硬核|全栈后端开发资源全景图:18个Agent + 28个Skill + 14套Rules
作者:白晨ovis 首发平台:掘金 标签:Claude Code / Agent Skills / 后端开发 / Java / Spring Boot
一、前言
做 Java 后端开发多年,深知一套统一的工程规范对于团队协作的重要性。近期深度调研了 everything-claude-code(ECC)这个全栈后端资源库,收录了 18 个专家级 Agent、28 个专项 Skill、14 套工作流 Rules,覆盖从架构设计到代码审查、从数据库优化到安全加固的全链路。
本文是这篇资源的深度解读,重点标注了与 Java/Spring Boot/PostgreSQL 直接相关的核心组件,以及如何与 WorkBuddy 项目协同使用。
二、核心资源总览
| 类型 | 数量 | 触发方式 | 定位 |
|---|---|---|---|
| Agents | 18 个 | /invoke agent-name | 专家级角色,带固定执行流程 |
| Skills | 28 个 | /use skill-name | 领域知识库,按需激活 |
| Rules | 14 个目录 | 自动触发 | 场景化工作流规则 |
三、Agents(专家级角色)
Agent 是 Claude Code 中的专家角色,通过 /invoke 触发,每个都有固定的专业域和标准执行流程。
3.1 架构与规划类
architect.md — 系统架构师
触发场景:规划新功能、重构大型系统、做技术决策
核心职责:
- 系统架构设计与评估
- 技术选型权衡分析
- 识别可扩展性瓶颈
- 制定 ADR(架构决策记录)
执行流程:当前状态分析 → 需求收集 → 设计提案 → 权衡分析
关键产物:
- 高层架构图(ASCII/mermaid)
- 组件职责定义
- 数据模型与 API 契约
- ADR 文档
code-architect.md — 代码架构师
触发场景:代码级别的架构设计(模块划分、依赖管理、设计模式应用)
核心职责:
- 模块与包的职责划分
- 设计模式的正确应用(不炫技)
- 代码结构的可维护性评估
- 依赖方向和循环引用检测
planner.md — 任务规划师
触发场景:复杂多步骤任务,需要拆解执行计划
核心职责:拆解大型任务为可执行步骤、估算工作量、识别并行机会
3.2 代码审查类(重点推荐)
java-reviewer.md — Java/Spring Boot 代码审查 ⭐
触发场景:所有 Java 代码变更必须经过此审查
工具:Read, Grep, Glob, Bash(模型:sonnet)
审查优先级:
| 级别 | 类别 | 检查项 |
|---|---|---|
| CRITICAL | 安全 | SQL 注入、命令注入、硬编码密钥、路径遍历、@Valid 缺失 |
| CRITICAL | 错误处理 | 空 catch 块、.get() on Optional、缺失 @RestControllerAdvice |
| HIGH | Spring 架构 | Field injection(@Autowired on field)、业务逻辑放 Controller |
| HIGH | JPA/数据库 | FetchType.EAGER(N+1)、无界 List 返回、缺失 @Modifying |
| MEDIUM | 并发与状态 | 可变单例字段、无界 @Async、阻塞 @Scheduled |
| MEDIUM | 工作流/支付 | 幂等 key 检查滞后、非法状态转换、重试无 jitter |
审批标准:
- Approve:无 CRITICAL/HIGH 问题
- Warning:仅 MEDIUM 问题
- Block:有 CRITICAL/HIGH 问题
诊断命令:
git diff -- '*.java'
mvn verify -q
grep -rn "@Autowired" src/main/java --include="*.java"
grep -rn "FetchType.EAGER" src/main/java --include="*.java"
database-reviewer.md — PostgreSQL 数据库审查 ⭐
触发场景:写 SQL、设计 schema、优化查询
审查维度:
| 维度 | 核心检查 |
|---|---|
| 查询性能 | EXPLAIN ANALYZE、索引覆盖、避免 Seq Scan |
| Schema 设计 | 数据类型(bigint/text/timestamptz/numeric)、约束完整性 |
| 安全 | RLS 策略、GRANT ALL 禁止、公有 schema 权限回收 |
| 连接管理 | 连接池配置、超时设置 |
| 并发 | 死锁预防(ORDER BY ... FOR UPDATE)、SKIP LOCKED 队列模式 |
必须掌握的索引类型:
| 类型 | 用途 | 示例 |
|---|---|---|
| B-tree(默认) | 等值/范围查询 | CREATE INDEX ON t (col) |
| Composite | 多列组合 | CREATE INDEX ON t (status, created_at) |
| Covering | 索引覆盖避免表查找 | CREATE INDEX ON t (user_id) INCLUDE (name, email) |
| Partial | 条件过滤减少体积 | CREATE INDEX ON t (id) WHERE deleted_at IS NULL |
| GIN | JSONB/全文搜索 | CREATE INDEX ON t USING gin (metadata) |
| BRIN | 时序范围扫描 | CREATE INDEX ON t USING brin (created_at) |
反模式(立即 flag):
SELECT *生产代码int作为 ID 类型varchar(255)无理由使用timestamp无时区OFFSET大表分页
security-reviewer.md — 安全漏洞检测 ⭐
触发场景:处理用户输入、认证、API 端点、敏感数据
OWASP Top 10 覆盖:
- Injection — 参数化查询、ORM 安全使用
- Broken Auth — bcrypt/argon2 密码哈希、JWT 验证、Session 安全
- Sensitive Data — HTTPS 强制、密钥在 env var、日志脱敏
- XXE — XML 解析器禁用外部实体
- Broken Access — 每个路由检查认证、CORS 正确配置
- Misconfiguration — 默认密码修改、Debug 模式关闭、安全头设置
- XSS — 输出转义、CSP 设置
- Insecure Deserialization — 安全反序列化
- Known Vulns — 依赖 CVE 扫描
- Insufficient Logging — 安全事件日志、告警配置
立即上报的 CRITICAL:
- 硬编码密钥 / API Key
- Shell 命令拼接用户输入
- 字符串拼接 SQL
- 明文密码比较
- 余额检查无事务锁
go-reviewer.md / kotlin-reviewer.md / csharp-reviewer.md / python-reviewer.md
各语言专项审查,覆盖语法最佳实践和常见陷阱。
3.3 构建与问题排查类
java-build-resolver.md — Java 构建问题排查
触发场景:mvn / ./gradlew 报错
核心能力:Maven/Gradle 依赖冲突分析、编译错误根因定位、构建性能分析、多模块项目构建顺序问题
build-error-resolver.md — 通用构建错误修复
触发场景:跨语言的编译/构建错误
3.4 专项审查类
tdd-guide.md — TDD 流程指导
触发场景:编写新功能、修复 Bug、重构
核心原则:
- RED — 先写测试,运行,验证失败
- GREEN — 写最小实现让测试通过
- REFACTOR — 改善代码质量,测试保持绿色
- 覆盖率 >= 80%(branches/functions/lines/statements)
v1.8 升级:Eval-Driven TDD:
1. 定义 capability + regression evals(基线)
2. 运行基线,捕获失败签名
3. 最小实现变更
4. 重新运行测试和 evals,报告 pass@1 和 pass@3
performance-optimizer.md — 性能优化
触发场景:性能瓶颈定位与优化
四、Skills(技能库)
Skill 通过 /use skill-name 激活,提供领域专业知识、模式和示例代码。
4.1 Spring Boot 全家桶 ⭐(与 WorkBuddy 深度相关)
springboot-patterns/(核心)
何时激活:所有 Spring Boot 后端工作
覆盖内容:
- REST API 结构(@RestController → ResponseEntity<Page>)
- Repository 模式(Spring Data JPA)
- Service 层事务(@Transactional(readOnly = true))
- DTO + Bean Validation(@NotBlank、@Valid)
- 全局异常处理(@ControllerAdvice)
- 缓存(@Cacheable)
- 异步处理(@Async + CompletableFuture)
- 限流(Bucket4j + request.getRemoteAddr() 安全注意)
- SLF4J 结构化日志
- 生产默认值(构造函数注入、@NonNull)
典型代码模板:
@RestController
@RequestMapping("/api/markets")
@Validated
class MarketController {
private final MarketService marketService;
MarketController(MarketService marketService) {
this.marketService = marketService;
}
@GetMapping
ResponseEntity<Page<MarketResponse>> list(
@RequestParam(defaultValue = "0") int page,
@RequestParam(defaultValue = "20") int size) {
return ResponseEntity.ok(marketService.list(PageRequest.of(page, size)));
}
}
springboot-security/ ⭐
何时激活:添加认证、授权、输入校验、CORS、CSRF
覆盖内容:
- JWT 认证(OncePerRequestFilter)
- 授权(@PreAuthorize + @EnableMethodSecurity)
- SQL 注入防御(参数化查询)
- 密码加密(BCrypt 12轮)
- CSRF 配置(Stateless API 禁用)
- 安全头(CSP、X-Frame-Options)
- CORS 配置(禁止
*生产环境) - 限流(Bucket4j)
- 依赖 CVE 扫描
springboot-tdd/
何时激活:TDD 开发 Spring Boot 代码
覆盖内容:@WebMvcTest 测试 Controller、@DataJpaTest 测试 Repository、@ExtendWith(MockitoExtension.class)、Awaitility 异步断言
springboot-verification/
何时激活:发布/PR 前的完整验证
覆盖内容:构建 + 静态分析、测试覆盖率报告、安全扫描、Diff review
4.2 Java 专项
java-coding-standards/
何时激活:编写或审查 Java 代码
核心规范:
- 命名:PascalCase 类 / camelCase 方法 / UPPER_SNAKE_CASE 常量
- 不可变性:优先 record + final 字段
- Optional:正确使用 .map() / .orElseThrow(),禁止 .get() 无检查
- Stream:管道简短,避免复杂嵌套
- 异常:领域特定异常,避免空 catch
- 包结构:config/controller/service/repository/domain/dto/util
4.3 后端架构
backend-patterns/
何时激活:设计 REST/GraphQL API、repository/service/controller 分层
核心模式:Repository 模式、Service 层、Middleware 模式(Auth/Logging/RateLimit)、缓存策略(Cache-Aside/Redis)、重试+指数退避、JWT 验证+RBAC、结构化日志
api-design/ ⭐
何时激活:设计新 API、添加分页/过滤、做 API review
URL 设计:
GET /api/v1/users # 复数名词
GET /api/v1/users/:id
POST /api/v1/users
PATCH /api/v1/users/:id
DELETE /api/v1/users/:id
GET /api/v1/users/:id/orders # 子资源嵌套
POST /api/v1/orders/:id/cancel # 非 CRUD 动作用动词
状态码语义:
| 状态码 | 含义 | 使用场景 |
|---|---|---|
| 200 OK | 成功 | GET/PUT/PATCH(带响应体) |
| 201 Created | 创建成功 | POST(带 Location 头) |
| 204 No Content | 无内容 | DELETE/PUT(无响应体) |
| 400 Bad Request | 校验失败 | 参数校验不通过 |
| 401 Unauthorized | 认证缺失 | 未登录 |
| 403 Forbidden | 已认证但无权限 | 无权限访问 |
| 404 Not Found | 资源不存在 | 资源未找到 |
| 409 Conflict | 重复/状态冲突 | 重复创建 |
| 429 Too Many | 限流 | 请求过快 |
| 500 ISE | 服务器错误 | 永不暴露细节 |
分页:
- Offset:管理后台、< 10K 数据
- Cursor:
WHERE id > $last— 无限滚动、大表
hexagonal-architecture/ ⭐
何时激活:边界设计、DDD 重构、框架解耦
核心概念:
Adapters (Inbound) → UseCase (Application) → Domain Model
↑ ↓
Inbound Port Outbound Port (Interface)
↑ ↓
HTTP Route Outbound Adapter (DB/API/Queue)
Java 包结构:
domain/
application.port.in/
application.port.out/
application.usecase/
adapter.in/
adapter.out/
architecture-decision-records/
何时激活:记录重大架构决策
ADR 模板:
# ADR-001: 使用 Redis Stack 存储向量
## Context
需要存储 1536 维 embedding 并做语义搜索。
## Decision
使用 Redis Stack 向量搜索能力。
## Consequences
### 正面
- 向量相似度搜索 < 10ms
- 内置 KNN 算法
### 负面
- 内存存储,大数据集成本高
### 替代方案
- PostgreSQL pgvector:更慢,但持久化
- Pinecone:托管服务,成本更高
4.4 数据库
postgres-patterns/ ⭐(与 WorkBuddy PG 18.3 直接相关)
何时激活:写 SQL、设计 schema、排查慢查询
数据类型避坑:
| 场景 | 正确类型 | 禁止类型 |
|---|---|---|
| ID | bigint | int、random UUID |
| 字符串 | text | 无理由 varchar(255) |
| 时间戳 | timestamptz | timestamp |
| 金额 | numeric(10,2) | float |
| 标志 | boolean | varchar/int |
队列处理:
UPDATE jobs SET status = 'processing'
WHERE id = (
SELECT id FROM jobs WHERE status = 'pending'
ORDER BY created_at LIMIT 1
FOR UPDATE SKIP LOCKED
) RETURNING *;
database-migrations/
何时激活:创建/修改表、写数据迁移、零停机变更
零停机变更(Expand-Contract 模式):
Phase 1: ADD column (nullable) + 部署(写 both)
Phase 2: 部署(读 NEW 写 both)
Phase 3: 部署(只读写 NEW)+ DROP column
禁止操作:
- NOT NULL 无 default(在现有大表上会全表锁)
- 在 transaction 内 CREATE INDEX CONCURRENTLY
- 一个 migration 混写 schema + data
4.5 测试
tdd-workflow/ ⭐
何时激活:编写新功能、修复 Bug、重构
Git Checkpoint 规范:
test: add reproducer for <feature> # RED 验证后
fix: <feature> # GREEN 验证后
refactor: clean up after <feature> # 重构完成
覆盖率门槛:branches: 80, functions: 80, lines: 80, statements: 80
4.6 安全
security-review/ ⭐
何时激活:认证实现、用户输入、API 端点、支付功能、密钥管理
10 大安全检查:
| # | 领域 | 检查项 |
|---|---|---|
| 1 | 密钥管理 | 无硬编码,process.env,.env 在 .gitignore |
| 2 | 输入校验 | Zod/Pydantic/Bean Validation + 白名单 |
| 3 | SQL 注入 | 参数化查询/ORM 安全使用 |
| 4 | 认证授权 | httpOnly cookie(禁止 localStorage)、RBAC、RLS |
| 5 | XSS | DOMPurify sanitize、CSP 头 |
| 6 | CSRF | SameSite=Strict、CSRF Token |
| 7 | 限流 | 所有 API + 昂贵操作更严格 |
| 8 | 敏感数据 | 日志不打印密码/token、错误消息不暴露堆栈 |
| 9 | 依赖安全 | npm audit / OWASP Dependency Check |
| 10 | 区块链安全 | 钱包签名验证、交易金额校验 |
4.7 DevOps
docker-patterns/
何时激活:Docker Compose 本地开发、Dockerfile 安全审查、多容器编排
安全配置:非 root 运行、只读 root 文件系统、cap_drop: ALL、不用 :latest tag、.dockerignore 排除 node_modules/.git/.env
deployment-patterns/
何时激活:CI/CD 搭建、部署策略选择、K8s 健康检查
部署策略对比:
| 策略 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| Rolling | 零停机、渐进 | 两版本同时运行 | 标准部署 |
| Blue-Green | 即时回滚 | 2x 基础设施 | 关键服务 |
| Canary | 真实流量验证 | 需流量分割 | 高风险变更 |
4.8 其他 Skill
| Skill | 触发场景 |
|---|---|
search-first/ | 写代码前先调研现有工具/库/模式 |
continuous-learning-v2/ | 观察习惯,积累本能和技能 |
plankton-code-quality/ | 每次编辑强制代码质量 |
mcp-server-patterns/ | 构建 MCP 服务器 |
golang-patterns/ / golang-testing/ | Go 语言开发 |
dotnet-patterns/ / csharp-testing/ | .NET/C# 开发 |
kotlin-patterns/ / kotlin-testing/ | Kotlin 开发 |
python-patterns/ / python-testing/ | Python 开发 |
五、Rules(工作流规则)
Rules 定义 Claude Code 在特定场景下的自动行为,会根据文件类型、任务类型自动触发。
| 目录 | 用途 |
|---|---|
| agent-builder/ | Agent 构建流程 |
| agent-tester/ | Agent 测试验证 |
| api-design/ | API 设计流程 |
| browser-testing/ | 浏览器自动化测试 |
| bug-fix/ | Bug 修复流程 |
| dependency-upgrades/ | 依赖升级流程 |
| docker-security/ | Docker 安全审查 |
| frontend-review/ | 前端代码审查 |
| general-refactor/ | 通用重构流程 |
| github-actions/ | GitHub Actions CI/CD |
| new-feature/ | 新功能开发流程 |
| production-debugging/ | 生产问题排查 |
| read-before-edit/ | 编辑前先读文件 |
| sql-review/ | SQL 代码审查 |
六、实战使用指南
6.1 日常开发工作流
1. 写代码前 → /use search-first # 调研是否已有方案
2. 写代码时 → /use tdd-workflow # TDD 开发
3. 写完后 → /invoke java-reviewer # Java 代码审查
4. 并行 → /invoke database-reviewer # SQL/Schema 审查
5. 提交前 → /use security-review # 安全检查
6.2 复杂任务分解
1. /invoke planner # 拆解任务
2. /invoke architect # 架构设计
3. /use hexagonal-architecture # 边界设计
4. 逐个功能点执行 TDD 流程
6.3 构建问题排查
1. /invoke java-build-resolver # Java 构建问题
2. /invoke build-error-resolver # 通用构建问题
6.4 发布前验证
1. /use springboot-verification # Spring Boot 完整验证
2. /use deployment-patterns # 部署流程检查
3. /use security-review # 安全最终检查
七、与 WorkBuddy 的协同
| WorkBuddy 场景 | 推荐组合 |
|---|---|
| Java 后端专家 Agent 开发 | springboot-patterns + java-reviewer + tdd-workflow |
| KAT-UI Chrome 插件 | frontend-review + security-review |
| PG 18.3 向量检索 | postgres-patterns + database-reviewer |
| 面试准备 | java-reviewer + security-review + api-design |
| 文章写作(掘金) | architecture-decision-records + search-first |
八、快速参考
Agent 快速调用
/invoke architect # 系统架构
/invoke java-reviewer # Java 审查 ⭐
/invoke database-reviewer # 数据库审查 ⭐
/invoke security-reviewer # 安全审查 ⭐
/invoke tdd-guide # TDD 指导
/invoke java-build-resolver # 构建问题
/invoke go-reviewer # Go 审查
/invoke kotlin-reviewer # Kotlin 审查
/invoke csharp-reviewer # C# 审查
/invoke python-reviewer # Python 审查
/invoke planner # 任务规划
/invoke refactor-cleaner # 重构清理
/invoke performance-optimizer # 性能优化
/invoke code-architect # 代码架构
/invoke build-error-resolver # 通用构建
Skill 快速调用
/use springboot-patterns # Spring Boot 模式 ⭐
/use springboot-security # Spring 安全 ⭐
/use springboot-tdd # Spring TDD
/use springboot-verification # Spring 验证
/use java-coding-standards # Java 规范
/use backend-patterns # 后端模式
/use api-design # API 设计 ⭐
/use hexagonal-architecture # 六边形架构 ⭐
/use architecture-decision-records # ADR
/use postgres-patterns # PG 模式 ⭐
/use database-migrations # 数据库迁移
/use tdd-workflow # TDD 工作流 ⭐
/use security-review # 安全审查 ⭐
/use docker-patterns # Docker 模式
/use deployment-patterns # 部署模式
/use search-first # 先搜索
/use mcp-server-patterns # MCP 服务
来源:everything-claude-code(ECC) 适用人群:全栈后端开发者,特别是 Java/Spring Boot 方向 核心价值:统一团队工程规范,让 AI 辅助开发有据可依、有流程可循
