本篇要点

JDK1.8、SpringBoot2.3.4release

后端参数校验的必要性

在开发中,从表现层到持久化层,数据校验都是一项逻辑差不多,但容易出错的任务,

前端框架往往会采取一些检查参数的手段,比如校验并提示信息,那么,既然前端已经存在校验手段,后端的校验是否还有必要,是否多余了呢?

并不是,正常情况下,参数确实会经过前端校验传向后端,但如果后端不做校验,一旦通过特殊手段越过前端的检测,系统就会出现安全漏洞。

不使用Validator的参数处理逻辑

既然是参数校验,很简单呀,用几个if/else直接搞定:

    @PostMapping("/form")

    public String form(@RequestBody Person person) {

        if (person.getName() == null) {

            return "姓名不能为null";

        }

        if (person.getName().length() < 6 || person.getName().length() > 12) {

            return "姓名长度必须在6 - 12之间";

        }

        if (person.getAge() == null) {

            return "年龄不能为null";

        }

        if (person.getAge() < 20) {

            return "年龄最小需要20";

        }

        // service ..

        return "注册成功!";

    }

写法干脆,但if/else太多,过于臃肿,更何况这只是区区一个接口的两个参数而已,要是需要更多参数校验,甚至更多方法都需要这要的校验,这代码量可想而知。于是,这种做法显然是不可取的,我们可以利用下面这种更加优雅的参数处理方式。

Validator框架提供的便利

Validating data is a common task that occurs throughout all application layers, from the presentation to the persistence layer. Often the same validation logic is implemented in each layer which is time consuming and error-prone.

如果依照下图的架构,对每个层级都进行类似的校验,未免过于冗杂。

Jakarta Bean Validation 2.0 - defines a metadata model and API for entity and method validation. The default metadata source are annotations, with the ability to override and extend the meta-data through the use of XML.

The API is not tied to a specific application tier nor programming model. It is specifically not tied to either web or persistence tier, and is available for both server-side application programming, as well as rich client Swing application developers.

Jakarta Bean Validation2.0定义了一个元数据模型,为实体和方法提供了数据验证的API,默认将注解作为源,可以通过XML扩展源。

SpringBoot自动配置ValidationAutoConfiguration

Hibernate Validator Jakarta Bean Validation的参考实现。

在SpringBoot中,只要类路径上存在JSR-303的实现,如Hibernate Validator,就会自动开启Bean Validation验证功能,这里我们只要引入spring-boot-starter-validation的依赖,就能完成所需。

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-validation</artifactId>

        </dependency>

目的其实是为了引入如下依赖:

    <!-- Unified EL 获取动态表达式-->

	<dependency>

      <groupId>org.glassfish</groupId>

      <artifactId>jakarta.el</artifactId>

      <version>3.0.3</version>

      <scope>compile</scope>

    </dependency>

    <dependency>

      <groupId>org.hibernate.validator</groupId>

      <artifactId>hibernate-validator</artifactId>

      <version>6.1.5.Final</version>

      <scope>compile</scope>

    </dependency>

SpringBoot对BeanValidation的支持的自动装配定义在org.springframework.boot.autoconfigure.validation.ValidationAutoConfiguration类中,提供了默认的LocalValidatorFactoryBean和支持方法级别的拦截器MethodValidationPostProcessor

@Configuration(proxyBeanMethods = false)

@ConditionalOnClass(ExecutableValidator.class)

@ConditionalOnResource(resources = "classpath:META-INF/services/javax.validation.spi.ValidationProvider")

@Import(PrimaryDefaultValidatorPostProcessor.class)

public class ValidationAutoConfiguration {

	@Bean

	@Role(BeanDefinition.ROLE_INFRASTRUCTURE)

	@ConditionalOnMissingBean(Validator.class)

	public static LocalValidatorFactoryBean defaultValidator() {

        //ValidatorFactory

		LocalValidatorFactoryBean factoryBean = new LocalValidatorFactoryBean();

		MessageInterpolatorFactory interpolatorFactory = new MessageInterpolatorFactory();

		factoryBean.setMessageInterpolator(interpolatorFactory.getObject());

		return factoryBean;

	}

    // 支持Aop,MethodValidationInterceptor方法级别的拦截器

	@Bean

	@ConditionalOnMissingBean

	public static MethodValidationPostProcessor methodValidationPostProcessor(Environment environment,

			@Lazy Validator validator) {

		MethodValidationPostProcessor processor = new MethodValidationPostProcessor();

		boolean proxyTargetClass = environment.getProperty("spring.aop.proxy-target-class", Boolean.class, true);

		processor.setProxyTargetClass(proxyTargetClass);

        // factory.getValidator(); 通过factoryBean获取了Validator实例,并设置

		processor.setValidator(validator);

		return processor;

	}

}

Validator+BindingResult优雅处理

默认已经引入相关依赖。

为实体类定义约束注解

/**

 * 实体类字段加上javax.validation.constraints定义的注解

 * @author Summerday

 */

@Data

@ToString

public class Person {

    private Integer id;

    @NotNull

    @Size(min = 6,max = 12)

    private String name;

    @NotNull

    @Min(20)

    private Integer age;

}

使用@Valid或@Validated注解

@Valid和@Validated在Controller层做方法参数校验时功能相近,具体区别可以往后面看。

@RestController

public class ValidateController {

    @PostMapping("/person")

    public Map<String, Object> validatePerson(@Validated @RequestBody Person person, BindingResult result) {

        Map<String, Object> map = new HashMap<>();

        // 如果有参数校验失败,会将错误信息封装成对象组装在BindingResult里

        if (result.hasErrors()) {

            List<String> res = new ArrayList<>();

            result.getFieldErrors().forEach(error -> {

                String field = error.getField();

                Object value = error.getRejectedValue();

                String msg = error.getDefaultMessage();

                res.add(String.format("错误字段 -> %s 错误值 -> %s 原因 -> %s", field, value, msg));

            });

            map.put("msg", res);

            return map;

        }

        map.put("msg", "success");

        System.out.println(person);

        return map;

    }

}

发送Post请求,伪造不合法数据

这里使用IDEA提供的HTTP Client工具发送请求。

POST http://localhost:8081/person

Content-Type: application/json

{

  "name": "hyh",

  "age": 10

}

响应信息如下:

HTTP/1.1 200

Content-Type: application/json

Transfer-Encoding: chunked

Date: Sat, 14 Nov 2020 15:58:17 GMT

Keep-Alive: timeout=60

Connection: keep-alive

{

  "msg": [

    "错误字段 -> name 错误值 -> hyh 原因 -> 个数必须在6和12之间",

    "错误字段 -> age 错误值 -> 10 原因 -> 最小不能小于20"

  ]

}

Response code: 200; Time: 393ms; Content length: 92 bytes

Validator + 全局异常处理

在接口方法中利用BindingResult处理校验数据过程中的信息是一个可行方案,但在接口众多的情况下,就显得有些冗余,我们可以利用全局异常处理,捕捉抛出的MethodArgumentNotValidException异常,并进行相应的处理。

定义全局异常处理

@RestControllerAdvice

public class GlobalExceptionHandler {

    /**

     * If the bean validation is failed, it will trigger a MethodArgumentNotValidException.

     */

    @ExceptionHandler(MethodArgumentNotValidException.class)

    public ResponseEntity<Object> handleMethodArgumentNotValid(

        MethodArgumentNotValidException ex, HttpStatus status) {

        BindingResult result = ex.getBindingResult();

        Map<String, Object> map = new HashMap<>();

        List<String> list = new LinkedList<>();

        result.getFieldErrors().forEach(error -> {

            String field = error.getField();

            Object value = error.getRejectedValue();

            String msg = error.getDefaultMessage();

            list.add(String.format("错误字段 -> %s 错误值 -> %s 原因 -> %s", field, value, msg));

        });

        map.put("msg", list);

        return new ResponseEntity<>(map, status);

    }

}

定义接口

@RestController

public class ValidateController {

    @PostMapping("/person")

    public Map<String, Object> validatePerson(@Valid @RequestBody Person person) {

        Map<String, Object> map = new HashMap<>();

        map.put("msg", "success");

        System.out.println(person);

        return map;

    }

}

@Validated精确校验到参数字段

有时候,我们只想校验某个参数字段,并不想校验整个pojo对象,我们可以利用@Validated精确校验到某个字段。

定义接口

@RestController

@Validated

public class OnlyParamsController {

    @GetMapping("/{id}/{name}")

    public String test(@PathVariable("id") @Min(1) Long id,

                       @PathVariable("name") @Size(min = 5, max = 10) String name) {

        return "success";

    }

}

发送GET请求,伪造不合法信息

GET http://localhost:8081/0/hyh

Content-Type: application/json

未作任何处理,响应结果如下:

{

  "timestamp": "2020-11-15T15:23:29.734+00:00",

  "status": 500,

  "error": "Internal Server Error",

  "trace": "javax.validation.ConstraintViolationException: test.id: 最小不能小于1, test.name: 个数必须在5和10之间...省略",

  "message": "test.id: 最小不能小于1, test.name: 个数必须在5和10之间",

  "path": "/0/hyh"

}

可以看到,校验已经生效,但状态和响应错误信息不太正确,我们可以通过捕获ConstraintViolationException修改状态。

捕获异常,处理结果

@ControllerAdvice

public class CustomGlobalExceptionHandler extends ResponseEntityExceptionHandler {

    private static final Logger log = LoggerFactory.getLogger(CustomGlobalExceptionHandler.class);

    /**

     * If the @Validated is failed, it will trigger a ConstraintViolationException

     */

    @ExceptionHandler(ConstraintViolationException.class)

    public void constraintViolationException(ConstraintViolationException ex, HttpServletResponse response) throws IOException {

        ex.getConstraintViolations().forEach(x -> {

            String message = x.getMessage();

            Path propertyPath = x.getPropertyPath();

            Object invalidValue = x.getInvalidValue();

            log.error("错误字段 -> {} 错误值 -> {} 原因 -> {}", propertyPath, invalidValue, message);

        });

        response.sendError(HttpStatus.BAD_REQUEST.value());

    }

}

@Validated和@Valid的不同

参考:@Validated和@Valid的区别?教你使用它完成Controller参数校验(含级联属性校验)以及原理分析【享学Spring】

  • @Valid是标准JSR-303规范的标记型注解,用来标记验证属性和方法返回值,进行级联和递归校验。
  • @Validated:是Spring提供的注解,是标准JSR-303的一个变种(补充),提供了一个分组功能,可以在入参验证时,根据不同的分组采用不同的验证机制。
  • Controller中校验方法参数时,使用@Valid和@Validated并无特殊差异(若不需要分组校验的话)。
  • @Validated注解可以用于类级别,用于支持Spring进行方法级别的参数校验。@Valid可以用在属性级别约束,用来表示级联校验
  • @Validated只能用在类、方法和参数上,而@Valid可用于方法、字段、构造器和参数上。

如何自定义注解

Jakarta Bean Validation API定义了一套标准约束注解,如@NotNull,@Size等,但是这些内置的约束注解难免会不能满足我们的需求,这时我们就可以自定义注解,创建自定义注解需要三步:

  1. 创建一个constraint annotation。
  2. 实现一个validator。
  3. 定义一个default error message。

创建一个constraint annotation

/**

 * 自定义注解

 * @author Summerday

 */

@Target({FIELD, METHOD, PARAMETER, ANNOTATION_TYPE, TYPE_USE})

@Retention(RUNTIME)

@Constraint(validatedBy = CheckCaseValidator.class) //需要定义CheckCaseValidator

@Documented

@Repeatable(CheckCase.List.class)

public @interface CheckCase {

    String message() default "{CheckCase.message}";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};

    CaseMode value();

    @Target({FIELD, METHOD, PARAMETER, ANNOTATION_TYPE})

    @Retention(RUNTIME)

    @Documented

    @interface List {

        CheckCase[] value();

    }

}

实现一个validator

/**

 * 实现ConstraintValidator

 *

 * @author Summerday

 */

public class CheckCaseValidator implements ConstraintValidator<CheckCase, String> {

    private CaseMode caseMode;

    /**

     * 初始化获取注解中的值

     */

    @Override

    public void initialize(CheckCase constraintAnnotation) {

        this.caseMode = constraintAnnotation.value();

    }

    /**

     * 校验

     */

    @Override

    public boolean isValid(String object, ConstraintValidatorContext constraintContext) {

        if (object == null) {

            return true;

        }

        boolean isValid;

        if (caseMode == CaseMode.UPPER) {

            isValid = object.equals(object.toUpperCase());

        } else {

            isValid = object.equals(object.toLowerCase());

        }

        if (!isValid) {

            // 如果定义了message值,就用定义的,没有则去

            // ValidationMessages.properties中找CheckCase.message的值

            if(constraintContext.getDefaultConstraintMessageTemplate().isEmpty()){

                constraintContext.disableDefaultConstraintViolation();

                constraintContext.buildConstraintViolationWithTemplate(

                        "{CheckCase.message}"

                ).addConstraintViolation();

            }

        }

        return isValid;

    }

}

定义一个default error message

ValidationMessages.properties文件中定义:

CheckCase.message=Case mode must be {value}.

这样,自定义的注解就完成了,如果感兴趣可以自行测试一下,在某个字段上加上注解:@CheckCase(value = CaseMode.UPPER)

源码下载

本文内容均为对优秀博客及官方文档总结而得,原文地址均已在文中参考阅读处标注。最后,文中的代码样例已经全部上传至Gitee:https://gitee.com/tqbx/springboot-samples-learn,另有其他SpringBoot的整合哦。

参考阅读

SpringBoot中BeanValidation数据校验与优雅处理详解的更多相关文章

  1. SpringBoot入门 (十一) 数据校验

    本文记录学习在SpringBoot中做数据校验. 一 什么是数据校验 数据校验就是在应用程序中,对输入进来得数据做语义分析判断,阻挡不符合规则得数据,放行符合规则得数据,以确保被保存得数据符合我们得数 ...

  2. Spring官网阅读(十七)Spring中的数据校验

    文章目录 Java中的数据校验 Bean Validation(JSR 380) 使用示例 Spring对Bean Validation的支持 Spring中的Validator 接口定义 UML类图 ...

  3. SpringMvc中的数据校验

    SpringMvc中的数据校验 Hibernate校验框架中提供了很多注解的校验,如下: 注解 运行时检查 @AssertFalse 被注解的元素必须为false @AssertTrue 被注解的元素 ...

  4. struts中的数据校验

    1.struts中如何进行数据校验 在每一个Action类中,数据校验一般都写在业务方法中,比如login().register()等.struts提供了数据校验功能.每个继承自ActionSuppo ...

  5. Struts2中validate数据校验的两种常用方法

    本文主要介绍Struts2中validate数据校验的两种方法及Struts2常用校验器.  1.Action中的validate()方法 Struts2提供了一个Validateable接口,这个接 ...

  6. 手把手教你springboot中导出数据到excel中

    手把手教你springboot中导出数据到excel中 问题来源: 前一段时间公司的项目有个导出数据的需求,要求能够实现全部导出也可以多选批量导出(虽然不是我负责的,我自己研究了研究),我们的项目是x ...

  7. springboot扫描自定义的servlet和filter代码详解_java - JAVA

    文章来源:嗨学网 敏而好学论坛www.piaodoo.com 欢迎大家相互学习 这几天使用spring boot编写公司一个应用,在编写了一个filter,用于指定编码的filter,如下: /** ...

  8. 数据备份RAID1 和RAID5详解和对比

    数据备份RAID1 和RAID5详解和对比 RAID 全称 Redundant Array of Independent Disks,中文意思"独立的冗余磁盘列队". RAID 一 ...

  9. UIViewController中各方法调用顺序及功能详解

    UIViewController中各方法调用顺序及功能详解 UIViewController中loadView, viewDidLoad, viewWillUnload, viewDidUnload, ...

随机推荐

  1. android的adb命令整理

    adb.exe的路径在Android\Sdk\platform-tools 把这个路径加入到系统的path环境下. 先用usb连接设备,比如一台android手机 adb tcpip 5555 adb ...

  2. css做模糊处理

    -webkit-filter: blur(9px); filter: blur(9px);

  3. 关于ptype_all和pypte_base中的pt_prev的说明[转]

    不知道原帖,我是从这里看到了,解决了迷惑我很久的疑问,抄过来. 看见noble_shi兄弟"关于net_rx_action函数的若干问题"贴中关于pt_prev的问题, 本来想在论 ...

  4. 测试-python相关

    python基础 一行代码实现1~100累加,不使用for循环 方式一: sum(range(1,101)) 方式二: 1 from functools import reduce 2 reduce( ...

  5. jmeter_02_目录文档说明

    jmeter目录文档说明 bin目录是可执行文件 jmeter.bat 是启动文件 可以启动jmeter. 使用notpad++ 等文本编辑器打开 bat文件 可以配置jvm的参数 比如堆内存[Hea ...

  6. Spring官方都推荐使用的@Transactional事务,为啥我不建议使用!

    GitHub 17k Star 的Java工程师成神之路,不来了解一下吗! GitHub 17k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 17k Star 的Java工 ...

  7. HTML DOM Document的实际应用

    HTML文档中可以使用以下属性和方法: 属性 / 方法 描述 document.activeElement 返回当前获取焦点元素 document.addEventListener() 向文档添加句柄 ...

  8. Python之for循环和列表

    for循环: 有限循环 基本语法: for 变量 in 可迭代对象: 循环体 也可使用break,continue,for else list列表初识: 列表可放任意数据类型:[int,str,boo ...

  9. Pytest配置文件声明自定义用例标识

    使用pytest.ini添加自定义用例标识: [pytest] # 1.使用没有注册过的标记抛出错误 addopts = --strict-markers # 2.自定义标记 markers = sm ...

  10. update不能直接使用select的返回结果

    update不能直接使用select的返回结果,这是会报错的,这是SQL的语法规定的,若想在update中与select结合使用,sql需要这样写: 1.其中field1,field2为表中的字段名 ...