参数校验通常是OpenApi必做的操作,其会对不合法的输入做统一的校验以防止恶意的请求。本文则对参数校验这方面作下简单的分析

spring.factories

读者应该对此文件加以深刻的印象,很多springboot整合第三方插件的方式均是从此配置文件去读取的,本文关注下检验方面的东西。在相应的文件搜索validation关键字,最终定位至ValidationAutoConfiguration类,笔者这就针对此类作主要的分析

ValidationAutoConfiguration

优先看下其头上的注解

@Configuration

@ConditionalOnClass(ExecutableValidator.class)

@ConditionalOnResource(resources = "classpath:META-INF/services/javax.validation.spi.ValidationProvider")

@Import(PrimaryDefaultValidatorPostProcessor.class)

使此类成功被注册的条件有两个,第一是当前环境下存在ExecutableValidator类,第二是当前类环境存在META-INF/services/javax.validation.spi.ValidationProvider文件。

通过查看maven依赖得知,其实springboot在引入starter-web板块便引入了hibernate-validator包,此包便满足了上述的两个要求。

笔者发现其也引入了PrimaryDefaultValidatorPostProcessor类,主要是判断当前的bean工厂是否已经包含了LocalValidatorFactoryBeanValidator对象,不影响大局。即使没有配置,下述的代码也是会注册的

	@Bean

	@Role(BeanDefinition.ROLE_INFRASTRUCTURE)

	@ConditionalOnMissingBean(Validator.class)

	public static LocalValidatorFactoryBean defaultValidator() {

		LocalValidatorFactoryBean factoryBean = new LocalValidatorFactoryBean();

		MessageInterpolatorFactory interpolatorFactory = new MessageInterpolatorFactory();

		factoryBean.setMessageInterpolator(interpolatorFactory.getObject());

		return factoryBean;

	}

	@Bean

	@ConditionalOnMissingBean

	public static MethodValidationPostProcessor methodValidationPostProcessor(

			Environment environment, @Lazy Validator validator) {

		MethodValidationPostProcessor processor = new MethodValidationPostProcessor();

		boolean proxyTargetClass = environment

				.getProperty("spring.aop.proxy-target-class", Boolean.class, true);

		processor.setProxyTargetClass(proxyTargetClass);

		processor.setValidator(validator);

		return processor;

	}

通过查阅代码得知,使用注解式的校验方式是通过添加@Validated注解来实现的,但是其作用于参数上还是类上是有不同的操作逻辑的。笔者将之区分开,方便后续查阅。先附上@Validated注解源码

@Target({ElementType.TYPE, ElementType.METHOD, ElementType.PARAMETER})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface Validated {

	/**

	 * Specify one or more validation groups to apply to the validation step

	 * kicked off by this annotation.

	 * <p>JSR-303 defines validation groups as custom annotations which an application declares

	 * for the sole purpose of using them as type-safe group arguments, as implemented in

	 * {@link org.springframework.validation.beanvalidation.SpringValidatorAdapter}.

	 * <p>Other {@link org.springframework.validation.SmartValidator} implementations may

	 * support class arguments in other ways as well.

	 */

	Class<?>[] value() default {};

}

类级别的校验

@Validated作用于类上,其相关的处理逻辑便是由MethodValidationPostProcessor来实现的,笔者稍微看下关键源码方法afterPropertiesSet()

	@Override

	public void afterPropertiesSet() {

		// 查找对应的类以及祖先类上是否含有@Validated注解

		Pointcut pointcut = new AnnotationMatchingPointcut(this.validatedAnnotationType, true);

		// 创建MethodValidationInterceptor处理类来处理具体的逻辑

		this.advisor = new DefaultPointcutAdvisor(pointcut, createMethodValidationAdvice(this.validator));

	}

上述的配置表明只要某个类上使用了@Validated注解,其相应的方法就会被校验相关的参数。笔者紧接着看下MethodValidationInterceptor#invoke()方法

	@Override

	@SuppressWarnings("unchecked")

	public Object invoke(MethodInvocation invocation) throws Throwable {

		// 读取相应方法上的@Validated的value属性,为空也是没问题的

		Class<?>[] groups = determineValidationGroups(invocation);

		// Standard Bean Validation 1.1 API

		ExecutableValidator execVal = this.validator.forExecutables();

		Method methodToValidate = invocation.getMethod();

		Set<ConstraintViolation<Object>> result;

		try {

			// ①校验参数

			result = execVal.validateParameters(

					invocation.getThis(), methodToValidate, invocation.getArguments(), groups);

		}

		catch (IllegalArgumentException ex) {

			// ②校验对应的桥接方法(兼容jdk1.5+后的泛型用法)的参数

			methodToValidate = BridgeMethodResolver.findBridgedMethod(

					ClassUtils.getMostSpecificMethod(invocation.getMethod(), invocation.getThis().getClass()));

			result = execVal.validateParameters(

					invocation.getThis(), methodToValidate, invocation.getArguments(), groups);

		}

		if (!result.isEmpty()) {

			throw new ConstraintViolationException(result);

		}

		// ③校验对应的返回值

		Object returnValue = invocation.proceed();

		result = execVal.validateReturnValue(invocation.getThis(), methodToValidate, returnValue, groups);

		if (!result.isEmpty()) {

			throw new ConstraintViolationException(result);

		}

		return returnValue;

	}

只要类上使用了@Validated注解,则其下的所有方法都会被校验。

检验规则如下:参数返回值都会被校验,只要某一个没有通过,则会抛出ConstraintViolationException异常以示警告。

具体的参数校验属于hibernate-validator的范畴了,感兴趣的读者可自行分析~

参数级别的校验(推荐)

@Validated注解作用于方法的参数上,其有关的校验则是被springmvc的参数校验器处理的。笔者在ModelAttributeMethodProcessor#resolveArgument()方法中查找到了相应的蛛丝马迹,列出关键的代码

	@Override

	@Nullable

	public final Object resolveArgument(MethodParameter parameter, @Nullable ModelAndViewContainer mavContainer,

			NativeWebRequest webRequest, @Nullable WebDataBinderFactory binderFactory) throws Exception {

		....

		Object attribute = null;

		BindingResult bindingResult = null;

		if (mavContainer.containsAttribute(name)) {

			attribute = mavContainer.getModel().get(name);

		}

		else {

			// Create attribute instance

			try {

				attribute = createAttribute(name, parameter, binderFactory, webRequest);

			}

			catch (BindException ex) {

				.....

			}

		}

		if (bindingResult == null) {

			WebDataBinder binder = binderFactory.createBinder(webRequest, attribute, name);

			if (binder.getTarget() != null) {

				if (!mavContainer.isBindingDisabled(name)) {

					bindRequestParameters(binder, webRequest);

				}

				// 就是这里

				validateIfApplicable(binder, parameter);

				if (binder.getBindingResult().hasErrors() && isBindExceptionRequired(binder, parameter)) {

					throw new BindException(binder.getBindingResult());

				}

			}

			// Value type adaptation, also covering java.util.Optional

			if (!parameter.getParameterType().isInstance(attribute)) {

				attribute = binder.convertIfNecessary(binder.getTarget(), parameter.getParameterType(), parameter);

			}

			bindingResult = binder.getBindingResult();

		}

		....

		return attribute;

	}

我们继续看下其下的validateIfApplicable()方法

	protected void validateIfApplicable(WebDataBinder binder, MethodParameter parameter) {

		// 对参数上含有@Validated注解的进行校验器解析

		Annotation[] annotations = parameter.getParameterAnnotations();

		for (Annotation ann : annotations) {

			Validated validatedAnn = AnnotationUtils.getAnnotation(ann, Validated.class);

                        // 兼容@Valid注解方式

			if (validatedAnn != null || ann.annotationType().getSimpleName().startsWith("Valid")) {

				Object hints = (validatedAnn != null ? validatedAnn.value() : AnnotationUtils.getValue(ann));

				Object[] validationHints = (hints instanceof Object[] ? (Object[]) hints : new Object[] {hints});

				binder.validate(validationHints);

				break;

			}

		}

	}

上述的代码已经很简明概要了,笔者就不展开了。当然如果用户想要在出现异常的时候进行友好的返回,建议参考springboot情操陶冶-web配置(五)的异常机制文章便可迎刃而解

小结

参数的校验一般都是结合spring-context板块内的@Validated注解搭配hibernate的校验器便完成了相应的检测功能。

经过笔者的测试,发现在类上使用@Validated注释基本没啥用,还是会依赖在参数上添加@Validated注解方可生效。

如果大家对此有什么补充欢迎留言,在此希望此篇对大家有所帮助

springboot情操陶冶-web配置(七)的更多相关文章

  1. springboot情操陶冶-web配置(九)

    承接前文springboot情操陶冶-web配置(八),本文在前文的基础上深入了解下WebSecurity类的运作逻辑 WebSecurityConfigurerAdapter 在剖析WebSecur ...

  2. springboot情操陶冶-web配置(四)

    承接前文springboot情操陶冶-web配置(三),本文将在DispatcherServlet应用的基础上谈下websocket的使用 websocket websocket的简单了解可见维基百科 ...

  3. springboot情操陶冶-web配置(二)

    承接前文springboot情操陶冶-web配置(一),在分析mvc的配置之前先了解下其默认的错误界面是如何显示的 404界面 springboot有个比较有趣的配置server.error.whit ...

  4. springboot情操陶冶-web配置(三)

    承接前文springboot情操陶冶-web配置(二),本文将在前文的基础上分析下mvc的相关应用 MVC简单例子 直接编写一个Controller层的代码,返回格式为json package com ...

  5. springboot情操陶冶-web配置(一)

    承接前文springboot情操陶冶-@SpringBootApplication注解解析,在前文讲解的基础上依次看下web方面的相关配置 环境包依赖 在pom.xml文件中引入web依赖,炒鸡简单, ...

  6. springboot情操陶冶-web配置(八)

    本文关注应用的安全方面,涉及校验以及授权方面,以springboot自带的security板块作为讲解的内容 实例 建议用户可直接路由至博主的先前博客spring security整合cas方案.本文 ...

  7. springboot情操陶冶-web配置(六)

    本文则针对数据库的连接配置作下简单的分析,方便笔者理解以及后续的查阅 栗子当先 以我们经常用的mybatis数据库持久框架来操作mysql服务为例 环境依赖 1.JDK v1.8+ 2.springb ...

  8. springboot情操陶冶-web配置(五)

    本文讲讲mvc的异常处理机制,方便查阅以及编写合理的异常响应方式 入口例子 很简单,根据之前的文章,我们只需要复写WebMvcConfigurer接口的异常添加方法即可,如下 1.创建简单的异常处理类 ...

  9. springboot情操陶冶-@SpringBootApplication注解解析

    承接前文springboot情操陶冶-@Configuration注解解析,本文将在前文的基础上对@SpringBootApplication注解作下简单的分析 @SpringBootApplicat ...

随机推荐

  1. 开发中少不了的Fun -- 获取地址栏URL参数

    假设这是一个url地址 http://localhost:8080/a/b/c?a=1&b=2#abc,里面包含的部分: protocol: 'http:', // 协议 host: 'loc ...

  2. connector for python实验

    MySQL 是最流行的关系型数据库管理系统,如果你不熟悉 MySQL,可以阅读 MySQL 教程. 下面为大家介绍使用 mysql-connector 来连接使用 MySQL, mysql-conne ...

  3. mac搭建简单的hls推流服务器遇到的问题(待更新)

    实际操作步骤: 输入brew install nginx-full --with-rtmp-module命令出现以下报错: 需要先安装nginx服务器,运行命令brew tap homebrew/ng ...

  4. org.hibernate.hql.internal.ast.QuerySyntaxException: XXX is not mapped

    异常情况: 最近在把一个项目拆分多个 module 的时候数据库查询遇到这个异常:org.hibernate.hql.internal.ast.QuerySyntaxException: Identi ...

  5. 马昕璐 201771010118《面向对象程序设计(java)》第十四周学习总结

    第一部分:理论知识学习部分 一.Swing和MVC设计模式 1. MVC模式可应用于Java的GUI组件设计中 2.MVC模式GUI组件设计的唯一的模式,还有很多设计的模式 二.布局管理器 1. 布局 ...

  6. java从pdf中提取文本

    一(单文件转换):下载pdfbox包,百度搜pdfbox.(fontbox-1.8.16.jar和pdfbox-app-1.8.16.jar) package pdf; import java.io. ...

  7. Mysql索引最左匹配原则

    先来看个例子: 1. 示例1:假设有如下的一张表: DROP TABLE IF EXISTS testTable; CREATE TABLE testTable ( ID BIGINT NOT NUL ...

  8. Java实现递增数组的二分查找

    package com.algorithm; import java.util.ArrayList;import java.util.List; /** * 类功能描述: * * @author Ba ...

  9. [Swift]LeetCode347. 前K个高频元素 | Top K Frequent Elements

    Given a non-empty array of integers, return the k most frequent elements. Example 1: Input: nums = [ ...

  10. [Swift]LeetCode701. 二叉搜索树中的插入操作 | Insert into a Binary Search Tree

    Given the root node of a binary search tree (BST) and a value to be inserted into the tree, insert t ...