优雅的java参数校验

有参数传递的地方都少不了参数校验。在web开发中，前端的参数校验是为了用户体验，后端的参数校验是为了安全。

试想一下，如果在controller层中没有经过任何校验的参数通过service层、dao层一路来到了数据库就可能导致严重的后果，最好的结果是查不出数据，

严重一点就是报错，如果这些没有被校验的参数中包含了恶意代码，那就可能导致更严重的后果。

因此，对于请求参数，一般上都需要进行参数合法性校验的，原先的写法时一个个字段一个个去判断，这种方式太不通用了，并且当参数较多的时候，代码回显的很臃肿，例如：

这是一个 bad practise ！

所以java的JSR 303: Bean Validation规范就是解决这个问题的。

 

JSR 303只是个规范，并没有具体的实现，目前通常都是由hibernate-validator进行统一参数校验。

 

JSR303定义的基础校验类型：

Constraint	详细信息
@Null	被注释的元素必须为 null
@NotNull	被注释的元素必须不为 null
@AssertTrue	被注释的元素必须为 true
@AssertFalse	被注释的元素必须为 false
@Min(value)	被注释的元素必须是一个数字，其值必须大于等于指定的最小值
@Max(value)	被注释的元素必须是一个数字，其值必须小于等于指定的最大值
@DecimalMin(value)	被注释的元素必须是一个数字，其值必须大于等于指定的最小值
@DecimalMax(value)	被注释的元素必须是一个数字，其值必须小于等于指定的最大值
@Size(max, min)	被注释的元素的大小必须在指定的范围内
@Digits (integer, fraction)	被注释的元素必须是一个数字，其值必须在可接受的范围内
@Past	被注释的元素必须是一个过去的日期
@Future	被注释的元素必须是一个将来的日期
@Pattern(value)	被注释的元素必须符合指定的正则表达式

 

Hibernate Validator 中附加的 constraint ：

Constraint	详细信息
@Email	被注释的元素必须是电子邮箱地址
@Length	被注释的字符串的大小必须在指定的范围内
@NotEmpty	被注释的字符串的必须非空
@Range	被注释的元素必须在合适的范围内

 

下面通过一个例子来使用一下:

需要校验的参数DTO

@Data

@ApiModel("回帖风控放行后发短消息提醒")

public class PostCheckPassDTO {

    @NotNull(

        message = "回帖用户puid不能为空"

    )

    @ApiModelProperty("回帖用户puid，必传")

    private Long puid;

 

    @NotNull(

        message = "回帖用户username不能为空"

    )

    @ApiModelProperty("回帖用户username，必传")

    private String username;

 

    @NotNull(

        message = "帖子id不能为空"

    )

    @ApiModelProperty("帖子id，必传")

    private Long tid;

 

    @NotNull(

        message = "回帖id不能为空"

    )

    @ApiModelProperty("回帖id")

    private Long pid;

 

    @NotNull(

        message = "回帖内容不能为空"

    )

    @ApiModelProperty("回帖内容")

    private String content;

 

    @ApiModelProperty("回帖引用回帖id")

    private Long quote;

 

}

 

要注意加上@Valid注解开启校验

controller入口方法

@PostMapping("sendRemindForCheckPassPosts")

public DataResult<Boolean> sendRemindForCheckPassPosts(@Valid @RequestBody  PostCheckPassDTO postCheckPassDTO){

    userBbsWriteService.sendRemindForCheckPassPosts(postCheckPassDTO);

    return DataResult.ok(true);

}

 

这时候我们把参数里面的username去掉，请求一下接口，响应结果如下：

 

 

看到在校验不通过时，返回的异常信息是不友好的，此时可利用统一异常处理，对校验异常进行特殊处理，

特别说明下，对于异常处理类，共有以下几种情况(被@RequestBody和@RequestParam注解的请求实体，校验异常类是不同的)，上代码：

全局异常处理器

@Slf4j

@ControllerAdvice

public class GlobalExceptionHandler {

 

 

    /**

     * 异常处理

     * @param e

     * @return

     */

    @ResponseBody

    @ExceptionHandler(value = Exception.class)

    public DataResult exceptionHandler(Exception e) {

        log.error("GlobalExceptionHandler.exceptionHandler , 异常信息",e);

        /**cat error 上报*/

        Cat.logErrorWithCategory("GlobalExceptionHandler","global error",e);

        return DataResult.fail(e.getMessage());

    }

 

 

    /**

     * 业务异常

     * @param e

     * @return

     */

    @ResponseBody

    @ExceptionHandler(value = BplCommonException.class)

    public DataResult bplCommonExceptionHandler(BplCommonException e) {

        log.warn("",e);

        return DataResult.fail(e.getMessage());

    }

 

    /**

     * 处理所有RequestBody注解参数验证异常

     * @param e

     * @return

     */

    @ExceptionHandler(MethodArgumentNotValidException.class)

    @ResponseBody

    public DataResult handleMethodArgumentNotValidException(MethodArgumentNotValidException e){

        log.warn(e.getMessage());

        return DataResult.fail(e.getBindingResult().getAllErrors().get(0).getDefaultMessage());

    }

 

 

    /**

     * 处理所有RequestParam注解数据验证异常

     * @param ex

     * @return

     */

    @ExceptionHandler(BindException.class)

    public DataResult handleBindException(BindException ex) {

        FieldError fieldError = ex.getBindingResult().getFieldError();

        log.warn("必填校验异常:{}({})", fieldError.getDefaultMessage(),fieldError.getField());

        return DataResult.fail(ex.getBindingResult().getAllErrors().get(0).getDefaultMessage());

    }

}

 

添加全局异常处理器后，这时我们再次请求接口，看看相应结果：

 

上面是最通用也是最常见的使用方式，可以解决绝大部分参数校验的问题。还有剩下的小部分，我们可以通过自定义校验注解的方式解决, 比如我们定义一个检查版本号的注解：

自定义注解

@Documented

//指定注解的处理类

@Constraint(validatedBy = {VersionValidatorHandler.class })

@Target({ METHOD, FIELD, ANNOTATION_TYPE, CONSTRUCTOR, PARAMETER })

@Retention(RUNTIME)

public @interface ConstantVersion {

 

   String message() default "{constraint.default.const.message}";

 

   Class<?>[] groups() default {};

 

   Class<? extends Payload>[] payload() default {};

 

   String value();

 

}

 

注解处理类   VersionValidatorHandler

注解处理类

public class VersionValidatorHandler implements ConstraintValidator<Constant, String> {

 

    private String constant;

 

    @Override

    public void initialize(Constant constraintAnnotation) {

        //获取设置的字段值

        this.constant = constraintAnnotation.value();

    }

 

    @Override

    public boolean isValid(String value, ConstraintValidatorContext context) {

        //判断参数是否等于设置的字段值，返回结果

        return constant.equals(value);

    }

 

}

注解的使用：

自定义注解使用

@ConstantVersion (message = "verson只能为1.0.0",value="1.0.0")

String version;

Spring Validation实现原理分析