Spring mvc服务端数据校验实现流程详解

B/S 系统中对http 请求数据的校验多数在客户端进行,这也是出于简单及用户体验性上考虑,但是在一些安全性要求高的系统中服务端校验是不可缺少的,实际上,几乎所有的系统,凡是涉及到数据校验,都需要在服务端进行二次校验。为什么要在服务端进行二次校验呢?这需要理解客户端校验和服务端校验各自的目的。

客户端校验,我们主要是为了提高用户体验,例如用户输入一个邮箱地址,要校验这个邮箱地址是否合法,没有必要发送到服务端进行校验,直接在前端用 js 进行校验即可。但是大家需要明白的是,前端校验无法代替后端校验,前端校验可以有效的提高用户体验,但是无法确保数据完整性,因为在 B/S 架构中,用户可以方便的拿到请求地址,然后直接发送请求,传递非法参数。
服务端校验,虽然用户体验不好,但是可以有效的保证数据安全与完整性。
综上,实际项目中,两个一起用。

Spring 支持JSR-303 验证框架,JSR-303 是 JAVA EE 6 中的一项子规范,叫做 Bean Validation,官方参考实现是 Hibernate Validator(与Hibernate ORM 没有关系),JSR-303 用于对 Java Bean 中的字段的值进行验证。

普通校验

普通校验,是这里最基本的用法。

首先,我们需要加入校验需要的依赖:

<dependency>
  <groupId>org.hibernate</groupId>
  <artifactId>hibernate-validator</artifactId>
  <version>6.1.0.Final</version>
</dependency>

接下来,在 SpringMVC 的配置文件中配置校验的 Bean:

<bean class="org.springframework.validation.beanvalidation.LocalValidatorFactoryBean" id="validatorFactoryBean">
  <property name="providerClass" value="org.hibernate.validator.HibernateValidator"/>
</bean>
<mvc:annotation-driven validator="validatorFactoryBean"/>

配置时,提供一个 LocalValidatorFactoryBean 的实例,然后 Bean 的校验使用 HibernateValidator。

这样,配置就算完成了。

接下来,我们提供一个添加学生的页面:

<form action="/addstudent" method="post">
  <table>
    <tr>
      <td>学生编号:</td>
      <td><input type="text" name="id"></td>
    </tr>
    <tr>
      <td>学生姓名:</td>
      <td><input type="text" name="name"></td>
    </tr>
    <tr>
      <td>学生邮箱:</td>
      <td><input type="text" name="email"></td>
    </tr>
    <tr>
      <td>学生年龄:</td>
      <td><input type="text" name="age"></td>
    </tr>
    <tr>
      <td colspan="2">
        <input type="submit" value="提交">
      </td>
    </tr>
  </table>
</form>

在这里需要提交的数据中,假设学生编号不能为空,学生姓名长度不能超过 10 且不能为空,邮箱地址要合法,年龄不能超过 150。那么在定义实体类的时候,就可以加入这个判断条件了。

public class Student {
  @NotNull
  private Integer id;
  @NotNull
  @Size(min = 2,max = 10)
  private String name;
  @Email
  private String email;
  @Max(150)
  private Integer age;
...
}

在这里:

  • @NotNull 表示这个字段不能为空
  • @Size 中描述了这个字符串长度的限制
  • @Email 表示这个字段的值必须是一个邮箱地址
  • @Max 表示这个字段的最大值

定义完成后,接下来,在 Controller 中定义接口:

@Controller
public class StudentController {
  @RequestMapping("/addstudent")
  @ResponseBody
  public void addStudent(@Validated Student student, BindingResult result) {
    if (result != null) {
      //校验未通过,获取所有的异常信息并展示出来
      List<ObjectError> allErrors = result.getAllErrors();
      for (ObjectError allError : allErrors) {
        System.out.println(allError.getObjectName()+":"+allError.getDefaultMessage());
      }
    }
  }
}

在这里:

  • @Validated 表示 Student 中定义的校验规则将会生效
  • BindingResult 表示出错信息,如果这个变量不为空,表示有错误,否则校验通过。

接下来就可以启动项目了。访问 jsp 页面,然后添加 Student,查看校验规则是否生效。

默认情况下,打印出来的错误信息时系统默认的错误信息,这个错误信息,我们也可以自定义。自定义方式如下:

由于 properties 文件中的中文会乱码,所以需要我们先修改一下 IDEA 配置,点
File–>Settings->Editor–>File Encodings,如下:

https://s3-us-west-2.amazonaws.com/secure.notion-static.com/6901df99-8a2e-418b-b791-77cff9fc1bb7/Untitled.png

然后定义错误提示文本,在 resources 目录下新建一个 MyMessage.properties 文件,内容如下:

student.id.notnull=id 不能为空
student.name.notnull=name不能为空
student.name.length=name最小长度为 2 ,最大长度为10
student.email.error=email地址非法
student.age.error=年龄不能超过 150

接下来,在 SpringMVC 配置中,加载这个配置文件:

<bean class="org.springframework.validation.beanvalidation.LocalValidatorFactoryBean" id="validatorFactoryBean">
  <property name="providerClass" value="org.hibernate.validator.HibernateValidator"/>
  <property name="validationMessageSource" ref="bundleMessageSource"/>
</bean>
<bean class="org.springframework.context.support.ReloadableResourceBundleMessageSource" id="bundleMessageSource">
  <property name="basenames">
    <list>
      <value>classpath:MyMessage</value>
    </list>
  </property>
  <property name="defaultEncoding" value="UTF-8"/>
  <property name="cacheSeconds" value="300"/>
</bean>
<mvc:annotation-driven validator="validatorFactoryBean"/>

最后,在实体类上,加上校验出错时的消息

public class Student {
  @NotNull(message = "{student.id.notnull}")
  private Integer id;
  @NotNull(message = "{student.name.notnull}")
  @Size(min = 2,max = 10,message = "{student.name.length}")
  private String name;
  @Email(message = "{student.email.error}")
  private String email;
  @Max(value = 150,message = "{student.age.error}")
  private Integer age;
...
}

配置完成后,如果校验再出错,就会展示我们自己的出错信息了。

分组校验

由于校验规则都是定义在实体类上面的,但是,在不同的数据提交环境下,校验规则可能不一样。例如,用户的 id 是自增长的,添加的时候,可以不用传递用户 id,但是修改的时候则必须传递用户 id,这种情况下,就需要使用分组校验。

分组校验,首先需要定义校验组,所谓的校验组,其实就是空接口:

public interface ValidationGroup1 {
}
public interface ValidationGroup2 {
}

然后,在实体类中,指定每一个校验规则所属的组:

public class Student {
  @NotNull(message = "{student.id.notnull}",groups = ValidationGroup1.class)
  private Integer id;
  @NotNull(message = "{student.name.notnull}",groups = {ValidationGroup1.class, ValidationGroup2.class})
  @Size(min = 2,max = 10,message = "{student.name.length}",groups = {ValidationGroup1.class, ValidationGroup2.class})
  private String name;
  @Email(message = "{student.email.error}",groups = {ValidationGroup1.class, ValidationGroup2.class})
  private String email;
  @Max(value = 150,message = "{student.age.error}",groups = {ValidationGroup2.class})
  private Integer age;
...
}

在 group 中指定每一个校验规则所属的组,一个规则可以属于一个组,也可以属于多个组。

最后,在接收参数的地方,指定校验组:

@Controller
public class StudentController {
  @RequestMapping("/addstudent")
  @ResponseBody
  public void addStudent(@Validated(ValidationGroup2.class) Student student, BindingResult result) {
    if (result != null) {
      //校验未通过,获取所有的异常信息并展示出来
      List<ObjectError> allErrors = result.getAllErrors();
      for (ObjectError allError : allErrors) {
        System.out.println(allError.getObjectName()+":"+allError.getDefaultMessage());
      }
    }
  }
}

配置完成后,属于 ValidationGroup2 这个组的校验规则,才会生效。

校验注解

@Null 被注解的元素必须为 null

@NotNull 被注解的元素必须不为 null

@AssertTrue 被注解的元素必须为 true

@AssertFalse 被注解的元素必须为 false

@Min(value) 被注解的元素必须是一个数字,其值必须大于等于指定的最小值

@Max(value) 被注解的元素必须是一个数字,其值必须小于等于指定的最大值

@DecimalMin(value) 被注解的元素必须是一个数字,其值必须大于等于指定的最小值

@DecimalMax(value) 被注解的元素必须是一个数字,其值必须小于等于指定的最大值

@Size(max=, min=) 被注解的元素的大小必须在指定的范围内

@Digits (integer, fraction) 被注解的元素必须是一个数字,其值必须在可接受的范围内

@Past 被注解的元素必须是一个过去的日期

@Future 被注解的元素必须是一个将来的日期

@Pattern(regex=,flag=) 被注解的元素必须符合指定的正则表达式

@NotBlank(message =) 验证字符串非 null,且长度必须大于0

@Email 被注解的元素必须是电子邮箱地址

@Length(min=,max=) 被注解的字符串的大小必须在指定的范围内

@NotEmpty 被注解的字符串的必须非空

@Range(min=,max=,message=) 被注解的元素必须在合适的范围内

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • Java Validation Api如何实现自定义注解

    背景 官方提供的注解多数可以解决现实业务场景中基本业务校验,但有些特殊场景因业务的复杂性,也还是需要在入口处对入参进行各种角度的校验,以求简化业务层的处理,降低业务处理复杂性与方法入口的强约束性. 以上背景,下面就举个简单Demo进行自定义注解校验的实现. 注解定义类 import javax.validation.Constraint; import javax.validation.Payload; import java.lang.annotation.ElementType; impor

  • Java使用@Validated注解进行参数验证的方法

    目前项目中大部分代码进行参数验证都是写代码进行验证,为了提升方便性和代码的简洁性,所以整理了下使用注解进行参数验证.使用效果如下: // 要验证的实体类 @Data public class User implements Serializable { @NotBlank(message = "id不能为空!",groups = Update.class) protected String id = ""; @NotBlank(message = "商户i

  • javax.validation自定义日期范围校验注解操作

    实际项目中经常需要对传入的日期时间进行判断,如是否为一年内,几个月之内,几天前,几天之内等等的需求. 如要求前端传入的日期是要为当前日期一年内的某个日期,基于jdk8的LocalDateTime or LocalDate等常用的做法如下: // 前端传字符串如'2020-07-13 09:09:09' springmvc接收并转换为LocalDateTime类型 @JsonFormat(shape = JsonFormat.Shape.STRING, pattern = "yyyy-MM-dd

  • Spring mvc服务端数据校验实现流程详解

    B/S 系统中对http 请求数据的校验多数在客户端进行,这也是出于简单及用户体验性上考虑,但是在一些安全性要求高的系统中服务端校验是不可缺少的,实际上,几乎所有的系统,凡是涉及到数据校验,都需要在服务端进行二次校验.为什么要在服务端进行二次校验呢?这需要理解客户端校验和服务端校验各自的目的. 客户端校验,我们主要是为了提高用户体验,例如用户输入一个邮箱地址,要校验这个邮箱地址是否合法,没有必要发送到服务端进行校验,直接在前端用 js 进行校验即可.但是大家需要明白的是,前端校验无法代替后端校验

  • SpringBoot服务端数据校验过程详解

    这篇文章主要介绍了SpringBoot服务端数据校验过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 对于任何一个应用而言,客户端做的数据有效性验证都不是安全有效的,而数据验证又是一个企业级项目架构上最为基础的功能模块,这时候就要求我们在服务端接收到数据的时候也对数据的有效性进行验证.为什么这么说呢?往往我们在编写程序的时候都会感觉后台的验证无关紧要,毕竟客户端已经做过验证了,后端没必要在浪费资源对数据进行验证了,但恰恰是这种思维最为容易

  • MVC+DAO设计模式下的设计流程详解

    DAO设计 : DAO层主要是做数据持久层的工作,负责与数据库进行联络的一些任务都封装在此,DAO层的设计首先是设计DAO的接口,然后在Spring的配置文件中定义此接口的实现类,然后就可在模块中调用此接口来进行数据业务的处理,而不用关心此接口的具体实现类是哪个类,显得结构非常清晰,DAO层的数据源配置,以及有关数据库连接的参数都在Spring的配置文件中进行配置. 在该层主要完成对象-关系映射的建立,通过这个映射,再通过访问业务对象即可实现对数据库的访问,使得开发中不必再用SQL语句编写复杂的

  • python FastApi实现数据表迁移流程详解

    python FastApi实现数据表迁移流程详解

    目录 啥是数据迁移 1.需要新的数据表 2.需要对现有表结构进行调整 回到ORM 迁移手段 安装alembic 初始化项目 修改alembic.ini 修改alembic/env.py 开始生成迁移工作 变更数据库 FAQ 啥是数据迁移 在我们平时的开发过程中,经常需要对一些数据进行调整.一般会有以下几种场景: 1.需要新的数据表 我们的接口自动化平台虽然已经较为完善了,但难免会继续迭代一些新的功能,假设我们需要做一个订阅用例的功能. 大体想一下就可以知道,订阅用例以后这个数据得持久化(即入库)

  • SpringBoot实现服务接入nacos注册中心流程详解

    目录 概述 接入nacos注册中心 springboot服务pom文件 application.properties配置 源码分析 小结 源码流程图 概述 某些场景下只需要把springboot微服务化而不想引入springcloud如何实现的呢? 下面我们介绍nacos注册中心方案. 接入nacos注册中心 springboot服务pom文件 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="h

  • android与asp.net服务端共享session的方法详解

    android与asp.net服务端共享session的方法详解

    前言 最近因为工作的需要,要实现一个功能,就是需要通过发送短信进行注册,现在想把短信验证码放到服务器的session值中,当客户端收到短信并提交短信码时由asp.net服务端进行判断,那么如何共享这个session那么需要在android客户端中添加几行代码. 实现方法 如下操作.第一次数据请求时就获取这个cookie的名称并且得到这个cookie的值,这个即是sessionid的值并保存在一个静态变量中,然后在第二次请求数据的时候要将这个sessionid一并放在Cookie中发给服务器,服务

  • Nodejs之TCP服务端与客户端聊天程序详解

    Nodejs之TCP服务端与客户端聊天程序详解

    TCP是用来计算机之间进行通信的,通过编写客户端和服务端聊天的代码,对于服务器与客户端的工作步骤有了深刻的了解,在这里根据了不起的Node.js一书来总结一下. TCP聊天程序需要用到Nodejs中的net模块,net模块是对TCP的封装,用于创建TCP服务端与客户端的. 服务器端 count:连接的客户端个数: users:用于存储客户端用户昵称的对象,对象值都为该客户端的Socket,Socket是一个接口,用于服务端与客户端通信. net.createServer:是用来创建TCP服务器,

  • spring MVC中接口参数解析的过程详解

    前言 前天工作中遇到了这样一个问题,我在接口的参数封装了一个pojo,这是很常见的,当参数一多,惯性的思维就是封装一个pojo.那么在参数前有很多注解可以添加,比如:@requestParam,@requestBody,@pathvariable等.我的理解是这样的,首先我先申明,我并是没有看过源码,只是凭经验理解.@requestParam试用于get请求,参数在http的header中的URL上,具体放在?后面以key=value的形式存在.@requestBody适用于post请求中参数在

  • Node在Controller层进行数据校验的过程详解

    前言 幽默风趣的后端程序员一般自嘲为 CURD Boy.CURD, 也就是对某一存储资源的增删改查,这完全是面向数据编程啊. 真好呀,面向数据编程,往往会对业务理解地更加透彻,从而写出更高质量的代码,造出更少的 BUG.既然是面向数据编程那更需要避免脏数据的出现,加强数据校验.否则,难道要相信前端的数据校验吗,毕竟前端数据校验直达用户,是为了 UI 层更友好的用户反馈. 数据校验层 后端由于重业务逻辑以及待处理各种数据,以致于分成各种各样的层级,以我经历过的后端项目就有分为 Controller

  • spring cloud服务之间的调用之ribbon详解

    spring cloud服务之间的调用之ribbon详解

    前言 昨天,我们通过一个实例演示了,spring-cloud服务注册组件--Eureka的基本配置和简单用法,但是服务注册就是为了方便后期的发现和调用,所以今天我们趁热打铁,分享下spring-cloud服务之间的调用. 服务间的调用 关于spring-cloud的服务调用,我们首先需要了解它的两个核心组件Ribbon和Feign. 我们都知道,spring boot的接口都是基于REST实现的,但是在实际线上运行的时候,考虑到用户规模.服务可用性等方面的因素,我们一般很少是单节点运行的,通常都

随机推荐