分类: Salesforce

什么是PKCE?

在Connect App的设置页面,如果勾选了Enable OAuth Settings,就会出现很多让人眼花缭乱的选项。

其中,名字最长的一项叫做 Require Proof Key for Code Exchange (PKCE) Extension for Supported Authorization Flows.

简称PKCE

那么什么是PCKE呢?

先用一个不恰当的比喻来看Oauth2.0流程

张三要去工厂视察,向办公室主任出示了自己的账号和密码身份证和员工号(Credential),
办公室主任验明身份后(原来是你老小子)给张三开具了签字盖章的介绍信(code),并且通知门岗张三计划到访。门岗没有身份核实的能力(是七十岁老大爷),但可以识别介绍信的真伪,所以只看信不看人。
如果介绍信没问题(code redeem),给张三发放通行证(access token),凭通行证可以进入工厂。工厂门禁只看通行证不看人。

看起来这一切天衣无缝,兄弟们,安全又卫生。

但是,某天M国商业间谍打算去工厂盗取机密技术,他了解了访问流程后,制定了如下计划。

M国商业间谍Lee Si了解到工厂门岗只看介绍信不认人,他就埋伏在张三身边,计划趁机(通信嗅探)打晕了张三抢走介绍信(code)。然后自称是张三(门岗大爷:咋看着还是个混血呢),使用介绍信换取(redeem)通行证(access token)就可以顺利进入工厂。

可是,在Lee Si动手的前一天,工厂升级了访问流程,现在变成了这样。

新的访问流程,要求验证身份拿介绍信的时候,从几十亿颗核桃里随便挑一颗核桃(code verifier),然后用核桃纹路盖章(Signature),并同身份证明信息一同上交(code challenge)。
随后,拿着介绍信换取通行证时,需要将这颗核桃交给门岗进行纹路比对,当证明信有效且提供的核桃纹路能对上开始提供的核桃纹路才可以换取通行证。

这次,Lee Si打晕张三只能获得证明信,却不知道张三到底用的是哪颗核桃的纹路(为了能尽可能的比喻其安全机制,假设张三随身带了三十万颗核桃,只有他自己知道用的是哪颗),只有一次验证的机会,如果核桃纹路对不上就会被当场抓起来。

这就是PKCE的意义。

总结一下,
原流程:
1. 使用认证信息,通过认证服务器获取Code
2. 使用code换取Access Token访问资源服务

PKCE加持后流程:
1. 本地生成随机字符串作为code verifier,使用哈希算法对Code Verrifier进行签名,生成Code Challenge。
2. Code Callenge,使用的签名算法与认证信息一共提交认证服务器获取Code。
3. 将Code与Code Verifier,注意是,Code Verifier同时发送服务器换取Access Token。
4. 服务器使用Code Verifier与步骤一声明的哈希签名算法生成签名并与Code Challenge作比较,如果一致且code有效则返回Access Token。

这里的奥秘在于,网络嗅探只能获取http请求的目标以及参数。虽然可以截获code challenge,哈希算法与Code,但是因为Code Verifier在code兑换之前从来没有发送过,只存在本地且每次随机生成,所以通过嗅探无法被截获,并且因为哈希算法的非对称计算特性,不使用只有未来的才存在的量子计算机,无法很快的通过Code Challenge反算出有效的Code Verifier(如果你能做到,就相当于拆掉了现在信息世界的安全地基,请务必先告诉我,咱俩一起拿诺贝尔奖分奖金)。

如果没有PKCE,仅通过Code就可以获得Access Token,但有了PKCE,就可以保证来换取的Access Token的人(客户端)就是当初通过身份验证的人(客户端),从而防止通过网络嗅探而进行的身份伪冒。

这里需要明确指出的是,PKCE只能保护Code不被冒用,但并不负责Credential泄露与Access Token泄露,所以本质上PKCE只是在不可信任客户端与不可信任环境下的安全拓展(比如,无法安全的储存Client Secret,公开的App Package,不确定的运行环境,不确定的网络环境)。如果有类似的安全隐患一定要开,信息安全就是木桶原理,只要有一块短板则功亏一篑,切记!

关于git worktree正确使用姿势的思考

Git Worktree:多工作目录的高效开发模式

worktree 提供了一种在使用相同 .git 文件夹的情况下,实现多工作目录的能力。
通常情况下,git clone 远程仓库至本地会创建一个工作目录(例如 A),并在 A 目录下创建 .git 目录以记录 Git 仓库信息。

在 IDE(如 VS Code)中,开发者通常将目录 A 设置为工作区(workspace),以直接访问项目资源,切换分支,提交更改等操作。不过,这种模式只能感知并识别 A 目录下的文件变化,属于 1 仓库:1 工作目录:N 分支 的模式。

而通过 worktree,可以扩展额外的工作目录,使工作模式变为 1 仓库:N 工作目录:N 分支

场景假设

假设如下场景:

张三被开发组长分配了一个新功能开发任务(任务 A),并且组长为他创建了开发分支 dev-a。张三切换到 dev-a 分支后开始开发。正当张三兴致勃勃地推进任务时,项目经理突然冲过来,一边拍桌子一边抱怨:生产环境出了问题,需要立刻修复。开发组长于是创建了 hotfix-b 分支,将这个紧急任务交给张三处理。

由于 hotfix-b 的优先级更高,张三需要暂停任务 A。这时他有三种选择:

  1. 直接提交:将当前 dev-a 的所有内容(包括未完成的开发内容)提交,然后清空工作目录,切换到 hotfix-b 分支,完成修复后切回 dev-a,再通过 soft reset 恢复原有状态。
    缺点:临时提交可能会导致误同步至远程仓库。

  2. 使用 Stash:将当前任务 A 的内容 stash,清空工作目录,切换至 hotfix-b。完成修复后切回 dev-a 分支,并 pop 出之前的 stash 内容继续开发。
    缺点stash 与分支管理不当可能引发冲突。

  3. 使用 Worktree:直接创建一个新的工作目录并关联 hotfix-b 分支。开发完成后,通过 git worktree remove 删除新工作目录,不留任何痕迹。

这是李四举手,说,我觉得方法1,2,3差不太多啊。
李四同学说的对,坐下。

在简单场景下,1,2,3方法差别确实不大,但这里面有个隐含要素。涉及到上下文切换的代价问题。

为什么上下文切换有代价?

在没有电脑的年代,处理多个任务的最佳办法不是将当前办公桌上的资料全部收起来,再重新摆放,而是借用别人的办公桌。上下文切换会中断开发人员的专注,而专注是高效开发的前提。

此外,方法 1 和 2 还引入了额外的管理风险:

  • 方法 1:临时提交可能误同步至远程仓库。
  • 方法 2stash 内容容易误操作或丢失。

相比之下,使用 Worktree 的优势在于:

  • 当前任务的工作目录无需任何改动。
  • 开启新的工作目录对现有任务零侵入。
  • 上下文切换的代价几乎为零。

Worktree 的其他优势

除了多任务切换,worktree 还解决了以下痛点:

  1. 跨分支文件参考
    张三正在开发新功能,但需要查看另一个分支的某个文件状态。使用 worktree,可以直接创建一个新的工作目录以切换到目标分支,而无需清空当前工作内容或放弃现代 IDE 的便利功能。

  2. 代码 Review 场景
    开发组长需要同时完成自己的开发任务和代码审查。如果不使用 worktree,他需要频繁切换分支,这不仅中断开发,还影响效率。而使用 worktree,可以专门创建一个用于 Review 的工作目录,Review 完成后直接关闭即可,丝毫不影响自己的开发喜欢看在线版的随意

我是如何使用 Worktree 的

经过大量实践,我总结出以下常用配置:

  1. Dev 目录:用于完成当前开发任务。
  2. Review 目录:专门用于审查别人的提交。
  3. Main 目录:参考主分支或特定分支的代码。
  4. Release 目录:用于准备当前 Sprint 的发布内容。

可能有人会问:“直接多 clone 一份仓库不也行吗?”
理论上可以,你硬盘大CPU快你有理。但 worktree 的优势在于:

  • 多个目录共享同一组 .git 信息,避免冗余。
  • 节省磁盘空间和文件碎片。
  • 执行效率更高。

有些软件开发公司并没有给开发同学配备高性能的电脑,任何拖累性能的东西都是压死骆驼的最后一根稻草。
此外,共享 .git 的工作目录还能继承本地设置(如 git hookgit config 等),无需重复配置。

git worktree命令简明说明

// 列出当前所有worktree
git worktree list

// 创建基于特定分支的工作目录
git worktree add ../[目录名] [分支名]

// 删除特定的工作目录
git worktree remove ../[目录名]

感谢阅读,最后,愿天下的程序员都能需要一个好经理,不需要疯狂加班。

此文章由AI辅助完成

重大喜讯!重大喜讯!Windows 11原生记事本可以做编码转换啦!!!

众所周知,在处理非拉丁语系组织(org)的数据时,使用DataLoader将数据以UTF-8格式导出后,若计划利用Excel编辑这些导出的CSV文件,便需要将文件的编码从UTF-8转变为UTF-8 with BOM。

在过去,我们尝试使用多种编辑器软件来应对这一挑战,甚至转向了使用VSCode进行编码转换。

对于具备技术背景的开发人员而言,这并不构成太大问题。然而,对于那些没有技术背景的用户来说,寻找并正确操作这些工具便成了一个不小的挑战。

但现在,情况有了改观!

Windows 11对其原生记事本程序进行了显著的功能增强。现在,用户可以直接使用Windows 11原生记事本将UTF-8编码的文件转换为UTF-8 with BOM格式,无需借助任何第三方工具。

操作步骤如下:

  1. 使用Windows 11原生记事本打开CSV文件。如果未安装记事本,可前往微软商城进行下载安装。
  2. 打开编码为UTF-8的CSV文件。
  3. 点击【文件】->【另存为】,在弹出的窗口下方选择“保存的文件编码”为UTF-8 with BOM。
  4. 完成保存。

此举大大简化了编码转换的过程,让非技术背景的用户也能轻松应对。

 

 

拓展内容->

UTF-8与UFT-8 with BOM有何区别?

  1. UTF-8: 这是一种常用的字符编码格式,用于表示Unicode字符。UTF-8是可变长度的编码,可以用1到4个字节表示一个字符。UTF-8编码兼容ASCII编码,对于ASCII范围内的字符,UTF-8和ASCII编码是相同的。UTF-8文件通常不包含BOM。
  2. UTF-8 with BOM: 这种格式在文件开始处包含一个特殊的字节序列(EF BB BF),这就是所谓的BOM。BOM用于标示文件是以UTF-8格式编码的。在一些系统和程序中,BOM可以帮助更准确地识别文件的编码方式。然而,并非所有的软件都能正确处理BOM,有时候BOM可能会引起问题,比如在某些不识别BOM的文本编辑器中,BOM可能会被错误地显示为乱码。

为什么UTF-8 with BOM显示汉字不会乱码,而UTF-8会乱码?

  1. BOM 的作用:在 UTF-8 with BOM 编码中,文件开头的 BOM(Byte Order Mark,字节顺序标记)是一个特殊的字节序列(EF BB BF)。这个标记告诉读取文件的软件,这个文件是用 UTF-8 编码的。这个标记对于正确解释文件内容是非常有帮助的,特别是在那些默认不是UTF-8编码的软件中。比如,某些版本的 Microsoft Excel 或者 Notepad,在打开没有 BOM 的 UTF-8 编码文件时,可能无法正确识别编码,从而导致汉字等非ASCII字符显示为乱码。
  2. 软件的默认行为:一些软件可能默认使用特定的编码(如 Windows 上的 GBK 或 ANSI)。如果这些软件打开一个没有 BOM 的 UTF-8 编码文件,它们可能不会自动检测到文件是 UTF-8 编码的,而是按照默认编码去解读,导致汉字等字符显示错误。但是,如果文件包含 BOM,软件就能识别出正确的编码,从而正确显示字符。
  3. 兼容性问题:许多现代的文本编辑器和处理软件都能够很好地处理没有 BOM 的 UTF-8 文件,甚至很多软件在处理文本时会忽略 BOM。但是,一些旧软件或特定的应用程序可能需要 BOM 来正确处理 UTF-8 编码的文件。

Aura Refresh View的LWC平替——getRecordNotifyChange

本文得到了 ChatGPT 提供的专业建议和技术支持,特此致谢。
该文章由Notion AI辅助完成。

随着Lightning Web Components(LWC)的兴起,越来越多的开发者开始使用LWC来构建自己的Lightning组件。在这个过程中,我们可能会遇到一些需要替换旧版Aura组件的场景。其中,Aura的Refresh View是一个比较常见的用例。在LWC中,可以使用getRecordNotifyChange方法来实现这个功能。

让我们来回顾一下Aura的Refresh View

在Aura中,我们可以使用force:refreshView事件来实现类似Aura Refresh View的功能。下面是一个示例代码:

({
    handleRecordChange: function(component, event, helper) {
        $A.get('e.force:refreshView').fire();
    }
})

在上面的代码中,当记录发生变化时,会触发force:refreshView事件,从而实现页面的自动刷新。
需要注意的是,force:refreshView事件只能在Lightning Experience和Salesforce移动应用中使用,而不能在Classic中使用。如果需要在Classic中实现类似的功能,可以考虑使用force:refreshViewAction事件。

如何使用getRecordNotifyChange

在LWC中,我们可以使用getRecordNotifyChange方法来实现类似的功能。该方法可以监听记录变化并触发页面刷新。它的基本用法如下:

import { LightningElement, api, wire } from 'lwc';
import { getRecordNotifyChange } from 'lightning/uiRecordApi';

export default class MyComponent extends LightningElement {
    @api recordId;

    handleRecordChange(event) {
        getRecordNotifyChange([this.recordId]);
    }
}

在上面的例子中,我们使用了@wire装饰器来监听记录的变化,当记录发生变化时,会调用handleRecordChange方法。该方法会调用getRecordNotifyChange方法来触发页面刷新。

需要注意的是,getRecordNotifyChange方法只能在LWC中使用,而不能在Aura组件中使用。如果我们需要在Aura组件中实现类似的功能,可以考虑使用force:refreshView事件来刷新页面。

在LWC中如何使用ExcelJS-番外篇之关于regeneratorRuntime

本文得到了 ChatGPT 提供的专业建议和技术支持,特此致谢。

在上一篇文章《在LWC中如何使用ExcelJS》中介绍了如何在LWC中引入并使用ExcelJS。但是挖了一个坑,就是为什么在LoadScript之前要添加如下两句


            var regeneratorRuntime = undefined;
            window.regeneratorRuntime = regeneratorRuntime;

首先,ExcelJS由于要大量操作与渲染数据,为了避免页面经常卡死,所以使用了regenerator-runtime库以便更容易的进行异步操作。
就是说ExcelJS依赖regenerator-runtime库。

然后,ExcelJS在加载时会判断当前运行上下文中使用有变量regeneratorRuntime存在。如果没有找到该变量,ExcelJS会认为当前运行环境默认支持regenertor-runtime。不过LWC运行环境并不支持regenertor-runtime所以导致报错。

但是,如果我们手动的定义一个全局变量regeneratorRuntime,则相当于告诉ExcelJS,不要尝试使用运行环境的regenertor-runtime,去使用全局变量定义的regenertor-runtime。

但是又由于我们定义的regenertor-runtime为undefined,则迫使ExcelJS放弃全局变量定义的regenertor-runtime,转而使用自己准备的regenertor-runtime以保证自己可以成功加载与运行。

以下流程图由ChatGPT生成(请点击View Source查看)

                                 +----------------------+
                                 |                      |
                                 |   Load ExcelJS into   |
                                 |   Lightning Web      |
                                 |   Component (LWC)    |
                                 |                      |
                                 +----------+-----------+
                                            |
                                  +---------+---------+
                                  |                   |
                                  |   ExcelJS checks   |
                                  |   for              |
                                  |   regeneratorRuntime|
                                  |                   |
                                  +---------+---------+
                                            |
                            +---------------+---------------+
                            |                               |
                      +-----v-----+                 +---------+---------+
                      |           |                 |                   |
                      | regeneratorRuntime found    |    ExcelJS uses   |
                      |           |                 |native JS generator|
                      +-----+-----+                 +---------+---------+
                            |                                   |
                    +-------+-------+                           |
                    |               |                           |
        +-----------v---+   +-------v---+               +-------v------+
        |               |   |           |               |              |
        | Define        |   | Define    |               |ExcelJS reports|
        | regenerator-  |   | regenerator-             |      error    |
        | Runtime as    |   | Runtime as               |               |
        | undefined     |   | function()               |               |
        |               |   | {return;};               |               |
        +-------+-------+   +-------------+             +-------+------+
                |                               +-----------------+
                |                               |                 |
                |                               | ExcelJS executes |
                |                               | successfully    |
                |                               |                 |
                +-------------------------------+-----------------+

在LWC中如何使用ExcelJS

1. Exceljs是什么?

Exceljs作为开源免费功能强大的JS库,受到了广大开发人员的好评。开源地址为https://github.com/exceljs/exceljs

通过这个lib我们可以使用Javascript轻松的生成/操纵/读取Excel文件。

1.1 如何获得Exceljs文件

官方渠道没有提供现成的CDN或者直接可下载的js lib文件。根据官方文档,需要使用npm install命令来获得exceljs文件。

npm install exceljs

执行完该命令后,会在当前目录下生成node js project,所以建议先新建一个文件夹,然后命令行切换到改文件夹之后再执行此命令。

然后进入下列位置:
XXXXXX(当前文件夹名称)-> node_modules -> exceljs -> dist
拷贝出exceljs.min.js与exceljs.min.js.map文件。

新建文件夹exceljslib,并将上述两个文件放入。

压缩该文件夹为exceljslib.zip备用。

1.2 当然,如果你手懒的话我可以提供打包好的版本

点击下载(如果信任我的话):exceljslib.zip

2. Salesforce端

2.1 将exceljslib.zip上传至static resouce:

Setup-> Custom Code->Static Resouces->New->Name:exceljs->File:exceljslib.zip

2.2 LWC中引用ExcelJS

在环境中创建LWC【TestExcelJS】,根据需要,参考下面代码,结合官方文档填充操纵excel部分代码。

import { LightningElement, api } from 'lwc';
// 加载Static Resource必须先引入loadScript
import { loadScript } from 'lightning/platformResourceLoader';
// 引入staticResource并且命名为exceljs,这里喜欢的话叫它zhangsan也可以
import exceljs from '@salesforce/resourceUrl/exceljs';

export default class TestExcelJS extends LightningElement {
    @api async download() {
        try{
            // 不加入下面两行引用exceljs会报错,具体原理以后会专门开一篇文章讲解
            var regeneratorRuntime = undefined;
            window.regeneratorRuntime = regeneratorRuntime;
            // loadScript路径规则=> / import的staticResource名 / zip包名 / 文件夹名 / js文件名
            await loadScript(this, exceljs + '/exceljslib/exceljs.min.js');
            // 创建ExcelJS实例
            const workbook = new ExcelJS.Workbook();
            // 此处参照官方文档对excel进行操作
            // ......
            // 比如添加一个sheet页
            // const sheet1 = workbook.addWorksheet("Sheet1");
            // 之后用前端页面或者后台查询的数据填充该sheet页等。

            // 下载生成的workbook
            const buffer = await workbook.xlsx.writeBuffer();
            const blob = new Blob([buffer], { type: 'application/octet-stream' });
            const link = document.createElement('a');
            link.href = window.URL.createObjectURL(blob);
            link.download = 'MyData.xlsx';
            link.click();  
        } catch (error) {
            console.error(error);
        }
    }
}

在LWC的HTML中随便创建一个可点击的button

<template>
    <button onclick={download}><b>Click to Export!</b></button>
</template>

点击后,就可以得到想要的Excel文件。

Salesforce 15位ID转18位ID 速算/速查表

在以前的文章《关于salesforce的15位id与18位id》中,曾经介绍过15位与18位ID的关系,特点以及注意事项。并在文章最后提供了15位转换18位的小工具。

但是在电气/工程领域,为了方便工程师们快速做出判断,并且减少复杂计算过程中出现人为错误的可能性。
都会提供各式各样的速查表。

那么为了方便Salesforce运维工程师/开发工程师可以速查甚至速算出ID的后三位,特别制作如下速查表。

使用方式:
1. 首先将15位ID分为3组,5位1组。各组分别计算。
2. 如果单组内,有大写字母A~Z,则记为1,否则记为0,从右往左记。如 1Qfvd,记为 00010。
3. 根据下面速查表找到对应字符,3组计算结果按顺序拼接。如熟悉二进制转十进制心算,可以心算为十进制,直接获得对应字符。

十进制 二进制 字符
0 00000 A
1 00001 B
2 00010 C
3 00011 D
4 00100 E
5 00101 F
6 00110 G
7 00111 H
8 01000 I
9 01001 J
10 01010 K
11 01011 L
12 01100 M
13 01101 N
14 01110 O
15 01111 P
16 10000 Q
17 10001 R
18 10010 S
19 10011 T
20 10100 U
21 10101 V
22 10110 W
23 10111 X
24 11000 Y
25 11001 Z
26 11010 1
27 11011 2
28 11100 3
29 11101 4
30 11110 5

使用示例:
假设获得15位ID,0051e000001Qfvd, 分为三组, 0051e | 00000 | 1Qfvd, 从右往左,遇大写记1,否则记0,结果为 00000 | 00000 | 00010。
根据速查表,00000为A,00010为C,则ID 0051e000001Qfvd后三位为AAC。
如果可以做二进制转十进制心算,则可得到00000为0, 00010为2, 按 A~Z1~5 的顺序,程序员从0开始数数,0为A,2为C。可得到后三位为AAC。

Salesforce Picklist翻译无法填写的另一种可能原因

抛开权限等常见原因,如果你狂点翻译却无法进入编辑状态,有一种可能性是被翻译控制台上世纪的UI设计坑害了。

当待翻译的内容超过一屏的时候,这个古老的UI的表格Title不会跟随屏幕滚动浮动,并且列之间没有分割线,导致看起来一整行只有一列。

而实际上却包含三列

只有点击在翻译列区域才可以进入编辑状态。

P.S. for 跳了坑的小伙伴

Opportuinty的Quote Relatedlist上看不到New button的另一种可能性/One more possibility of missing new button on Opportunity’s Quote Related List

如果看不到quote的新建按钮,原因是多种多样的。
There’re so many reasons cause Quote’s new button missing.

其中最普遍的原因不过如下:
The most common reasons as below:

  1. 没有Quote表的创建权限。/You didn’t have Create permission on Quote Object.
  2. Opportunity Pagelayout上的Quote RelatedList的new button没有勾选。/You didn’t check the new button on Quote RelatedList of Opportunity’s Pagelayout.
  3. 没有开启Quote模块。/You didn’t activate Quote module.

但是,之前在项目上遇到了另外一个原因,在上述三点都做到的前提下,也会导致Quote的New Button消失。
Thus, there is one more reason to cause Quote’s new button not visible although all above conditions had achieved.

这个原因就是Opportunity的Account字段权限。如果profile没有赋予Opportunity的Account字段任何权限,Quote的new button将不会显示。
It’s not grant field permission to Opportunity’s Account field. This will cause the missing of Quote’s new button globally.

关于Profile的部署

去年有人问了我一个问题————为什么清理干净的Profile部署到新环境会多出很多东西。比如说Custom Application Setting, Tab Settings与Object Permissions。明明在源环境相关权限都已经移除,结果到了新环境又阴魂不散的出现了。

这个问题确实略为复杂,这也是为何拖了一年才动笔讨论这个问题。

众所周知,Metadata的部署有两种行为模式,一种是覆盖,一种增量。本文这里不做展开。
相对的,Metadata的取得也有两种模式,一种是独立内容,一种是关联内容。独立内容是指在package.xml中只包含元素自己的时候能将所有内容取出;关联内容是指在package.xml中除了元素本身之外,必须包含关联元素,才能将与其他元素有所关联的内容取出。独立内容的典型代表为ApexClass,CustomField;关联内容的典型代表Object与Profile。如此同时,这两种Metadata也同时存在独立内容。
具体来说,Profile的Metadata内容可以一分为二,第一种是Profile独立内容;第二种是与其他Metadata关联的内容。
✳️具体哪些内容是独立内容,哪些是关联内容,以及关联内容的Retrieve方法参考此思维导图。

部分信息表格版如下:

Category Source Metadata Type Support *?
Profile Basic Infomation Profile Include N/A
Page Layouts Assignment RecordType+Layout Yes+Yes
Field-Level Security CustomField Yes
Custom App Settings CustomApplication Yes
Connected App Access ConnectedApp Yes
Tab Settings CustomTab+CustomObject Custom Yes
Record Type Settings RecordType Yes
Permissions Profile Include N/A
Object Permissions CustomObject Custom Yes
Session Settings Independent Metadata Type => ProfileSessionSetting Yes
Password Policies Independent Metadata Type => ProfilePasswordPolicy Yes
Login Hours Profile Include N/A
Login IP Ranges Profile Include N/A
Apex Class Access ApexClass Yes
Visualforce Page Access ApexPage Yes

所以如果package.xml中只包含profile本身的话,那么在profile metadata中仅能取出profile基本信息,权限信息,ip range等有限信息。只有将其余关联metadata都包含进package.xml才能取出完整的profile metadata内容。不过,这时候喜欢动手实践的同学会发现,就算是把关联的metadata添加完整,仍然有些profile信息是取不下来的,比如没有任何增删改查的Object Permission。你只能取下来有访问权限的部分,application部分同理。这也是部署到新环境之后希望杀死的权限又死灰复燃的原因之一。
那么有些同学会有疑问,就算是没能将无权限的部分取得下来,那么部署到新环境的时候作为新建的profile,权限是怎么出现的呢?这个默认值是哪里出现的?
所谓实践出真知,如果设计下列实验,就很容易得到答案:
1. 随便找一个环境。
2. package.xml中只包含profile「Minimum Access – Salesforce」。因为此profile为官方提供的权限最少的profile。
3. 取得步骤2的profile,拷贝metadata文件,并改成其他名字,将文件中的false改成true,保存。
4. 将package.xml中的profile名称改为步骤3新建profile的名字,部署。如果使用的是vscode,可以在profile上直接右键deploy。
5. 在环境中打开新建的profile与「Minimum Access – Salesforce」。肉眼可见,在object permissio部分非常不同。
6. 新建的profile与「Standard User」进行对比,发现object permission部分完全相同。
7. 修改「Standard User」的Object Permission,重复步骤1到4再新建一个profile,取得后再次与「Standard User」进行对比,会发现新建的profile与修改后的「Standard User」相同。

由以上实验可以得出结论,通过部署方式新建profile的时候,对标手动创建时必须选择参照哪个profile的流程,系统会默认以「Standard User」作为新建模版,将部署的metadata内容以增量的方式作用到新profile上。未指定的部分以目标系统的「Standard User」设定为准。

那么原因知道了,该如何解决这个问题呢?
目前方式有三。
1. 擒贼先擒王,先人工干掉目标环境的「Standard User」上面所有的权限,让「Standard User」变成「Minimum Access – Salesforce」。这时候再部署的话就不会有额外的权限。
2. 打铁还须自身硬。会被「Standard User」影响本质上还是因为自己没有全面的指定好所有的权限,让它钻了空子。如果能够在profile metadata文件中人工编辑所有未取得的内容,也不会有问题。
3. 中庸方案,人工去目标环境新建好profile,参照profile选择「Minimum Access – Salesforce」,然后再部署。这样既不会影响「Standard User」,也不需要手动编辑profile metadata文件,又保持了新建profile的洁净。不过由于「Minimum Access – Salesforce」也不是绝对的Mininum,比如Custom Application Permission仍然带上了全部的app,所以针对此部分还是要在1与2中进行选择。

有同学又有疑问了,部署的方式有很多种,如果我用changeset还会有相同的问题吗?
答案是一样的,好奇的同学可以自己设计一个实验试一下。