方式,还是使用单页面框架React/Vue?

Android端,需要兼容哪些主流版本,4.x? 5.x? 6.x? 需要考虑哪些设备等。

性能需求

性能需求,也是一个非常重要的非功能性需求。简单的理解,性能就是在空间和时间资源有限的条件下,软件系统工作的如何?系统性能需求,有几个典型的指标:响应时间,并发用户数,TPS,资源利用率等。

试想,如果是电商系统,我们不去考虑性能,那么生产环境遇到稍微高一些的并发场景,服务器可能就奔溃了。

此外,业务方对性能指标有要求的场景,也需要去确认这个指标是否合理。现在,回头想想,我很早之前参与的网考系统,那时候要求并发用户要达到1万,实际上它的指标更像是在线用户数,而并发用户数不会达到这个峰值。

性能需求,还涉及是否需要负载均衡和集群,session的处理方案,对于这个有状态的session,是单独部署服务器,还是去session化,是考虑单应用模式,还是使用微服务模式等。

安全性需求

安全问题,一直是我们重视的问题。例如,是否存在SQL注入攻击,如何防范XSS攻击等,详细内容可以参考我之前的文章《》。

最容易忽略的部分就是水平权限管理,水平权限问题在同一个角色上,系统只验证了访问数据的角色,没有对角色内的用户做细分,由于水平权限管理是系统缺乏一个数据级的访问控制所造成的,因此水平权限管理又可以称之为“基于数据的访问控制”。举个例子,比如我们之前的一个助手产品,客户端用户删除评论功能,如果没有做水平权限管理,即设置只有本人才可以删除自己的评论,那么用户通过修改评论id就可以删除别人的评论这个就存在危险的越权操作。这个层面,基本需要我们业务层面去处理,但是这个也是最为经常遗落的安全点。

此外,一些产品对安全问题还有其他要求。例如,我刚参与完成的某导航系统,要求进行漏洞扫描,安全生命周期的梳理,威胁建模,防止TLS降级攻击等。

所以,在产品开发之处,建议把产品需要考虑的安全问题列一个清单,而不是再开发完成之后,再去梳理应该要去考虑什么安全问题。

(完)

更多精彩文章,尽在「服务端思维」微信公众号!

转载地址:http://oxnsa.baihongyu.com/

你可能感兴趣的文章
【BZOJ】2563: 阿狸和桃子的游戏
查看>>
redis 中文字符显示
查看>>
国内外MD5在线解密网站
查看>>
【OC语法要闻速览】一、方法调用
查看>>
Git-命令行-删除本地和远程分支
查看>>
本文将介绍“数据计算”环节中常用的三种分布式计算组件——Hadoop、Storm以及Spark。...
查看>>
顺序图【6】--☆☆
查看>>
Docker Swarm 让你事半功倍
查看>>
string.Format字符串格式说明
查看>>
[转]IC行业的牛人
查看>>
javaScript事件(四)event的公共成员(属性和方法)
查看>>
linux系统常用命令
查看>>
在 Word 中的受支持的区域设置标识符的列表
查看>>
Caffe + Ubuntu 14.04 64bit + CUDA 6.5 配置说明2
查看>>
An easy to use android color picker library
查看>>
Oracle SID爆破工具SidGuess
查看>>
批处理常用命令总结2
查看>>
解读ASP.NET 5 & MVC6系列(9):日志框架
查看>>
MyEclipse生成WAR包并在Tomcat下部署发布(转发)
查看>>
Android -- 自定义View小Demo,绘制钟表时间(一)
查看>>