服务端面试题手册

NestJS 是一个 Node.js 后端框架，底层用 Express（或 Fastify）做 HTTP 处理，上层加了模块化架构、依赖注入、装饰器语法。你可以把 NestJS 理解为 Node.js 版的 Spring Boot——同样的分层架构、同样的开箱即用。NestJS vs ExpressExpress 是一个极简的 HTTP 路由库，给你一个 app.get() 然后自由发挥。项目小的时候很爽，项目大了没有约束——路由、中间件、数据库连接、业务逻辑全混在一起，没人知道代码应该放哪。NestJS 解决的是"团队协作时的代码组织"问题：Module 划分功能边界（用户模块、订单模块、支付模块互不干扰）Controller 处理 HTTP 请求，只做参数校验和路由转发Service 处理业务逻辑，可以被多个 Controller 复用依赖注入自动管理实例创建和依赖关系，不用手动 new 和传参Express 5000 行代码以上的项目，不靠团队约定基本没法维护。NestJS 通过架构约束让你写出的代码天然就是分层的。核心概念Module（模块）：组织代码的边界。每个功能模块有自己的 Controller、Service、Provider。Module 之间通过 imports 和 exports 通信，类似 JavaScript 的模块化但更严格——不 export 的东西外部不可见。Controller（控制器）：处理 HTTP 请求。用装饰器定义路由：@Controller('users')export class UsersController { @Get() findAll() { return this.usersService.findAll(); } @Post() create(@Body() dto: CreateUserDto) { return this.usersService.create(dto); }}Service（服务）：业务逻辑层。Controller 调 Service，Service 调数据库和外部 API。Service 用 @Injectable() 装饰，可以被依赖注入。DTO（数据传输对象）：定义请求/响应的数据结构，配合 class-validator 做参数校验：export class CreateUserDto { @IsEmail() email: string; @MinLength(8) password: string;}NestJS 自动根据 DTO 校验请求参数，校验失败返回 400。适合什么项目中大型后端 API：用户系统、订单系统、管理后台——多模块、需要权限控制微服务：NestJS 内置多种 Transport（Redis、RabbitMQ、Kafka、gRPC）GraphQL API：官方 @nestjs/graphql 模块，代码优先（Code-First）定义 Schema实时应用：内置 WebSocket/Socket.IO 支持不适合：简单的静态站点、只有一个接口的轻量服务——用 Express 或 Fastify 就够了，NestJS 的架构开销不值得。快速开始npm i -g @nestjs/clinest new my-projectcd my-projectnpm run start:dev生成的项目结构：src/├── app.module.ts # 根模块├── app.controller.ts # 根控制器├── app.service.ts # 根服务└── main.ts # 入口文件添加模块：nest g module users、nest g controller users、nest g service users——CLI 自动创建文件并注册到 Module 里。

NestJS 的依赖注入（DI）是从 Angular 借鉴的核心机制。你不需要手动创建实例和传递依赖——在 Provider 里声明，在构造函数里接收，Nest 容器自动装配。Module 是组织 Provider 的边界，控制哪些可以对外暴露、哪些只在内部使用。依赖注入基本原理没有 DI 的写法：手动创建依赖，耦合度高。// 没有 DIconst repo = new UserRepository();const service = new UserService(repo);const controller = new UserController(service);有 DI 的写法：只声明需要什么，Nest 自动注入。@Controller('users')export class UsersController { constructor(private usersService: UsersService) {} // 自动注入}Nest 的 IoC 容器在启动时扫描所有 Module，根据构造函数的参数类型自动创建和注入实例。private 关键字同时声明和赋值——TypeScript 的参数属性简写。Module：组织代码的边界每个 Module 是一个独立的 DI 容器。Module 里注册的 Provider 默认只在 Module 内部可用。@Module({ controllers: [UsersController], providers: [UsersService], exports: [UsersService], // 对外暴露})export class UsersModule {}providers：注册到本 Module 的服务，本 Module 内可注入exports：声明哪些 Provider 可以被其他 Module 使用imports：导入其他 Module 暴露的 Provider@Module({ imports: [UsersModule], // 导入后可以注入 UsersService providers: [PostsService],})export class PostsModule {}如果不 exports: [UsersService]，PostsModule 里注入 UsersService 会报错——Nest 找不到这个 Provider。Provider 的三种注册方式1. 类名注册（最常见）providers: [UsersService]// 等价于providers: [{ provide: UsersService, useClass: UsersService }]2. 值注册（Mock 或配置对象）providers: [{ provide: 'CONFIG', useValue: { dbHost: 'localhost', port: 5432 },}]3. 工厂注册（动态创建，依赖其他 Provider）providers: [{ provide: 'DATABASE_CONNECTION', useFactory: (configService: ConfigService) => { return createConnection(configService.get('db')); }, inject: [ConfigService], // 工厂的依赖}]注入方式构造函数注入（推荐）：constructor(private usersService: UsersService) {}属性注入（可选依赖）：@Inject('CONFIG')config: ConfigType<typeof config>;用 @Inject() 指定 token——当 Provider 不是用类名注册时（字符串 token、Symbol token），必须显式指定。作用域默认情况下所有 Provider 是 Singleton（单例）——整个应用共享一个实例。这是最高效的模式，也是 99% 场景的正确选择。其他作用域：| 作用域 | 生命周期 | 适用场景 ||--------|----------|----------|| DEFAULT（Singleton） | 应用启动时创建，共享 | 几乎所有情况 || REQUEST | 每个请求创建新实例 | 需要请求上下文（如租户隔离） || TRANSIENT | 每次注入都创建新实例 | 极少用 |@Injectable({ scope: Scope.REQUEST })export class RequestLogger {}不要随意改作用域——REQUEST scope 会显著增加内存和 GC 压力，因为每个请求都要创建和销毁实例。循环依赖A 依赖 B，B 依赖 A——Nest 无法确定先创建谁。解决方式：用 forwardRef 延迟解析。@Module({ imports: [forwardRef(() => ModuleB)],})export class ModuleA {}constructor( @Inject(forwardRef(() => ServiceB)) private serviceB: ServiceB,) {}但循环依赖通常意味着设计有问题——考虑抽取共享逻辑到第三个 Module 里。

NestJS 内置 Jest 支持，开箱即用。测试分两层：单元测试（测 Service/Controller 的逻辑）和 E2E 测试（测整个请求链路）。关键是学会 Mock 依赖——单元测试不应该依赖数据库或外部服务。单元测试：测 Service// users/users.service.spec.tsdescribe('UsersService', () => { let service: UsersService; let repo: Repository<User>; beforeEach(async () => { const module = await Test.createTestingModule({ providers: [ UsersService, { provide: getRepositoryToken(User), useValue: { findOne: jest.fn(), create: jest.fn(), save: jest.fn(), }, }, ], }).compile(); service = module.get(UsersService); repo = module.get(getRepositoryToken(User)); }); it('findByEmail 应该返回用户', async () => { const mockUser = { id: '1', email: 'test@test.com' }; jest.spyOn(repo, 'findOne').mockResolvedValue(mockUser as User); const result = await service.findByEmail('test@test.com'); expect(result).toEqual(mockUser); expect(repo.findOne).toHaveBeenCalledWith({ where: { email: 'test@test.com' } }); });});Test.createTestingModule 创建一个精简的 Nest 容器，只注册需要测试的 Provider。useValue 用 Jest mock 替换真实的 Repository——测试不碰数据库，跑得快而且稳定。测 ControllerController 的测试重点是"路由是否正确调用 Service"：describe('UsersController', () => { let controller: UsersController; let service: UsersService; beforeEach(async () => { const module = await Test.createTestingModule({ controllers: [UsersController], providers: [ { provide: UsersService, useValue: { findOne: jest.fn() } }, ], }).compile(); controller = module.get(UsersController); service = module.get(UsersService); }); it('getUser 应该调用 service.findOne', async () => { jest.spyOn(service, 'findOne').mockResolvedValue({ id: '1', name: 'Test' } as User); await controller.getUser('1'); expect(service.findOne).toHaveBeenCalledWith('1'); });});Controller 测试不需要 HTTP 服务器——Nest 的测试工具直接调用方法，省去了网络层开销。E2E 测试：测完整请求E2E 测试启动完整的 HTTP 服务器，发真实请求，验证整个链路：// test/app.e2e-spec.tsdescribe('App (e2e)', () => { let app: INestApplication; beforeAll(async () => { const moduleFixture = await Test.createTestingModule({ imports: [AppModule], }).compile(); app = moduleFixture.createNestApplication(); await app.init(); }); it('GET /users/:id', () => { return request(app.getHttpServer()) .get('/users/1') .expect(200) .expect({ id: '1', name: 'Test' }); }); afterAll(async () => { await app.close(); });});E2E 测试需要数据库。用 testcontainers 启动 Docker 容器里的 Postgres，测完自动销毁：import { PostgreSqlContainer } from '@testcontainers/postgresql';const container = await new PostgreSqlContainer().start();process.env.DB_HOST = container.getHost();process.env.DB_PORT = container.getPort().toString();Mock 外部服务如果 Service 调用第三方 API（如支付、邮件），测试时不应该真的调：providers: [ PaymentService, { provide: 'PAYMENT_CLIENT', useValue: { charge: jest.fn().mockResolvedValue({ success: true }) }, },],用自定义 Provider 替换外部服务客户端。测试只验证你的代码逻辑是否正确，不验证第三方服务是否正常。测试覆盖率npm run test:cov目标：Service 层覆盖率 > 80%，Controller 层 > 70%。不要追求 100%——getter/setter、简单委托方法不值得写测试。重点测试业务逻辑分支和边界条件。测试最佳实践1. 测试文件和源文件同目录：users.service.spec.ts 放在 users.service.ts 旁边，比放在单独的 __tests__/ 目录更好找。2. beforeAll vs beforeEach：beforeAll 创建的容器所有测试共享（快），beforeEach 每个测试前重新创建（隔离）。单元测试用 beforeEach 保证隔离，E2E 测试用 beforeAll 加速。3. 别测试框架本身：不需要测 @Get() 装饰器能不能工作，NestJS 自己有测试。测你的业务逻辑——Service 返回的数据对不对，Controller 有没有调对 Service 方法。

NestJS 的 WebSocket 支持基于 Socket.IO，用装饰器风格的 Gateway 替代传统的事件监听写法。和 HTTP Controller 几乎一样的开发体验，底层自动处理连接、重连、房间管理。基本 Gatewaynpm install @nestjs/websockets @nestjs/platform-socket.io socket.io// chat/chat.gateway.ts@Gateway({ cors: { origin: '*' } })export class ChatGateway { @SubscribeMessage('send_message') handleMessage(@MessageBody() data: string, @ConnectedSocket() client: Socket) { // 广播给所有连接的客户端 this.server.emit('new_message', data); } @WebSocketServer() server: Server;}Gateway 就是 WebSocket 版的 Controller。@SubscribeMessage 等价于 @Post，@MessageBody 等价于 @Body，@ConnectedSocket 可以拿到底层 Socket 实例。房间（Rooms）Socket.IO 的房间机制让消息只发给特定用户群：@Gateway()export class RoomGateway { @WebSocketServer() server: Server; @SubscribeMessage('join_room') handleJoinRoom(@MessageBody() room: string, @ConnectedSocket() client: Socket) { client.join(room); this.server.to(room).emit('user_joined', client.id); } @SubscribeMessage('room_message') handleRoomMessage( @MessageBody() data: { room: string; message: string }, @ConnectedSocket() client: Socket, ) { this.server.to(data.room).emit('new_message', { from: client.id, message: data.message, }); }}client.join(room) 加入房间，this.server.to(room).emit() 只发给该房间的成员。认证：验证 WebSocket 连接WebSocket 连接不能用 HTTP Guard，要在握手阶段验证 Token：@Gateway()export class ChatGateway implements OnGatewayConnection { handleConnection(client: Socket) { const token = client.handshake.auth.token; try { const payload = this.jwtService.verify(token); client.data.user = payload; // 存到 socket 上供后续使用 } catch { client.disconnect(); // Token 无效直接断开 } }}客户端连接时带上 Token：const socket = io('http://localhost:3000', { auth: { token: 'your-jwt-token' }});配合 HTTP ControllerWebSocket 和 HTTP 可以共享 Service 层：// messages/messages.module.ts@Module({ imports: [TypeOrmModule.forFeature([Message])], providers: [MessagesService, MessagesGateway], controllers: [MessagesController],})export class MessagesModule {}// messages/messages.controller.ts - HTTP 接口拿历史消息@Get('history/:roomId')getHistory(@Param('roomId') roomId: string) { return this.messagesService.getHistory(roomId);}// messages/messages.gateway.ts - WebSocket 推新消息@SubscribeMessage('send_message')async handleSendMessage(@MessageBody() data: { roomId: string; content: string }, @ConnectedSocket() client: Socket) { const message = await this.messagesService.create({ content: data.content, roomId: data.roomId, userId: client.data.user.id, }); this.server.to(data.roomId).emit('new_message', message);}HTTP 负责历史数据的 CRUD，WebSocket 负责实时推送。两者共享同一个 Service 和数据库。常见问题连接频繁断开重连：通常是 Nginx 代理超时。加 proxy_read_timeout 3600s 和 proxy_send_timeout 3600s，否则 Nginx 60 秒没数据就断开长连接。内存泄漏：每个 Socket 连接占用约 10-50KB 内存。1 万个连接约 500MB。确保断开的客户端被正确清理——Socket.IO 默认有心跳检测，但最好加 pingTimeout 和 pingInterval 调优。集群模式：单机多进程时，Socket.IO 的房间信息不跨进程共享。需要用 Redis Adapter：import { RedisIoAdapter } from '@nestjs/platform-socket.io';const redisIoAdapter = new RedisIoAdapter(app);await redisIoAdapter.connectToRedis('redis://localhost:6379');app.useWebSocketAdapter(redisIoAdapter);Redis Adapter 让所有进程通过 Redis 共享房间和消息状态。

NestJS 的微服务支持不是"把单体拆成微服务"的完整方案，而是提供了跨服务通信的 Transport 层。你可以用同样的 Controller/Service 写法，底层换成 Redis/RabbitMQ/Kafka/gRPC 通信，应用代码几乎不用改。微服务模式 vs 单体NestJS 应用默认是 HTTP 单体。改成微服务只需要换一个传输层：// main.ts - HTTP 单体const app = await NestFactory.create(AppModule);await app.listen(3000);// main.ts - 微服务const app = await NestFactory.createMicroservice(AppModule, { transport: Transport.REDIS, options: { url: 'redis://localhost:6379' },});await app.listen();微服务模式下，应用不再监听 HTTP 端口，而是通过消息队列接收请求。通信模式请求/响应（Request/Response）和 HTTP 一样——发请求等响应。适合需要立即拿到结果的场景。// 服务端@MessagePattern('get_user')getUser(@Payload() id: string) { return this.usersService.findOne(id);}// 客户端@Injectable()export class AppService { constructor(@Inject('USER_SERVICE') private client: ClientProxy) {} getUser(id: string) { return this.client.send('get_user', id); }}send 返回 Observable，可以用 .toPromise() 或 firstValueFrom() 转成 Promise。事件驱动（Event-driven）发出去不等响应——"fire and forget"。适合通知类场景（发邮件、写日志、更新缓存）。// 发布者this.client.emit('user_created', { userId: user.id });// 订阅者@EventPattern('user_created')handleUserCreated(@Payload() data: { userId: string }) { // 发送欢迎邮件、更新统计等}emit 不返回结果，订阅者可以有多个（广播模式）。请求/响应模式只会有一个服务响应。Transport 选型| Transport | 适用场景 | 特点 ||-----------|----------|------|| TCP | 开发/测试 | 默认，零依赖 || Redis | 简单生产环境 | Pub/Sub 模式，需要 Redis || RabbitMQ | 企业级 | 消息确认、重试、路由 || Kafka | 高吞吐 | 日志流、事件溯源 || gRPC | 高性能 RPC | 强类型、Protobuf |开发阶段用 TCP，不需要装任何中间件。生产环境看需求：简单场景用 Redis，复杂路由和消息确认用 RabbitMQ，日志和流处理用 Kafka。混合模式：HTTP + 微服务大部分现实应用需要一个 HTTP 入口 + 内部微服务通信。NestJS 支持混合模式：// main.tsconst app = await NestFactory.create(AppModule);const microservice = app.connectMicroservice({ transport: Transport.REDIS, options: { url: 'redis://localhost:6379' },});await app.startAllMicroservices();await app.listen(3000);这样应用同时监听 HTTP（给前端用）和 Redis 消息（给其他微服务用）。API Gateway 模式通常是这种——外部请求走 HTTP，内部服务间走消息队列。什么时候该用微服务不要因为"微服务是趋势"就拆。微服务引入的复杂度（部署、调试、数据一致性）对小团队是灾难。适合微服务的信号：团队超过 10 人，需要独立部署不同模块某个模块有独立的伸缩需求（比如报表生成吃 CPU，需要单独扩容）不同模块的技术栈差异大（一个用 Node，一个用 Python）不适合微服务的信号：3-5 人团队模块间数据高度耦合没有自动化部署和监控基础设施大多数项目从模块化单体（Modular Monolith）开始更安全——NestJS 的 Module 本身就是天然的模块边界，等真正需要时再拆微服务，代码几乎不用改，只需要换 Transport。

NestJS 集成数据库的主流方案有两个：TypeORM（官方推荐，装饰器风格）和 Prisma（类型安全更好，迁移体验好）。选哪个看团队偏好——TypeORM 和 NestJS 风格统一，Prisma 的类型推导更强。TypeORM 集成npm install @nestjs/typeorm typeorm pg配置连接// app.module.tsimport { TypeOrmModule } from '@nestjs/typeorm';@Module({ imports: [ TypeOrmModule.forRoot({ type: 'postgres', host: process.env.DB_HOST, port: 5432, username: process.env.DB_USER, password: process.env.DB_PASS, database: process.env.DB_NAME, autoLoadEntities: true, synchronize: false, // 生产环境必须 false }), ],})export class AppModule {}autoLoadEntities 自动加载注册了 TypeOrmModule.forFeature() 的实体，不用手动列。synchronize: false 防止生产环境自动改表结构（丢数据风险）。定义实体// users/user.entity.ts@Entity()export class User { @PrimaryGeneratedColumn('uuid') id: string; @Column({ unique: true }) email: string; @Column() password: string; @CreateDateColumn() createdAt: Date;}在模块中注册// users/users.module.ts@Module({ imports: [TypeOrmModule.forFeature([User])], providers: [UsersService], controllers: [UsersController],})export class UsersModule {}使用 Repository// users/users.service.ts@Injectable()export class UsersService { constructor( @InjectRepository(User) private userRepo: Repository<User>, ) {} async findByEmail(email: string) { return this.userRepo.findOne({ where: { email } }); } async create(data: Partial<User>) { const user = this.userRepo.create(data); return this.userRepo.save(user); }}Prisma 集成npm install prisma @prisma/clientnpx prisma init定义 Schema// prisma/schema.prismamodel User { id String @id @default(uuid()) email String @unique password String createdAt DateTime @default(now()) posts Post[]}model Post { id String @id @default(uuid()) title String content String? authorId String author User @relation(fields: [authorId], references: [id]) createdAt DateTime @default(now())}生成迁移并应用npx prisma migrate dev --name init在 NestJS 中使用// prisma/prisma.service.ts@Injectable()export class PrismaService extends PrismaClient implements OnModuleInit { async onModuleInit() { await this.$connect(); }}// users/users.service.ts@Injectable()export class UsersService { constructor(private prisma: PrismaService) {} async findByEmail(email: string) { return this.prisma.user.findUnique({ where: { email } }); } async create(data: { email: string; password: string }) { return this.prisma.user.create({ data }); }}TypeORM vs Prisma 怎么选| 维度 | TypeORM | Prisma ||------|---------|--------|| 查询方式 | 装饰器 + Repository | 链式 API（自动补全强） || 类型安全 | 需要手动标注 | 自动推导，几乎不需要类型标注 || 迁移工具 | 内置但体验一般 | 最好，migrate dev 自动生成 SQL || 关联查询 | 容易写出 N+1 | include 语法清晰 || 社区 | NestJS 官方推荐 | 增长快，2024-2025 很多人从 TypeORM 迁过来 |新项目推荐 Prisma——类型安全和迁移体验的优势在项目做大后会越来越明显。已有 TypeORM 的项目不必迁移，两者都能正常工作。数据库迁移生产环境绝对不能依赖 synchronize: true（自动同步 schema 到数据库），这会静默删列、改类型，导致数据丢失。TypeORM 迁移：npx typeorm migration:generate -n AddUserTablenpx typeorm migration:runPrisma 迁移：npx prisma migrate dev --name add_user_table # 开发npx prisma migrate deploy # 生产migrate dev 生成迁移文件并应用，migrate deploy 只应用已有文件，适合 CI/CD。

NestJS 的认证授权用 Guards（守卫）+ 策略模式实现。认证（Authentication）验证"你是谁"，授权（Authorization）验证"你能做什么"。JWT 是最常用的认证方案，RBAC 是最常用的授权模型。JWT 认证安装依赖：npm install @nestjs/jwt @nestjs/passport passport passport-jwt配置 JWT 策略// auth/jwt.strategy.ts@Injectable()export class JwtStrategy extends PassportStrategy(Strategy) { constructor() { super({ jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(), secretOrKey: process.env.JWT_SECRET, }); } async validate(payload: { sub: string; email: string }) { return { id: payload.sub, email: payload.email }; }}validate 的返回值会挂到 req.user 上。Passport 自动验证 JWT 签名和过期时间，你只需要解析 payload。登录签发 Token// auth/auth.service.ts@Injectable()export class AuthService { constructor(private jwtService: JwtService) {} async login(email: string, password: string) { const user = await this.validateUser(email, password); const payload = { sub: user.id, email: user.email }; return { access_token: this.jwtService.sign(payload), }; }}保护路由@UseGuards(AuthGuard('jwt'))@Get('profile')getProfile(@Request() req) { return req.user;}没带 Token 或 Token 过期的请求返回 401。RBAC 角色授权认证只解决"你是谁"，授权解决"你能做什么"。// auth/roles.decorator.tsexport const Roles = (...roles: string[]) => SetMetadata('roles', roles);// auth/roles.guard.ts@Injectable()export class RolesGuard implements CanActivate { constructor(private reflector: Reflector) {} canActivate(context: ExecutionContext): boolean { const requiredRoles = this.reflector.get<string[]>('roles', context.getHandler()); if (!requiredRoles) return true; const { user } = context.switchToHttp().getRequest(); return requiredRoles.some(role => user.roles?.includes(role)); }}使用：@UseGuards(AuthGuard('jwt'), RolesGuard)@Roles('admin')@Delete('users/:id')removeUser() { return '仅管理员可操作';}先过 AuthGuard 验证身份（拿到 user），再过 RolesGuard 验证角色。顺序不能反——没有 user 对象就没法检查角色。密码安全永远不要明文存密码。用 bcrypt 哈希：import * as bcrypt from 'bcrypt';// 注册时哈希const hash = await bcrypt.hash(password, 10);// 登录时验证const isValid = await bcrypt.compare(inputPassword, hash);10 是 salt rounds，越大越安全但越慢。10 是当前推荐值，每增加 1 耗时翻倍。常见安全措施1. 限流防暴力破解：用 @nestjs/throttler 限制登录接口的请求频率。ThrottlerModule.forRoot([{ ttl: 60000, limit: 5 }]),60 秒内同一 IP 最多 5 次登录请求。2. CORS 配置：只允许可信域名访问。app.enableCors({ origin: ['https://your-app.com'] });3. Helmet 设置安全头：npm i helmet，app.use(helmet())。自动加上 X-Content-Type-Options、X-Frame-Options 等安全响应头。4. 输入验证：用 class-validator 的 DTO 验证所有入参，防止注入攻击。export class CreateUserDto { @IsEmail() email: string; @MinLength(8) password: string;}Token 刷新JWT 一旦签发无法撤销（这是无状态的设计）。如果用户改了密码或被踢下线，旧的 Token 仍然有效直到过期。两种解决方式：短过期 + Refresh Token：accesstoken 15 分钟过期，refreshtoken 7 天过期。refresh_token 存数据库可以主动撤销Token 黑名单：过期前把 Token 加入 Redis 黑名单，每次请求检查黑名单。牺牲了无状态的优点但更安全

Electron 的安全核心原则：不要信任渲染进程中的任何代码。渲染进程加载的是 Web 内容，可能被 XSS 攻击。如果渲染进程有 Node.js 访问权限（nodeIntegration: true），XSS 就等于远程代码执行——攻击者可以直接读写文件系统。第一条规则：关闭 nodeIntegrationnew BrowserWindow({ webPreferences: { nodeIntegration: false, contextIsolation: true }});nodeIntegration: false：渲染进程的 JS 不能直接调用 require('fs') 等 Node.js APIcontextIsolation: true：预加载脚本和渲染页面的 JS 运行在不同的 V8 上下文中，渲染页面无法修改预加载脚本的全局变量这是 Electron 最基本的安全配置。不关 nodeIntegration 的应用，一个 XSS 漏洞就能让攻击者完全控制用户的电脑。第二条规则：enableRemoteModule 关掉@electron/remote 模块让渲染进程间接调用主进程的 API。它本质上是把主进程的能力暴露给了渲染进程，和 nodeIntegration: true 一样危险。webPreferences: { nodeIntegration: false, contextIsolation: true, sandbox: true}sandbox: true 把渲染进程放在 Chromium 沙箱里，即使有漏洞也无法访问系统资源。这是最严格的安全模式。preload 脚本安全模式需要渲染进程和主进程通信时，用 preload 脚本暴露有限的 API：// preload.jsconst { contextBridge, ipcRenderer } = require('electron');contextBridge.exposeInMainWorld('electronAPI', { readFile: (path) => ipcRenderer.invoke('read-file', path), saveFile: (path, content) => ipcRenderer.invoke('save-file', path, content)});// 渲染进程const content = await window.electronAPI.readFile('/path/to/file');contextBridge.exposeInMainWorld 只暴露你明确声明的函数，渲染进程无法访问其他任何 Node.js API。攻击者即使注入了 JS，也只能调用 readFile 和 saveFile，不能执行任意系统命令。不要加载不信任的远程内容// 危险！加载远程 HTMLwin.loadURL('https://untrusted-site.com');// 安全：只加载本地文件win.loadFile('index.html');如果必须加载远程内容，用 webSecurity: true（默认开启）确保同源策略生效，并用 allowRunningInsecureContent: false 阻止加载 HTTP 资源。限制导航和弹窗win.webContents.on('will-navigate', (event, url) => { event.preventDefault(); // 阻止页面跳转});win.webContents.setWindowOpenHandler(() => { return { action: 'deny' }; // 阻止弹窗});XSS 攻击常用的手法是让页面跳转到恶意域名。阻止导航和弹窗可以切断这个路径。内容安全策略（CSP）在 HTML 的 meta 标签或 HTTP 头里设置 CSP，限制资源加载来源：<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'">script-src 'self' 只允许加载同源脚本，阻止攻击者注入外部 JS。unsafe-inline 对 CSS 可以接受（样式注入危害小），对 JS 绝对不能用。代码签名和公证未签名的应用会被操作系统拦截（macOS Gatekeeper、Windows SmartScreen），用户看到警告后大概率不敢安装。macOS：需要 Apple Developer 证书签名 + 公证（notarization）。electron-builder 配合 electron-notarize 工具自动完成。Windows：需要代码签名证书（EV 证书最可靠，立即获得 SmartScreen 信誉）。Linux：无签名要求，但 AppImage/Flatpak 有各自的签名机制。自动更新的安全确保更新包通过 HTTPS 下载，且验证签名。electron-updater 默认在 macOS 上验证代码签名，Windows 上验证 SHA256。不要关闭签名验证。检查清单[ ] nodeIntegration: false[ ] contextIsolation: true[ ] sandbox: true（如果不需要 preload 调 Node API）[ ] 不使用 @electron/remote[ ] preload 只暴露最小 API[ ] CSP 禁止 unsafe-inline 脚本[ ] 阻止渲染进程导航到外部 URL[ ] 应用签名 + 公证

Electron 应用最常见的抱怨：内存 300MB 起步、启动慢、CPU 空转。这些问题大部分可以通过架构调整和代码优化解决，但有些是 Chromium 内核的硬限制，只能缓解不能根除。1. 减少渲染进程数量每个 BrowserWindow 是一个独立的 Chromium 渲染进程，至少占 50-80MB 内存。开了 5 个窗口就是 250-400MB。优化方案：能用一个窗口解决就不要开多个。需要多视图用 BrowserView（Electron 28+ 用 WebContentsView）代替多窗口——多个 View 共享一个渲染进程，内存开销小得多。const { WebContentsView } = require('electron');const view = new WebContentsView();view.webContents.loadURL('https://example.com');mainWindow.contentView.addChildView(view);2. 懒加载窗口不要在应用启动时创建所有窗口。只在用户打开时才创建，关闭时销毁：let settingsWindow = null;function openSettings() { if (settingsWindow) { settingsWindow.focus(); return; } settingsWindow = new BrowserWindow({ /* ... */ }); settingsWindow.on('closed', () => { settingsWindow = null; });}设为 null 而不是 hide——hide 保留渲染进程在内存里，设为 null 才真正释放。3. 主进程和渲染进程分离不要在渲染进程里做 CPU 密集型操作（解析大文件、图像处理），会阻塞 UI 导致卡顿。把这些任务放到主进程或 Worker 线程：// 渲染进程const { ipcRenderer } = require('electron');const result = await ipcRenderer.invoke('heavy-task', data);// 主进程ipcMain.handle('heavy-task', (event, data) => { return doHeavyWork(data);});更重的任务用 Node.js 的 worker_threads，避免阻塞主进程的事件循环。4. 开启 V8 内存优化const app = require('electron').app;app.commandLine.appendSwitch('js-flags', '--max-old-space-size=512');限制 V8 堆内存上限，迫使垃圾回收更积极。默认 V8 在 1.5GB 左右才触发 GC，限制到 512MB 让 GC 更早介入，减少内存峰值。5. 精简依赖Electron 应用打包后体积大的一个原因是 node_modules 太臃肿。用 electron-builder 的 files 配置只包含必要的文件：{ "build": { "files": [ "dist/**/*", "package.json" ], "extraResources": [] }}检查包体积：electron-builder 打包后看 *.blockmap 文件大小，或者用 source-map-explorer 分析 JS bundle 大小。6. 优化启动速度冷启动慢的常见原因：加载太多 JS、创建了不需要的窗口、初始化了用不到的模块。用 webpack 或 esbuild 打包，减少文件 I/O 次数延迟加载非核心模块（import() 动态导入）show: false 创建窗口，加载完成后再 show()const win = new BrowserWindow({ show: false });win.loadURL('app://index.html');win.once('ready-to-show', () => { win.show(); });7. 关闭不需要的 Chromium 特性app.commandLine.appendSwitch('disable-features', 'MediaRouter');app.commandLine.appendSwitch('disable-background-timer-throttling');MediaRouter 是 Chromecast 投屏功能，大部分桌面应用不需要。关掉能省一点内存和 CPU。8. 渲染进程性能分析用 Chrome DevTools 分析渲染进程性能——和优化网页一样。Ctrl+Shift+I 打开 DevTools，Performance 面板录制操作，看哪些函数耗时最长。主进程性能分析：启动时加 --inspect 参数，用 Chrome DevTools 远程连接。底线Electron 应用的内存下限约 150-200MB（Chromium 内核开销），这是无法突破的。如果你的应用必须控制在 50MB 以内，Electron 不是正确选择——看 Tauri 或纯原生。

Electron 用 Web 技术写桌面应用，原生用 Swift/Kotlin/C++ 写。选哪个取决于你的团队技术栈、性能要求和分发场景。一句话：Web 团队选 Electron，性能敏感选原生。核心差异| 维度 | Electron | 原生（Swift/Kotlin/C++） ||------|----------|--------------------------|| 技术栈 | HTML/CSS/JS | 平台特定语言 || 跨平台 | 一套代码三端运行 | 每个平台单独写 || 开发速度 | 快（Web 生态成熟） | 慢（三倍工作量） || 安装包 | 大（100MB+，含 Chromium） | 小（10-30MB） || 内存占用 | 高（300MB+） | 低（50-100MB） || 启动速度 | 慢（2-5 秒） | 快（<1 秒） || 原生 API | 间接调用，部分受限 | 直接调用，完全访问 || UI 一致性 | 三端一致 | 各平台原生风格 |Electron 的优势开发效率高：前端工程师直接上手，不用学 Swift 和 Kotlin。一个团队维护一套代码，而不是三个。npm 生态几十万包，几乎所有功能都有现成库。UI 跨平台一致：设计稿做一套就行。原生开发每个平台 UI 规范不同，同样的功能要做三遍。热更新能力：Electron 可以通过远程加载 JS 实现热更新，绕过应用商店的审核周期。原生应用必须通过商店审核。知名 Electron 应用：VSCode、Slack、Discord、Notion、Figma Desktop——这些应用证明 Electron 能做到产品级质量。原生的优势性能：原生应用的 CPU/内存占用是 Electron 的 1/3 到 1/5。Chromium 渲染引擎本身就要占 200-300MB 内存，这是架构决定的，再怎么优化也下不来。系统集成：原生应用可以直接调用系统 API——Touch Bar、Widgets、App Shortcuts、系统通知的深度集成。Electron 只能通过有限的桥接接口访问。用户体验：原生应用遵循平台 UI 规范，用户不需要学习新的交互方式。Electron 应用做得很"Web"，在 macOS 上感觉不像 Mac 应用。中间方案Tauri：用 Rust 写后端 + Web 前端，打包体积只有 3-10MB（不含 Chromium，用系统 WebView）。内存占用比 Electron 低 50-70%。适合工具类应用，但生态不如 Electron 成熟，原生模块支持有限。Flutter Desktop：Dart 语言，自绘引擎。跨端一致性好（移动端+桌面端），但桌面端生态还在发展中。React Native for Desktop：微软的 react-native-windows 和 react-native-macos。用 React 写原生 UI，比 Electron 性能好但社区较小。决策框架选 Electron 的情况：团队全是前端工程师应用是内容展示/工具类，不追求极致性能需要快速上线，三端同步发布需要热更新能力选原生的情况：应用对性能/内存敏感（视频编辑、3D 渲染、大型游戏）需要深度系统集成只需要支持一个平台用户体验优先级高于开发效率选 Tauri 的情况：想要 Electron 的开发体验但受不了包体积和内存后端逻辑不复杂（Tauri 的 Rust 后端学习曲线较陡）目标用户对安装包大小敏感

Electron 应用的自动更新用 electron-updater 实现，配合 electron-builder 打包。原理很简单：应用启动时检查远程服务器有没有新版本，有就下载并替换，下次启动生效。最简配置// package.json{ "build": { "publish": { "provider": "github", "owner": "your-username", "repo": "your-repo" } }}// main.tsimport { autoUpdater } from 'electron-updater';autoUpdater.autoDownload = false;autoUpdater.checkForUpdates();autoUpdater.on('update-available', () => { // 通知用户有新版本 autoUpdater.downloadUpdate();});autoUpdater.on('update-downloaded', () => { // 下载完成，提示重启 autoUpdater.quitAndInstall();});三步：检查更新 → 下载 → 安装。autoDownload: false 让你控制何时下载（可以选择在用户确认后再下载，避免浪费流量）。发布更新到 GitHub每次发布新版本：# 1. 改 package.json 版本号npm version patch # 或 minor / major# 2. 打包并发布到 GitHub Releaseselectron-builder --publish always--publish always 会自动把安装包上传到 GitHub Releases，并生成 latest.yml（Windows）/ latest-mac.yml（macOS）文件，electron-updater 靠这个文件判断是否有新版本。不想自动发布，用 --publish never，手动上传到 GitHub Releases。自建更新服务器不想用 GitHub？任何静态文件服务器都行。electron-updater 只需要访问两个文件：安装包（.exe / .dmg / .AppImage）版本描述文件（latest.yml / latest-mac.yml）// package.json{ "build": { "publish": { "provider": "generic", "url": "https://your-server.com/updates/" } }}服务器目录结构：/updates/├── latest.yml├── myapp-1.2.0.exe├── latest-mac.yml└── myapp-1.2.0.dmg每次发版把安装包和 yml 文件放上去就行。增量更新（Windows）全量更新每次下载完整安装包（几十到上百 MB），对大应用不友好。Windows 支持增量更新（blockmap）：只下载变化的部分，减少 80-90% 下载量。electron-builder 打包时默认生成 .blockmap 文件，electron-updater 自动使用增量更新，不需要额外配置。macOS 和 Linux 不支持 blockmap 增量更新。更新进度通知下载大文件时应该显示进度：autoUpdater.on('download-progress', (progress) => { const percent = progress.percent.toFixed(1); const speed = (progress.bytesPerSecond / 1024 / 1024).toFixed(1); // 发送到渲染进程显示 mainWindow.webContents.send('update-progress', { percent, speed: `${speed} MB/s` });});更新签名macOS 必须签名才能自动更新，否则系统会拦截。Windows 建议签名，否则 SmartScreen 会弹警告。macOS 签名配置：{ "build": { "mac": { "identity": "Developer ID Application: Your Name (TEAMID)", "hardenedRuntime": true, "entitlements": "build/entitlements.mac.plist" } }}常见问题更新检查不触发：开发模式（electron .）下 autoUpdater 不工作，必须打包成安装版才能测试更新流程。可以用 electron-builder build --dir 生成未安装的包本地测试。macOS 更新后打不开：通常是签名或公证（notarization）问题。macOS 10.15+ 要求应用必须经过 Apple 公证，否则用户需要手动允许。在 electron-builder 里配 "afterSign": "electron-builder-notarize"。版本号没变但提示更新：确保每次发布都改了 package.json 的 version。electron-updater 通过比较版本号判断是否需要更新。

Electron 原生模块是用 C/C++ 写的 Node.js 模块，通过 N-API 或 NAN 桥接到 JavaScript。常见于需要调用系统 API（文件系统、硬件、加密）或追求极致性能的场景。难点不在写 C++ 代码，而在编译——Electron 用的 Node.js 版本和系统 Node 可能不同，导致原生模块编译失败。为什么需要原生模块JavaScript 做不了的事：调用操作系统的原生 API（注册表、系统通知、硬件接口）、极高性能计算（图像处理、加密）、复用已有的 C/C++ 库。常见的原生模块：node-serialport（串口通信）、node-gyp（编译工具链）、sharp（图像处理，底层 libvips）、keytar（系统密钥管理）。原生模块的两种方式1. N-API（推荐）：Node.js 官方提供的稳定 ABI。用 N-API 编译的模块不依赖特定 Node.js 版本，Electron 升级时不需要重新编译。2. NAN（旧方案）：直接用 V8 的 C++ API，不同 Node 版本间 API 会变，每次 Electron 升级可能需要重编译。新项目不要用 NAN。编译原生模块Electron 的 Node.js 版本和系统安装的 Node 版本不同，所以原生模块必须针对 Electron 重新编译。方法一：electron-rebuild（最简单）npm install electron-rebuild --save-devnpx electron-rebuild自动检测 Electron 的 Node 版本和 ABI，重新编译所有原生模块。方法二：prebuild（推荐发布流程）很多原生模块提供预编译二进制（prebuild），不需要本地编译。但 Electron 需要指定下载对应版本：npm install --runtime=electron --target=28.0.0 --disturl=https://electronjs.org/headers--target 是 Electron 版本号，--disturl 指向 Electron 的头文件下载地址。自己写一个原生模块用 N-API C++ 写模块，用 node-gyp 编译：// src/addon.cpp#include <node_api.h>napi_value Hello(napi_env env, napi_callback_info info) { napi_value result; napi_create_string_utf8(env, "Hello from C++!", NAPI_AUTO_LENGTH, &result); return result;}napi_value Init(napi_env env, napi_value exports) { napi_value fn; napi_create_function(env, "hello", NAPI_AUTO_LENGTH, Hello, NULL, &fn); napi_set_named_property(env, exports, "hello", fn); return exports;}NAPI_MODULE(NODE_GYP_MODULE_NAME, Init)# binding.gyp{ "targets": [{ "target_name": "addon", "sources": ["src/addon.cpp"] }]}npm install --build-from-source在 Electron 里使用：const addon = require('./build/Release/addon.node');console.log(addon.hello()); // "Hello from C++!"常见编译问题MODULE_NOT_FOUND 或 Unsatisfied dependency：原生模块没有针对 Electron 重编译。跑 npx electron-rebuild 解决。node-gyp 编译报错：缺少构建工具链。macOS 需要 Xcode Command Line Tools（xcode-select --install），Windows 需要 npm install -g windows-build-tools，Linux 需要 build-essential 和 python3。Mac M1/M2 芯片兼容：arm64 架构的原生模块需要用 arm64 版的 Electron 编译。如果用 Rosetta 跑 x64 版 Electron，原生模块也要编译成 x64。electron-rebuild 会自动匹配架构。打包时处理原生模块用 electron-builder 打包时，原生模块会被自动包含。但如果用了 asar 打包，原生模块不能放在 asar 里面（.node 文件不能从 asar 中加载）。electron-builder 默认会把原生模块解压到 app.asar.unpacked 目录，不需要手动处理。

开发 VSCode 扩展就是写一个 Node.js 程序，通过 VSCode 提供的 API 注册命令、视图、语言服务等功能。从零到发布，核心步骤：脚手架生成 → 实现功能 → 调试 → 打包发布。环境准备npm install -g yo generator-code vsceyo + generator-code：官方脚手架，生成扩展项目模板vsce：打包和发布工具创建扩展yo code按提示选择：扩展类型：New Extension (TypeScript) 推荐扩展名、显示名、描述是否初始化 Git 仓库是否用 webpack 打包（推荐选 Yes，打包后体积小很多）生成的项目结构：my-extension/├── src/│ └── extension.ts # 扩展入口├── package.json # 扩展配置（命令、菜单、激活事件）├── tsconfig.json└── .vscode/ ├── launch.json # 调试配置（自动生成） └── tasks.json # 编译任务核心概念激活事件：扩展不是启动时就加载，而是按需激活。在 package.json 的 activationEvents 里声明何时激活："activationEvents": [ "onCommand:myExtension.hello", "onLanguage:python"]onCommand 在用户执行指定命令时激活，onLanguage 在打开特定语言文件时激活。入口函数：extension.ts 导出 activate 和 deactivate 两个函数：import * as vscode from 'vscode';export function activate(context: vscode.ExtensionContext) { let disposable = vscode.commands.registerCommand( 'myExtension.hello', () => { vscode.window.showInformationMessage('Hello World!'); } ); context.subscriptions.push(disposable);}export function deactivate() {}registerCommand 注册命令，命令名必须和 package.json 里声明的对应。context.subscriptions.push 确保扩展停用时自动清理资源。注册命令和菜单package.json 声明命令和快捷键："contributes": { "commands": [ { "command": "myExtension.hello", "title": "Say Hello" } ], "keybindings": [ { "command": "myExtension.hello", "key": "ctrl+shift+h", "mac": "cmd+shift+h" } ]}命令会出现在 Ctrl+Shift+P 命令面板里。调试扩展按 F5 启动调试——VSCode 会打开一个新的 VSCode 窗口（Extension Development Host），加载你的扩展。在源码里设断点，调试方式和普通 Node.js 程序一样。修改代码后，在 Extension Development Host 里 Ctrl+R 重载窗口即可生效，不需要重启调试。发布到扩展市场# 创建 Publisher（首次）vsce create-publisher your-publisher-name# 登录vsce login your-publisher-name# 打包发布vsce publish需要先在 Azure DevOps 创建 Personal Access Token 作为认证凭据。发布后几分钟内就能在 VSCode 扩展市场搜到。只打包不发布：vsce package 生成 .vsix 文件，可以手动安装（code --install-extension my-extension.vsix）供内部使用。

VSCode 的"工作区"就是当前打开的项目。最简单的情况——打开一个文件夹就是工作区。多根工作区是同时打开多个文件夹，适合 monorepo 或前后端分离的项目。单文件夹工作区File > Open Folder 打开一个文件夹，这就是最基本的工作区。VSCode 在这个文件夹下创建 .vscode/ 目录存放配置（settings.json、launch.json、tasks.json）。大部分时候用单文件夹就够了。一个项目一个窗口，清爽明了。多根工作区File > Add Folder to Workspace 可以把另一个文件夹加进来。两个文件夹在侧边栏并列显示，共享同一个窗口。保存工作区配置：File > Save Workspace As，生成一个 .code-workspace 文件：// project.code-workspace{ "folders": [ { "path": "frontend" }, { "path": "backend" }, { "path": "../shared-lib" } ], "settings": { "editor.formatOnSave": true }}path 支持相对路径和绝对路径。../shared-lib 可以引用上级目录的其他项目。多根工作区的设置继承多根工作区有三层设置：全局设置（User）— 所有项目共享文件夹设置（各 .vscode/settings.json）— 只对各自文件夹生效工作区设置（.code-workspace 里的 settings）— 对整个工作区生效优先级：文件夹 > 工作区 > 全局。关键点：各文件夹的设置互不影响。frontend 的 .vscode/settings.json 不会覆盖 backend 的。如果想让两个项目共享设置，写在 .code-workspace 的 settings 里。什么时候需要多根工作区需要：前后端分仓库（frontend/ + backend/），需要同时看两边代码；monorepo 的子项目需要独立配置。不需要：monorepo 根目录已经包含所有子项目（直接打开根目录就行）；偶尔需要看另一个仓库的代码（用 Ctrl+Click 打开新窗口更简单）。多根工作区的缺点：搜索范围更大（可以限制到特定文件夹）；终端需要切换到对应文件夹才能执行命令；Git 操作需要选择仓库。多根工作区的终端多根工作区里，终端面板的下拉菜单会显示各文件夹名。选择哪个文件夹就在哪个目录下启动 Shell。也可以在终端里用 cd 切换。共享工作区配置.code-workspace 文件可以提交到 Git，团队成员打开就能获得相同的文件夹结构和设置。但注意 path 必须是团队成员都能访问的——如果路径是绝对路径或依赖特定目录结构，别人打开会报错。

VSCode 的调试器支持 Node.js、Python、C++、Java 等主流语言。核心配置文件是 .vscode/launch.json，定义调试的启动方式和参数。最快上手：不用写配置很多语言不需要手写 launch.json：Node.js：打开 JS 文件，按 F5，VSCode 自动以当前文件启动调试Python：装 Python 扩展后，打开 .py 文件按 F5 自动调试HTML：装 Live Server 扩展，右键 "Open with Live Server" 在浏览器调试如果自动检测不对，按 F5 后从弹出的环境列表中选择。手动配置 launch.json需要精细控制时，创建 .vscode/launch.json：{ "version": "0.2.0", "configurations": [ { "type": "node", "request": "launch", "name": "Debug Server", "program": "${workspaceFolder}/src/index.ts", "runtimeArgs": ["--nolazy", "-r", "ts-node/register"], "env": { "NODE_ENV": "development" }, "console": "integratedTerminal" }, { "type": "node", "request": "attach", "name": "Attach to Process", "port": 9229, "restart": true } ]}两种 request 模式：launch：VSCode 启动程序并附加调试器attach：程序已经在运行，VSCode 附加到进程上调试（适合调试 Docker 容器或远程进程）常用调试操作| 操作 | 快捷键 | 说明 ||------|--------|------|| 开始/继续 | F5 | 启动调试或继续运行到下一个断点 || 单步跳过 | F10 | 执行当前行，不进入函数内部 || 单步进入 | F11 | 进入函数内部 || 单步跳出 | Shift+F11 | 跳出当前函数 || 停止 | Shift+F5 | 终止调试 || 重启 | Ctrl+Shift+F5 | 重启调试会话 |断点类型普通断点：点击行号左侧的空白区域设置。条件断点：右键行号选 "Add Conditional Breakpoint"，输入条件表达式（如 i === 50）。只有条件为 true 时才暂停，调试循环时很有用。日志断点：右键选 "Add Logpoint"，输入日志文本（如 Current value: {variable}）。不暂停程序，只在控制台打印——比 console.log 干净，不改代码。命中计数断点：条件断点里设置 hit count（如 5），第 5 次执行到才暂停。适合循环中某次迭代出问题的场景。调试面板暂停时左侧出现三个面板：Variables：当前作用域的局部变量和全局变量，可以展开对象查看属性Watch：自定义监视表达式，实时计算值Call Stack：调用栈，点击任意帧跳转到对应代码位置Variables 面板可以直接修改变量值——双击数值输入新值，继续运行时会用新值。调试算法逻辑时非常有用。调试远程/容器程序Docker 容器：在 launch.json 里配 attach 模式，指向容器暴露的调试端口：{ "type": "node", "request": "attach", "name": "Docker Attach", "port": 9229, "address": "localhost", "localRoot": "${workspaceFolder}/src", "remoteRoot": "/app/src", "restart": true}localRoot 和 remoteRoot 做路径映射——VSCode 用本地路径显示代码，但调试器用容器内的路径。restart: true 在容器重启后自动重新连接。常见问题断点不生效（灰色圆圈）：代码和编译产物不一致。确保构建后再调试，或配 preLaunchTask 自动构建。无法 attach 到进程：目标进程必须以调试模式启动。Node.js 加 --inspect 参数，Python 加 -m debugpy --listen 5678。调试时跳进了 node_modules：在 launch.json 里加 "skipFiles": ["<node_internals>/**", "node_modules/**"]，调试时自动跳过这些文件。

VSCode 的设置分三个层级：全局 > 工作区 > 文件夹。优先级从低到高，后者的设置覆盖前者。理解这个层级关系才能避免"明明改了设置为什么不生效"的困惑。三层优先级| 层级 | 存储位置 | 作用范围 | 优先级 ||------|----------|----------|--------|| 全局（User） | ~/.config/Code/User/settings.json | 所有项目 | 最低 || 工作区（Workspace） | .vscode/settings.json | 当前工作区 | 中 || 文件夹（Folder） | .vscode/settings.json（子目录） | 子目录内的文件 | 最高 |打开设置面板（Ctrl+,）时，右上角有个标签页切换：User 是全局设置，Workspace 是项目级设置。同一个设置项在两层都有值时，Workspace 的生效。什么时候用哪一层全局设置：和项目无关的个人偏好——字体大小、主题、终端 Shell、编辑器行为。这些你在任何项目里都希望保持一致。// 全局 settings.json{ "editor.fontSize": 14, "editor.tabSize": 4, "workbench.colorTheme": "One Dark Pro", "terminal.integrated.defaultProfile.osx": "zsh"}工作区设置：项目特定配置——格式化工具、lint 规则、排除了哪些目录。这些设置应该提交到 Git，让团队所有人一致。// .vscode/settings.json（项目级）{ "editor.formatOnSave": true, "editor.defaultFormatter": "esbenp.prettier-vscode", "files.watcherExclude": { "**/node_modules": true, "**/dist": true }, "python.defaultInterpreterPath": "./venv/bin/python"}文件夹设置：多根工作区里不同项目需要不同配置时用。比如一个 monorepo 里前端和后端用不同的格式化配置。远程设置的坑VSCode Remote（SSH/WSL/Container）的设置是独立的两套——本地和远程各自有全局设置。在远程环境打开设置面板改的是远程的全局设置，不是本地的。如果发现远程环境设置不生效，检查是不是改错了位置：Ctrl+Shift+P 输入 Preferences: Open Settings，看标签页是 [Local] 还是 [Remote]。扩展设置的优先级扩展也可以注册设置项，优先级规则相同。但扩展可以设置 scope 限制设置项在哪些层级可用：machine：只能在全局级别设置（如 Python 解释器路径）window：工作区级别resource：文件级别（可以按文件夹覆盖）如果某个设置项在工作区级别改不了，大概率是扩展把它设成了 machine scope。设置冲突排查"改了设置不生效"的排查步骤：Ctrl+Shift+P 输入 Developer: Inspect Editor Tokens and Scopes，看某个设置最终生效的值和来源在设置面板搜索该设置项，右侧会显示 "Modified in Workspace" 或 "Modified in User"如果两个地方都改了，点齿轮图标选 "Reset Setting" 清掉不需要的那层

VSCode 的任务系统让你把常用命令（构建、测试、部署）绑定为任务，按 Ctrl+Shift+B 直接运行，不用每次手敲终端命令。最简单的任务// .vscode/tasks.json{ "version": "2.0.0", "tasks": [ { "label": "build", "type": "shell", "command": "npm run build" } ]}运行：Ctrl+Shift+P 输入 Tasks: Run Task，选择 "build"。或者 Tasks: Run Build Task（Ctrl+Shift+B）直接运行标记为 build group 的任务。常用任务配置{ "version": "2.0.0", "tasks": [ { "label": "dev", "type": "shell", "command": "npm run dev", "isBackground": true, "problemMatcher": [] }, { "label": "build", "type": "shell", "command": "npm run build", "group": { "kind": "build", "isDefault": true }, "problemMatcher": ["$tsc"] }, { "label": "test", "type": "shell", "command": "npm test", "group": { "kind": "test", "isDefault": true } } ]}关键配置项：group: "build"：标记为构建任务，Ctrl+Shift+B 直接触发group: "test"：标记为测试任务，可以在菜单里一键跑isBackground: true：后台运行（dev server 这种不会自动退出的命令必须加）problemMatcher：解析终端输出中的错误，映射到编辑器的 Problems 面板problemMatcher：自动捕获错误$tsc 是内置的 TypeScript 编译器匹配器，自动把 src/main.ts(10,5): error TS2304 这种输出映射到编辑器的问题面板。自定义匹配器（捕获 ESLint 错误）：{ "label": "lint", "type": "shell", "command": "npx eslint src/", "problemMatcher": { "owner": "eslint", "fileLocation": "relative", "pattern": { "regexp": "^(.+):(\d+):(\d+)\s+-\s+(.+)$", "file": 1, "line": 2, "column": 3, "message": 4 } }}正则捕获的文件名、行号、列号映射到编辑器，点击错误直接跳转。任务间依赖多个任务按顺序执行：{ "label": "deploy", "dependsOn": ["build", "test"], "dependsOrder": "sequence"}dependsOrder: "sequence" 串行执行（先 build 再 test），不加则是并行。输入变量任务支持变量替换，不用硬编码路径：{ "label": "run current file", "type": "shell", "command": "python ${file}"}常用变量：${file}（当前文件）、${workspaceFolder}（项目根目录）、${fileBasenameNoExtension}（文件名不含后缀）。preLaunchTask：调试前自动跑任务在 launch.json 里配 preLaunchTask，按 F5 调试时自动先跑构建任务：// .vscode/launch.json{ "configurations": [ { "type": "node", "request": "launch", "name": "Debug", "program": "${workspaceFolder}/dist/index.js", "preLaunchTask": "build" } ]}这样调试时不会遇到"代码改了但跑的是旧构建"的问题。

VSCode 内置了 Git 支持，日常的 commit、diff、branch、merge、resolve conflict 都不用离开编辑器。不装任何扩展就能用，大部分情况下不需要命令行。基本操作查看变更左侧栏的 Source Control 图标（分支形状）显示当前仓库状态。点击后能看到所有已修改文件，点击文件名查看 diff（左右对照显示新增/删除的行）。暂存和提交点击文件旁的 + 号暂存（相当于 git add）点击 - 号取消暂存（相当于 git reset HEAD）在输入框写 commit message，按 Ctrl+Enter 提交比命令行快的地方：可以部分暂存——在 diff 视图里选中几行右键 "Stage Selected Ranges"，只提交某几行改动而不是整个文件。撤销修改文件旁的回退箭头图标撤销所有未暂存的修改（git checkout）。如果已经暂存了，先取消暂存再撤销。分支管理左下角状态栏显示当前分支名。点击分支名弹出分支列表：切换到已有分支创建新分支（从当前分支或指定分支创建）删除分支合并分支：Ctrl+Shift+P 输入 Git: Merge Branch，选择要合并进来的分支。如果有冲突，VSCode 会标记冲突文件。解决冲突冲突文件会在编辑器里显示三段内容：Current Change（当前分支的版本）Incoming Change（要合并进来的版本）上方有四个按钮：Accept Current / Accept Incoming / Accept Both / Compare点击按钮选择保留哪个版本，或者手动编辑合并后的内容。解决所有冲突后保存文件，暂存并提交。VSCode 的冲突解决界面比 git mergetool 直观很多——两个版本左右对照，选中哪边一目了然。查看历史内置功能比较有限：只能看文件的行级别 blame（鼠标悬停在某行显示最后修改的 commit）。要看完整历史，装 GitLens 扩展——显示每一行的修改者、时间、commit 信息，还能看文件的历史版本和 diff。.gitignore 支持创建 .gitignore 文件后，VSCode 自动忽略匹配的文件。已跟踪的文件如果加入 .gitignore 不会自动取消跟踪，需要先 git rm --cached。忽略文件但不想提交 .gitignore：用全局 gitignore（git config --global core.excludesFile ~/.gitignore_global）。常见问题Source Control 面板不显示：打开的文件夹不是 Git 仓库。Ctrl+Shift+P 输入 Git: Initialize Repository 初始化，或者 Git: Clone 克隆远程仓库。文件修改后没有变化标记：可能是文件编码问题或 .gitignore 规则意外匹配。检查 git status 在终端里是否正常。提交时 husky/pre-commit hook 报错：VSCode 的 Git 集成调用的是系统 git，hook 正常运行。但如果 hook 依赖环境变量（如 PATH 中的 node），VSCode 可能找不到。从终端启动 VSCode（code .）可以继承终端的环境变量。

VSCode 变卡通常是因为扩展太多、大文件处理、或 TypeScript 语言服务过载。按优先级排查：禁用扩展 → 排除大文件夹 → 调整 TypeScript 配置。1. 禁用不需要的扩展扩展是 VSCode 卡顿的头号原因。每个扩展都会在后台运行，有些还监听所有文件变化。快速定位问题扩展：按 Ctrl+Shift+P 输入 Developer: Show Running Extensions，看哪些扩展占用 CPU 高。按工作区禁用：不需要全局禁用。在扩展面板右键选 "Disable (Workspace)"，只对当前项目禁用。比如前端项目不需要 C++ 扩展，Python 项目不需要 Java 扩展。高危扩展：这些类型的扩展特别吃性能：实时 lint/formatter（ESLint、Prettier 在每次保存时运行）代码分析工具（SonarLint 扫描整个项目）主题/图标包（某些实现不好的会拖慢渲染）2. 大项目排除不需要的文件夹打开大项目（node_modules 几百 MB、dist 目录几万文件）时，VSCode 的文件监控会卡住。// settings.json{ "files.watcherExclude": { "**/.git/objects/**": true, "**/.git/subtree-cache/**": true, "**/node_modules/**": true, "**/dist/**": true, "**/.next/**": true, "**/build/**": true }, "files.exclude": { "**/.git": true, "**/node_modules": true, "**/dist": true }}watcherExclude 停止文件监控（省 CPU），exclude 从文件树隐藏（省渲染）。两者配合效果最好。改完之后可能需要 Developer: Reload Window 重新加载。3. TypeScript/JavaScript 语言服务优化TypeScript 语言服务是 VSCode CPU 占用的大户——它要分析整个项目的类型关系。// settings.json{ "typescript.tsserver.maxTsServerMemory": 4096, "js/ts.implicitProjectConfig.checkJs": false, "typescript.preferences.importModuleSpecifier": "relative"}maxTsServerMemory: 4096 给 TS 服务器更多内存，避免大项目 OOM 崩溃重启（反复重启本身就是卡顿原因）。如果不做 JS/TS 开发，可以直接禁用内置 TypeScript 扩展。4. 关闭不必要的功能// settings.json{ "editor.minimap.enabled": false, "editor.renderWhitespace": "none", "editor.quickSuggestionsDelay": 200, "workbench.editor.enablePreview": true, "telemetry.telemetryLevel": "off"}minimap：大文件时 minimap 渲染开销不小，关掉立竿见影renderWhitespace：显示空白字符需要额外渲染enablePreview：单击文件只预览不打开新标签页，减少标签页数量5. 大文件用其他编辑器VSCode 对超过 10MB 的文件力不从心——语法高亮变慢、滚动卡顿、内存飙升。这是架构决定的（VSCode 用 TextBuffer 而非传统的行数组）。处理大文件的建议：日志文件：用 less 命令或 Dedicated Log Viewer大 JSON/CSV：用专项工具（jq、bat）超大代码文件：拆分文件才是根本解// settings.json{ "files.maxMemoryForLargeFilesMB": 4096}提高大文件内存上限，但不治本——文件太大时该卡还是卡。检查当前性能按 Ctrl+Shift+P 输入 Developer: Open Process Explorer，看每个进程的 CPU 和内存占用。如果某个扩展进程持续占用 CPU，就是问题根源。

VSCode 主题分两种：颜色主题（编辑器配色）和文件图标主题（资源管理器图标）。想更深入，还可以通过 color customization 精细控制每个 UI 元素的颜色。安装主题扩展市场里有上千个主题。Ctrl+Shift+X 打开扩展面板，搜索 "theme" 就能找到。几个口碑好的：One Dark Pro：Atom 风格暗色主题，下载量最高之一Dracula：经典暗色，跨编辑器统一风格GitHub Theme：GitHub 官方亮色/暗色主题Catppuccin：柔和的暖色调暗色主题，2024-2025 年热度上升很快Tokyo Night：偏蓝调暗色主题，和 One Dark Pro 风格接近但更素装完主题后切换：Ctrl+K Ctrl+T，从列表中选择。文件图标主题图标主题控制侧边栏文件树里的图标样式：Material Icon Theme：Google Material 风格，覆盖文件类型最全vscode-icons：VSCode 官方团队出品，辨识度高切换图标主题：Ctrl+Shift+P 输入 File Icon Theme，从列表中选择。图标主题和颜色主题独立，可以混搭。精细自定义：覆盖特定颜色装了主题但想改几个颜色？不用从零写主题，用 workbench.colorCustomizations 覆盖：// settings.json{ "workbench.colorCustomizations": { "editor.background": "#1a1b26", "editor.foreground": "#a9b1d6", "editorCursor.foreground": "#c0caf5", "editor.selectionBackground": "#33467c", "editor.lineHighlightBackground": "#1f2335", "sideBar.background": "#16161e", "activityBar.background": "#16161e" }}这样只改你关心的几个颜色，主题的其他部分保持不变。比从零写主题简单得多。自定义语法高亮颜色语法高亮的颜色由 TextMate token 控制，可以通过 editor.tokenColorCustomizations 覆盖：// settings.json{ "editor.tokenColorCustomizations": { "textMateRules": [ { "scope": "keyword", "settings": { "foreground": "#bb9af7", "fontStyle": "bold" } }, { "scope": ["comment", "punctuation.definition.comment"], "settings": { "foreground": "#565f89", "fontStyle": "italic" } }, { "scope": "string", "settings": { "foreground": "#9ece6a" } } ] }}常见 scope：keyword（关键字）、string（字符串）、comment（注释）、function（函数名）、variable（变量名）、number（数字）。按项目设置不同主题每个项目可以用不同的主题——工作项目用暗色，个人项目用亮色：// .vscode/settings.json（项目级别）{ "workbench.colorCustomizations": { "[One Dark Pro]": { "editor.background": "#1e1e2e" }, "[GitHub Dark]": { "editor.background": "#0d1117" } }}[主题名] 语法让定制只在特定主题下生效。创建自己的主题扩展如果改动太多，不如直接打包成主题扩展分享。用 Yoeman 脚手架生成：npm install -g yo generator-codeyo code# 选择 "New Color Theme"生成的项目里有一个 JSON 文件定义所有颜色。改完后 vsce publish 发布到扩展市场。