这篇文章主要介绍了SpringBoot服务端数据校验过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
对于任何一个应用而言,客户端做的数据有效性验证都不是安全有效的,而数据验证又是一个企业级项目架构上最为基础的功能模块,这时候就要求我们在服务端接收到数据的时候也对数据的有效性进行验证。为什么这么说呢?往往我们在编写程序的时候都会感觉后台的验证无关紧要,毕竟客户端已经做过验证了,后端没必要在浪费资源对数据进行验证了,但恰恰是这种思维最为容易被别人钻空子。毕竟只要有点开发经验的都知道,我们完全可以模拟 HTTP 请求到后台地址,模拟请求过程中发送一些涉及系统安全的数据到后台,后果可想而知....
验证分两种:对封装的Bean进行验证 或者 对方法简单参数的验证。
说明:SpringBoot 中使用了 Hibernate-validate 校验框架作为支持
一、引入依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-validation</artifactId> </dependency> <!-- 这两个springboot包里面都包含hibernate-validator包,只要引入一个即可 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>
二、hibernate-validator常用注解
三、@Valid和@Validated的区别
@Valid是使用Hibernate validation的时候。
@Validated是使用Spring Validator校验机制(在spring-context依赖下)。
java的JSR303声明了@Valid这类接口,而Hibernate-validator对其进行了实现,@Validation对@Valid进行了二次封装,在使用上并没有区别,但在分组、注解位置、嵌套验证等功能上有所不同。
1. 注解位置上
@Validated:用在类型、方法和方法参数上。但不能用于成员属性(field)。
@Valid:可以用在方法、构造函数、方法参数和成员属性(field)上。
如果@Validated注解在成员属性上,则会报 不适用于field错误。
2. 分组校验
@Validated:提供分组功能,可以在参数验证时,根据不同的分组采用不同的验证机制。
@Valid:没有分组功能。
(1) 定义分组接口
public interface IGroupA {
}
public interface IGroupB {
}
(2) 定义需要校验的参数bean
public class Student implements Serializable {
@NotBlank(message = "用户名不能为空")
private String name;
//只在分组为IGroupB的情况下进行验证
@Min(value = 18, message = "年龄不能小于18岁", groups = {IGroupB.class})
private Integer age;
@Pattern(regexp = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$", message = "手机号格式错误")
private String phoneNum;
@Email(message = "邮箱格式错误")
private String email;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public Integer getAge() {
return age;
}
public void setAge(Integer age) {
this.age = age;
}
public String getPhoneNum() {
return phoneNum;
}
public void setPhoneNum(String phoneNum) {
this.phoneNum = phoneNum;
}
public String getEmail() {
return email;
}
public void setEmail(String email) {
this.email = email;
}
}
(3) 检验分组为IGroupA的情况
@RestController
public class CheckController {
@PostMapping("/stu")
public String addStu(@Validated({IGroupA.class}) Student studentBean){
return "add student success";
}
}
很明显,这里对IGroupA是不起作用的,修改为@Validated({IGroupB.class})或@Validated({IGroupA.class, IGroupB.class})。
说明:
不分配groups,默认每次都要进行验证
对一个参数需要多种验证方式时,也可通过分配不同的组达到目的。
3. 组序列
默认情况下 不同级别的约束验证是无序的,但是在一些情况下,顺序验证却是很重要。
一个组可以定义为其他组的序列,使用它进行验证的时候必须符合该序列规定的顺序。在使用组序列验证的时候,如果序列前边的组验证失败,则后面的组将不再给予验证。
(1) 定义组序列
@GroupSequence({Default.class, IGroupA.class, IGroupB.class})
public interface IGroup {
}
(2) 需要校验的Bean,分别定义IGroupA对age进行校验,IGroupB对email进行校验:
public class Student implements Serializable {
@NotBlank(message = "用户名不能为空")
private String name;
//只在分组为IGroupB的情况下进行验证
@Min(value = 18, message = "年龄不能小于18岁", groups = {IGroupA.class})
private Integer age;
@Pattern(regexp = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$", message = "手机号格式错误")
private String phoneNum;
@Email(message = "邮箱格式错误", groups = IGroupB.class)
private String email;
}
(3) 测试
@RestController
public class CheckController {
@PostMapping("/stu")
public String addStu(@Validated({IGroup.class}) Student studentBean){
return "add student success";
}
}
测试发现,如果age出错,那么对组序列在IGroupA后的IGroupB不进行校验。
4. 嵌套校验
一个待验证的pojo类,其中还包含了待验证的对象,需要在待验证对象上注解@Valid,才能验证待验证对象中的成员属性,这里不能使用@Validated。
(1) 需要约束的bean
public class TeacherBean {
@NotEmpty(message = "老师姓名不能为空")
private String teacherName;
@Min(value = 1, message = "学科类型从1开始计算")
private int type;
}
public class Student implements Serializable {
@NotBlank(message = "用户名不能为空")
private String name;
//只在分组为IGroupB的情况下进行验证
@Min(value = 18, message = "年龄不能小于18岁")
private Integer age;
@Pattern(regexp = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$", message = "手机号格式错误")
private String phoneNum;
@Email(message = "邮箱格式错误")
private String email;
@NotNull(message = "任课老师不能为空")
@Size(min = 1, message = "至少有一个老师")
private List<TeacherBean> teacherBeans;
}
上面这样写,对teacherBeans只校验了NotNull, 和 Size,并没有对teacher信息里面的字段进行校验,如果需要多里面的属性也进行校验,可以在teacherBeans中加上 @Valid
@Valid @NotNull(message = "任课老师不能为空") @Size(min = 1, message = "至少有一个老师") private List<TeacherBean> teacherBeans;
四、验证结果接收
可以Controller的方法入参上添加BindingResult参数,用于接收校验后的验证结果,如果多个校验对象,那么每个@Validated
后面跟着的BindingResult就是这个@Validated的验证结果,顺序不能乱。
@Validated People p, BindingResult result, @Validated Person p2
可能用到的操作:
// result是BindingResult 实例
if(result.hasErrors()){
List<ObjectError> allErrors = result.getAllErrors();
for(ObjectError error : allErrors){
FieldError fieldError = (FieldError)error;
// 属性
String field = fieldError.getField();
// 错误信息
String message = fieldError.getDefaultMessage();
System.out.println(field + ":" + message);
}
}
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持亿速云。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
