Tauri + Rust + React 代码审查指南：提升应用质量、安全与性能

code-review by cacr92/wereply

1 周安装量

GitHub

安装命令

npx skills add https://github.com/cacr92/wereply --skill code-review

React 代码质量 Rust

🇨🇳中文介绍

代码审查技能

针对 Tauri + Rust + React 应用程序的全面代码审查指导，重点关注质量、安全性和可维护性。

概述

此技能提供系统的代码审查指导，涵盖：

正确性：逻辑错误、边界情况、类型安全
性能：低效算法、资源泄漏、优化机会
安全性：SQL 注入、XSS、不安全操作、数据验证
可维护性：代码重复、命名、文档、测试覆盖率
Tauri 特定：命令模式、specta 属性、桌面应用限制
项目特定：遵守 CLAUDE.md 指南

适用场景

此技能在以下情况激活：

审查拉取请求或代码变更时
执行代码质量检查时
寻找错误和问题时
提出重构建议时
审计安全漏洞时
检查性能瓶颈时
确保符合项目标准时

代码审查框架

1. 预审清单

在深入代码细节之前：

# 检查 git diff 上下文
git diff main...feature-branch
git log --oneline main..feature-branch

# 验证测试通过
cargo test
npm test

# 检查格式
cargo fmt --check
npm run lint

需要回答的问题：

此变更的目的是什么？
修改了哪些文件？（使用 git diff --stat）
是否存在破坏性变更？

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

2. Rust 后端审查

✅ 正确的 Tauri 命令：

#[tauri::command]
#[specta::specta]
pub async fn get_materials(
    state: State<'_, TauriAppState>,
) -> ApiResponse<Vec<Material>> {
    with_service(state, |ctx| async move {
        ctx.material_service.get_all().await
    })
    .await
}

存在 #[tauri::command] 属性
存在 #[specta::specta] 属性
返回类型是 ApiResponse<T>
使用 with_service 辅助函数或适当的错误处理
异步函数正确使用 await

✅ 良好的错误处理：

pub async fn create_formula(&self, dto: CreateFormulaDto) -> Result<Formula> {
    // 验证输入
    if dto.name.is_empty() {
        return Err(anyhow!("名称不能为空"));
    }

    // 检查重复项
    if self.exists_by_name(&dto.name).await? {
        return Err(anyhow!("配方名称已存在"));
    }

    // 使用事务创建
    let mut tx = self.pool.begin().await?;
    let id = self.insert_internal(&dto, &mut tx).await?;
    tx.commit().await?;

    Ok(self.get_by_id(id).await?)
}

需要警惕的常见问题：

❌ 缺少错误传播（未使用 ?）
❌ 吞没错误（let _ = result）
❌ 没有上下文的通用错误消息
❌ 未使用 .context() 进行错误链式处理
❌ 忘记提交事务

数据库查询审查

✅ 安全的 SQLx 查询：

sqlx::query_as!(
    Material,
    "SELECT code, name, price FROM materials WHERE code = ?",
    code
)
.fetch_one(&pool)
.await

❌ SELECT * - 应明确指定列
❌ 循环中的 N+1 查询
❌ SQL 中的字符串拼接（注入风险）
❌ 缺少参数绑定
❌ 频繁查询的字段上没有索引

// ❌ 阻塞异步运行时
std::thread::sleep(Duration::from_secs(10));

// ❌ 不必要的克隆
let data = self.large_data.clone(); // 可以使用 &LargeData

// ❌ 低效的数据结构
let mut items = Vec::new();
for item in huge_list {
    if items.contains(&item) { // O(n) 查找
        items.push(item);
    }
}

// ✅ 使用 HashSet 实现 O(1) 查找
use std::collections::HashSet;
let mut items = HashSet::new();

性能检查清单：

适当使用 Arc 与 & 引用
高效的数据结构（HashMap、HashSet 与 Vec）
使用 rayon 进行 CPU 密集型任务的并行处理
对频繁访问的数据进行缓存
在异步上下文中没有阻塞调用

3. React 前端审查

✅ 结构良好的组件：

import React, { useCallback, useMemo } from 'react';
import { message } from 'antd';

interface Props {
  formula: Formula;
  onUpdate: (id: number) => void;
}

export const FormulaCard: React.FC<Props> = React.memo(({ formula, onUpdate }) => {
  const totalCost = useMemo(
    () => formula.materials.reduce((sum, m) => sum + m.cost, 0),
    [formula.materials]
  );

  const handleUpdate = useCallback(() => {
    onUpdate(formula.id);
  }, [formula.id, onUpdate]);

  return (
    <div>
      <h3>{formula.name}</h3>
      <p>成本: {totalCost.toFixed(2)}</p>
      <Button onClick={handleUpdate}>更新</Button>
    </div>
  );
});

正确的 TypeScript 类型（没有 any）
使用 React.memo 提升性能
使用 useCallback 处理作为 props 传递的回调函数
使用 useMemo 处理昂贵的计算
没有 console.log（改用 message）
有意义的组件名称

✅ 正确的 Hooks 使用：

export const useFormulas = () => {
  const { data, isLoading, error } = useQuery({
    queryKey: ['formulas'],
    queryFn: () => commands.getFormulas(),
  });

  const createMutation = useMutation({
    mutationFn: (dto: CreateDto) => commands.createFormula(dto),
    onSuccess: () => {
      queryClient.invalidateQueries({ queryKey: ['formulas'] });
      message.success('创建成功');
    },
  });

  return { formulas: data, isLoading, createMutation };
};

❌ 在条件/循环内调用 Hooks
❌ useEffect/useCallback 中缺少依赖项
❌ 直接进行状态突变而不是使用 setState
❌ 使用原始的 invoke 而不是生成的 commands

类型安全检查：

// ✅ 使用生成的类型
import type { Formula, Material } from '../bindings';
import { commands } from '../bindings';

const result = await commands.getFormula(123);
if (!result.success) {
    message.error(result.message);
    return;
}
const formula: Formula = result.data; // 类型安全！

需要注意的问题：

❌ 使用 as any 类型断言
❌ 未检查 result.success
❌ 缺少错误处理
❌ 类型命名不一致（snake_case 与 camelCase）

// ❌ 存在漏洞
let query = format!("SELECT * FROM materials WHERE name = '{}'", name);
sqlx::query(&query).fetch_one(&pool).await

// ✅ 安全
sqlx::query_as!(
    Material,
    "SELECT * FROM materials WHERE name = ?",
    name
)
.fetch_one(&pool).await

// ❌ 无验证
pub fn create_material(name: String, price: f64) -> Result<Material> {
    // 直接插入，无检查
}

// ✅ 带验证
pub fn create_material(name: String, price: f64) -> Result<Material> {
    if name.is_empty() || name.len() > 100 {
        return Err(anyhow!("无效的原料名称"));
    }
    if price < 0.0 || price > 10000.0 {
        return Err(anyhow!("价格超出合理范围"));
    }
    // 继续创建过程
}

桌面应用安全：

没有硬编码的凭据
使用环境变量管理密钥
文件路径验证（防止目录遍历）
安全处理用户提供的文件路径

测试覆盖率检查

// ✅ 良好的测试覆盖率
#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn test_calculate_cost() {
        // 正常情况
        assert_eq!(calculate_cost(&materials), 100.0);

        // 边界情况
        assert_eq!(calculate_cost(&[]), 0.0);
        assert_eq!(calculate_cost(&[single_material]), single_material.cost);
    }

    #[test]
    fn test_negative_proportion_rejected() {
        let result = validate_proportion(-10.0);
        assert!(result.is_err());
    }
}

业务逻辑的单元测试
覆盖边界情况（空值、null、负值）
数据库操作的集成测试
测试错误路径
模拟外部依赖项

需要检查的内容：

公共 API 有文档注释
复杂算法有解释说明
非显而易见的代码有注释
TODO/FIXME 注释有相关的问题跟踪
如果行为改变，README 已更新

代码审查评论模板

## 🔴 严重：[问题标题]

**位置**：`src/file.rs:42`

**问题**：[对问题的清晰描述]

**影响**：[为什么这很重要]

**建议修复**：
```rust
// 显示修正后的代码

## 🟡 建议：[标题]

**位置**：`src/file.rs:123`

**当前方法**：[代码当前的做法]

**建议**：[更好的方法]

**好处**：
- [好处 1]
- [好处 2]

## 💡 细节建议：[标题]

**位置**：`src/file.rs:200`

**观察**：[小的改进点]

**为什么重要**：[可选解释]

按类别划分的常见问题

问题	模式	修复
缺少 unwrap 上下文	`.unwrap()`	`.expect("描述性消息")` 或适当的错误处理
克隆而非借用	`.clone()`	使用 `&T` 引用
阻塞异步运行时	`std::thread::sleep`	`tokio::time::sleep`
SQL 注入风险	`format!("WHERE = {}", val)`	使用 `?` 参数绑定
N+1 查询	循环内包含查询	使用 JOIN 或批量查询

问题	模式	修复
控制台日志	`console.log()`	使用 `message` 组件
类型断言	`as any`	使用正确的类型
缺少依赖项	`useEffect(fn, [])`	添加所有依赖项
条件中的 Hook	`if (condition) { useState() }`	移到顶层
Key 属性问题	`key={index}`	使用唯一 ID

1. 自动化检查（首先执行）

# 运行所有自动化检查
cargo test --all
cargo clippy -- -D warnings
cargo fmt --check
npm test
npm run lint
npm run type-check

从上到下阅读差异：获取整体概览
检查关键路径：安全性、性能、正确性
验证测试：确保足够的覆盖率
检查文档：是否是最新的？
手动测试：如果适用，运行应用程序

建设性：专注于改进，而非批评
解释原因：帮助作者理解问题
提供示例：展示如何修复
区分优先级：标记严重问题与次要问题
保持礼貌：记住代码审查是学习的机会

# 审查变更
git diff main...feature-branch

# 查看特定文件变更
git diff main..feature-branch -- src/file.rs

# 检查提交历史
git log --oneline main..feature-branch

# 运行测试
cargo test
npm test

# 检查格式
cargo fmt --check
npm run lint

后端 (Rust):
- [ ] Tauri 命令属性正确
- [ ] 错误处理全面
- [ ] SQL 查询安全且优化
- [ ] 性能考虑已解决
- [ ] 异步上下文中没有阻塞调用

前端 (React):
- [ ] TypeScript 类型正确
- [ ] Hooks 使用正确
- [ ] 没有 console.log
- [ ] 使用 message 进行错误处理
- [ ] 性能优化

集成:
- [ ] 类型安全的命令调用
- [ ] 适当的错误处理
- [ ] 命名一致
- [ ] specta 类型已生成

测试:
- [ ] 存在单元测试
- [ ] 覆盖边界情况
- [ ] 如果需要，存在集成测试
- [ ] 测试通过

文档:
- [ ] 公共 API 已记录
- [ ] 复杂逻辑已解释
- [ ] README 已更新

何时使用此技能

在以下情况下激活此技能：

审查拉取请求时
执行代码质量审计时
寻找错误和问题时
提出重构建议时
检查安全漏洞时
确保符合项目标准时
向开发者介绍代码库时

Tailwind CSS v4 + shadcn/ui 生产级技术栈配置指南与最佳实践

2,600 周安装

Tauri + Rust + React 代码审查指南：提升应用质量、安全与性能

🇨🇳中文介绍

代码审查技能

概述

适用场景

代码审查框架

1. 预审清单

相关 Skills

2. Rust 后端审查

命令模式审查

错误处理审查

数据库查询审查

性能审查

3. React 前端审查

组件质量审查

Hooks 使用审查

4. 集成审查

前端-后端集成

5. 安全审查

常见漏洞

6. 测试审查

测试覆盖率检查

7. 文档审查

代码审查评论模板

高优先级问题

中优先级问题

次要问题

按类别划分的常见问题

Rust 问题

React 问题

审查工作流

1. 自动化检查（首先执行）

2. 手动审查

3. 提供反馈

快速参考

基本命令

审查清单

何时使用此技能

最新 Skills