SpringBoot之服务端数据校验

对于任何一个应用而言,客户端做的数据有效性验证都不是安全有效的,而数据验证又是一个企业级项目架构上最为基础的功能模块,这时候就要求我们在服务端接收到数据的时候也对数据的有效性进行验证。为什么这么说呢?往往我们在编写程序的时候都会感觉后台的验证无关紧要,毕竟客户端已经做过验证了,后端没必要在浪费资源对数据进行验证了,但恰恰是这种思维最为容易被别人钻空子。毕竟只要有点开发经验的都知道,我们完全可以模拟 HTTP 请求到后台地址,模拟请求过程中发送一些涉及系统安全的数据到后台,后果可想而知....

验证分两种:对封装的Bean进行验证  或者  对方法简单参数的验证。

说明:SpringBoot 中使用了 Hibernate-validate 校验框架作为支持

一、引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-validation</artifactId>
</dependency>
<!-- 这两个springboot包里面都包含hibernate-validator包,只要引入一个即可 -->
 <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

二、hibernate-validator常用注解

  • @Valid:被注释的元素是一个对象,需要检查此对象的所有字段值
  • @Validated :是@Valid 的一次封装,是Spring提供的校验机制使用。@Valid不提供分组功能@Null 被注释的元素必须为 null
  • @NotNull:被注释的元素必须不为 null
  • @Pattern(value) :被注释的元素必须符合指定的正则表达式
  • @Size(min, max) :集合元素的数量必须在min和max之间
  • @CreditCardNumber(ignoreNonDigitCharacters=): 字符串必须是信用卡号,按照美国的标准验证
  • @Email: 字符串必须是Email地址
  • @Length(min, max) :检查字符串的长度
  • @NotBlank : 只能用于字符串不为null,并且字符串trim()以后length要大于0
  • @NotEmpty : 字符串不能为null, 集合必须有元素
  • @Range(min, max) :数字必须大于min, 小于max
  • @SafeHtml(whitelistType=,additionalTags=) :字符串必须是安全的html, classpath中要有jsoup包
  • @URL(protocol=,host=, port=, regexp=, flags=) : 字符串必须是合法的URL
  • @AssertTrue :被注释的元素必须为 true
  • @AssertFalse :被注释的元素必须为 false
  • @DecimalMax(value=, inclusive=) :值必须小于等于(inclusive=true)/小于(inclusive=false)属性指定的值,也可以注释在字符串类型的属性上。
  • @DecimalMin(value=, inclusive=) :值必须大于等于(inclusive=true)/小于(inclusive=false)属性指定的值,也可以注释在字符串类型的属性上。
  • @Digits (integer, fraction) :数字格式检查。integer指定整数部分的最大长度,fraction指定小数部分的最大长度
  • @Future : 时间必须是未来的
  • @Past : 时间必须是过去的
  • @Max(value=) : 值必须小于等于value指定的值。不能注解在字符串类型属性上。
  • @Min(value=) : 值必须小于等于value指定的值。不能注解在字符串类型属性上。
  • @ScriptAssert(lang=, script=, alias=) : 要有Java Scripting API 即JSR 223("Scripting for the JavaTM Platform")的实现

三、@Valid和@Validated的区别

@Valid是使用Hibernate validation的时候。

@Validated是使用Spring Validator校验机制(在spring-context依赖下)。

java的JSR303声明了@Valid这类接口,而Hibernate-validator对其进行了实现,@Validation对@Valid进行了二次封装,在使用上并没有区别,但在分组、注解位置、嵌套验证等功能上有所不同。

1. 注解位置上

@Validated:用在类型、方法和方法参数上。但不能用于成员属性(field)。

@Valid:可以用在方法、构造函数、方法参数和成员属性(field)上。

如果@Validated注解在成员属性上,则会报  不适用于field错误。

2. 分组校验

@Validated:提供分组功能,可以在参数验证时,根据不同的分组采用不同的验证机制。

@Valid:没有分组功能。

(1) 定义分组接口

public interface IGroupA {
}

public interface IGroupB {
}

(2) 定义需要校验的参数bean

public class Student implements Serializable {
    @NotBlank(message = "用户名不能为空")
    private String name;
    //只在分组为IGroupB的情况下进行验证
    @Min(value = 18, message = "年龄不能小于18岁", groups = {IGroupB.class})
    private Integer age;
    @Pattern(regexp = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$", message = "手机号格式错误")
    private String phoneNum;
    @Email(message = "邮箱格式错误")
    private String email;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public String getPhoneNum() {
        return phoneNum;
    }

    public void setPhoneNum(String phoneNum) {
        this.phoneNum = phoneNum;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }
}

(3) 检验分组为IGroupA的情况

@RestController
public class CheckController {

    @PostMapping("/stu")
    public String addStu(@Validated({IGroupA.class})  Student studentBean){
        return "add student success";
    }
}

很明显,这里对IGroupA是不起作用的,修改为@Validated({IGroupB.class})或@Validated({IGroupA.class, IGroupB.class})。

说明:

不分配groups,默认每次都要进行验证
对一个参数需要多种验证方式时,也可通过分配不同的组达到目的。

3. 组序列

默认情况下 不同级别的约束验证是无序的,但是在一些情况下,顺序验证却是很重要。

一个组可以定义为其他组的序列,使用它进行验证的时候必须符合该序列规定的顺序。在使用组序列验证的时候,如果序列前边的组验证失败,则后面的组将不再给予验证。

(1) 定义组序列

@GroupSequence({Default.class, IGroupA.class, IGroupB.class})
public interface IGroup {
}

(2) 需要校验的Bean,分别定义IGroupA对age进行校验,IGroupB对email进行校验:

public class Student implements Serializable {
    @NotBlank(message = "用户名不能为空")
    private String name;
    //只在分组为IGroupB的情况下进行验证
    @Min(value = 18, message = "年龄不能小于18岁", groups = {IGroupA.class})
    private Integer age;
    @Pattern(regexp = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$", message = "手机号格式错误")
    private String phoneNum;
    @Email(message = "邮箱格式错误", groups = IGroupB.class)
    private String email;
}

(3) 测试

@RestController
public class CheckController {

    @PostMapping("/stu")
    public String addStu(@Validated({IGroup.class})  Student studentBean){
        return "add student success";
    }
}

测试发现,如果age出错,那么对组序列在IGroupA后的IGroupB不进行校验。

4. 嵌套校验

一个待验证的pojo类,其中还包含了待验证的对象,需要在待验证对象上注解@Valid,才能验证待验证对象中的成员属性,这里不能使用@Validated。

(1) 需要约束的bean

public class TeacherBean {
    @NotEmpty(message = "老师姓名不能为空")
    private String teacherName;
    @Min(value = 1, message = "学科类型从1开始计算")
    private int type;
}
public class Student implements Serializable {
    @NotBlank(message = "用户名不能为空")
    private String name;
    //只在分组为IGroupB的情况下进行验证
    @Min(value = 18, message = "年龄不能小于18岁")
    private Integer age;
    @Pattern(regexp = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$", message = "手机号格式错误")
    private String phoneNum;
    @Email(message = "邮箱格式错误")
    private String email;

    @NotNull(message = "任课老师不能为空")
    @Size(min = 1, message = "至少有一个老师")
    private List<TeacherBean> teacherBeans;
}

上面这样写,对teacherBeans只校验了NotNull, 和 Size,并没有对teacher信息里面的字段进行校验,如果需要多里面的属性也进行校验,可以在teacherBeans中加上 @Valid

@Valid
@NotNull(message = "任课老师不能为空")
@Size(min = 1, message = "至少有一个老师")
private List<TeacherBean> teacherBeans;

四、验证结果接收

可以Controller的方法入参上添加BindingResult参数,用于接收校验后的验证结果,如果多个校验对象,那么每个@Validated后面跟着的BindingResult就是这个@Validated的验证结果,顺序不能乱。

@Validated People p, BindingResult result, @Validated Person p2

可能用到的操作:

// result是BindingResult 实例
if(result.hasErrors()){
    List<ObjectError> allErrors = result.getAllErrors();
    for(ObjectError error : allErrors){
        FieldError fieldError = (FieldError)error;
        // 属性
        String field = fieldError.getField();
        // 错误信息
        String message = fieldError.getDefaultMessage();
        System.out.println(field + ":" + message);
        
        
    }
}

 

posted @ 2020-02-23 08:14  codedot  阅读(1005)  评论(0编辑  收藏  举报