求求你別在用IF ELSE校驗參數了

本文看點

前言

驗證數據是貫穿全部應用程序層(從表示層到持久層)的常見任務。一般在每一層實現相同的驗證邏輯,這既費時又容易出錯。爲了不重複這些驗證,開發人員常常將驗證邏輯直接捆綁到域模型中,將域類與驗證代碼混在一塊兒,這些驗證代碼其實是關於類自己的元數據,與業務邏輯不相關。html

JSR 380——Bean Validation2.0——定義了用於實體和方法驗證的元數據模型和API,將數據校驗邏輯經過註解的形式封裝在實體對象中。java

1.關於JSR

JSR是Java Specification Requests的縮寫,意思是Java 規範提案。是指向JCP(Java Community Process)提出新增一個標準化技術規範的正式請求。任何人均可以提交JSR,以向Java平臺增添新的API和服務。JSR已成爲Java界的一個重要標準。git

JSR-303 是JAVA EE 6 中的一項子規範,後來的版本是Bean Validation 1.1(JSR-349),目前最新版本是Bean Validation 2.0(JSR-380),Hibernate Validator 是 Bean Validation 的參考實現 ,除了Jakarta Bean驗證API定義的約束以外,Hibernate Validator還有一些附加的 constraint;而且spring-boot-starter-web默認集成了Hibernate Validator。(springboot2.3版本已經移除hibernate-validator的依賴,須要手動引入web

2.爲何使用Hibernate Validator

  • 提升代碼整潔度;
  • 驗證邏輯與業務邏輯之間進行了分離,下降了程序耦合度;
  • 統一且規範的驗證方式,無需你再次編寫重複的驗證代碼;
  • 你將更專一於你的業務,將這些繁瑣的事情通通丟在一邊。

3.註解介紹

JSR 380內置經常使用註解

註解 詳細信息
@Null 被註釋的元素必須爲 null
@NotNull 被註釋的元素必須不爲 null
@AssertTrue 被註釋的元素必須爲 true
@AssertFalse 被註釋的元素必須爲 false
@Min(value) 被註釋的元素能夠是字符串、數值類型,若是元素是字符串類型,將值轉爲BigDecimal類型,並與value屬性進行比對,值必須大於等於指定的value值
@Max(value) 被註釋的元素能夠是字符串、數值類型,若是元素是字符串類型,將值轉爲BigDecimal類型,並與value屬性進行比對,值必須小於等於指定的value值
@DecimalMin(value) 被註釋的元素能夠是字符串、數值(能夠帶小數點),將註解內value的值轉爲BigDecimal類型,必須大於等於指定的最小值(能夠配置是否等於value,默認是包含的)
@DecimalMax(value) 被註釋的元素能夠是字符串、數值(能夠帶小數點),將註解內value的值轉爲BigDecimal類型,其值必須小於等於指定的最大值(能夠配置是否等於value,默認是包含的)
@Size(max, min) 被註釋的元素的大小必須在指定的範圍內,可用於字符串、Collection、Map、數組等類型
@Digits (integer, fraction) 被註釋的元素必須是一個數字,其值必須在可接受的範圍內
@Past 被註釋的元素必須是一個過去的日期
@Future 被註釋的元素必須是一個未來的日期
@Pattern(value) 被註釋的元素必須符合指定的正則表達式
@Email 被註釋的元素必須是電子郵箱地址
@NotBlank 驗證字符串非null,且trim後長度必須大於0
@NotEmpty 適用於String、Collection、Map或者數組不能爲Null且長度或元素個數必須大於0
@Valid 具體做用下面會列舉

Hibernate Validator 附加的 constraint

註解 詳細信息
@Length 被註釋的字符串的大小必須在指定的範圍內
@URL 根據RFC2396標準校驗註釋的字符串必須是一個的有效的url
@Range 被註釋的元素必須在合適的範圍內,應用於數值或字符串
@UniqueElements 檢查帶註釋的集合是否只包含惟一的元素。相等性是使用equals()方法肯定的。
@SafeHtml 檢查帶註釋的值是否包含潛在的惡意片斷,如<script/>。如用這個註解須要引入jsoup的依賴,用來解析html代碼

注意

  • @NotNull :適用於任何類型被註解的元素,必須不能爲NULL
  • @NotEmpty :適用於String、Collection、Map或者數組,不能爲Null且長度或元素個數必須大於0
  • @NotBlank:驗證字符串非null,且trim後長度必須大於0

@Validated與@Valid的區別:正則表達式

  • @Validated註解是spring提供的,提供了一個分組功能,能夠在入參驗證時,根據不一樣的分組採用不一樣的驗證機制。沒有添加分組屬性時,默認驗證沒有分組的驗證屬性(Default分組);spring

  • @Validated:能夠用在類型、方法和方法參數上,可是不能用在成員屬性(字段)上sql

  • @Validated:用在方法入參上沒法單獨提供嵌套驗證功能,也沒法提示框架進行嵌套驗證。能配合嵌套驗證註解@Valid進行嵌套驗證。編程

  • @Valid:做爲標準JSR-303規範,尚未吸取分組的功能;api

  • @Valid:能夠用在方法、方法參數、構造函數、方法參數和成員屬性(字段)上數組

  • @Valid加在方法參數時並不可以自動進行嵌套驗證,而是用在須要嵌套驗證類的相應字段上,來配合方法參數上@Validated或@Valid來進行嵌套驗證。

4.使用

因爲spring-boot-starter-web(springboot 2.3如下版本)依賴默認集成了Hibernate Validator,因此無需添加任何依賴和相關配置,只須要在項目中引入spring-boot-starter-web依賴便可(演示springboot版本爲2.1.2.RELEASE),因爲要用到@SafeHtml註解,這裏須要加上jsoup的依賴。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
 <!-- 解析html片斷-->
<dependency>
  <groupId>org.jsoup</groupId>
  <artifactId>jsoup</artifactId>
  <version>1.8.3</version>
</dependency>

Hibernate Validator有兩種校驗模式:

  • 普通模式(會校驗完全部的屬性,而後返回全部的驗證失敗信息,默認是這個模式)

  • 快速失敗返回模式(只要有一個字段驗證失敗,就返回結果)

    在@Configuration Class中配置如下代碼,將Validator設置爲快速失敗返回模式

    @Bean
        public Validator validator(){
            ValidatorFactory validatorFactory = Validation.byProvider( HibernateValidator.class)
                    .configure()
                    .addProperty( "hibernate.validator.fail_fast", "true" )
                    .buildValidatorFactory()
    ;
            Validator validator = validatorFactory.getValidator();
            return validator;
        }

a.對象校驗

1.在對象中添加註解

@Data
public class User {
    //註解對靜態變量不生效
    @NotBlank(message = "性別不能爲空")
    private static String sex;
    
    @NotBlank(message = "姓名不能爲空")
    @Size(min = 2,max = 5,message = "姓名長度不規範")
    private String name;
    
    @NotNull(message = "年齡不能爲空")
    @Max(value = 30,message = "年齡超過最大值30")
    @Range(min=30,max=60)
    private Integer age;
    
    @DecimalMax(value = "108.88",message = "超過最大108.88",inclusive = false)
    private Double price;
    
    @Past(message = "生日不能大於當前日期")
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private LocalDateTime birthday;
    
    @Email(message = "電子郵箱格式不正確")
    private String email;
    
    @SafeHtml(message = "非法請求參數")
    private String content;
}

2.進入Controller對應方法,在須要校驗的對象前添加@Valid註解便可(校驗對靜態變量不生效),在使用 @Valid 註解的參數後能夠緊跟着一個 BindingResult 類型的參數,用於獲取校驗結果(將校驗結果封裝在BingdingResult對象中,不會拋出異常)

注意:@Valid 和 BindingResult 是一一對應的,若是有多個@Valid,那麼每一個@Valid後面跟着的BindingResult就是這個@Valid的驗證結果,順序不能亂

 //單個對象校驗
    @PostMapping("user")
    //校驗參數後邊跟BindingResult,spring不會拋出異常,將校驗結果封裝在這個對象中
    public String person(@Valid User user,BindingResult bindingResult){
        System.out.println(user);
        StringBuilder sb = new StringBuilder();
        if(bindingResult.hasErrors()){
            List<ObjectError> allErrors = bindingResult.getAllErrors();
            for(ObjectError error:allErrors){
                sb.append(error.getDefaultMessage()+",");
            }
        }
        return sb.toString();
    }

3.若是此時去掉實體對象後面的BindingResult,如校驗未經過會拋出BindException異常,須要在全局異常處理器中捕獲並統一處理

4.全局異常處理器配置

@RestControllerAdvice
@Slfj
@AutoConfigurationPackage
public class GlobalExceptionHandler {
    //spring-context包裏面的異常
    //實體對象前不加@RequestBody註解,單個對象內屬性校驗未經過拋出的異常類型
    @ExceptionHandler(BindingException.class)
    public ResponseEntity<ExceptionResponseVOmethodArguments(BindingException e)
{
        log.warn("throw BindingException,{}",e);
        return ResponseEntity.status(HttpStatus.BAD_REQUEST)
                .body(ExceptionResponseVO.error(NEError.INVALID_PARAMETER, e.getBindingResult().getFieldError().getDefaultMessage()));
    }
    
    //實體對象前不加@RequestBody註解,校驗方法參數或方法返回值時,未校驗經過時拋出的異常
    //Validation-api包裏面的異常
    @ExceptionHandler(ValidationException.class)
    public ResponseEntity<ExceptionResponseVOmethodArguments(ValidationException e)
{
        log.warn("throw ValidationException,{}",e);
       return ResponseEntity.status(HttpStatus.BAD_REQUEST)            .body(ExceptionResponseVO.error(NEError.INVALID_PARAMETER,e.getCause().getMessage()));
    }
    
    //spring-context包裏面的異常,實體對象前加@RequestBody註解,拋出的異常爲該類異常
    //方法參數若是帶有@RequestBody註解,那麼spring mvc會使用RequestResponseBodyMethodProcessor   //對參數進行序列化,並對參數作校驗
    @ExceptionHandler(MethodArgumentNotValidException.class)
    public ResponseEntity<ExceptionResponseVOmethodArguments(MethodArgumentNotValidException e)
{
        log.warn("throw MethodArgumentNotValidException,{}",e);
       return ResponseEntity.status(HttpStatus.BAD_REQUEST)
                .body(ExceptionResponseVO.error(NEError.INVALID_PARAMETER,             e.getBindingResult().getFieldError().getDefaultMessage()));
    }
    
    @ExceptionHandler(Exception.class)
    public ResponseEntity methodArguments(Exception e)
{
        log.warn("throw exception,{}",e);
        return ResponseEntity.badRequest().body(e.getMessage());
    }
}

b.級聯校驗

若是一個對象內部包含另外一個對象做爲屬性,屬性上加 @Valid,能夠驗證做爲屬性的對象內部的驗證

@Data
public class User2 {
    @NotBlank(message = "姓名不能爲空")
    private String name;
    @Max(value = 50,message = "年齡不能爲空")
    private Integer age;
    @Valid
    @NotNull(message = "商品不能爲空")
    private Goods goods;
}
@Data
public class Goods{
    @NotBlank(message = "商品名稱不能爲空")
    private String goodsName;
    @NotNull(message = "商品價格不能爲空")
    private Double goodsPrice;
}

若是級聯校驗內元素的屬性校驗未經過,拋出MethodArgumentNotValidException異常,注意在全局異常處理器捕獲該異常並處理

//級聯校驗
 @PostMapping("cascade")
public String cascade(@Valid @RequestBody User2 user2){
     return "OK";
 }

c.容器元素校驗

用來校驗實體對象內集合中的元素,在容器泛型前加註解,可實現對容器單個元素的校驗;以下:

@Data
public class User3 {
    @NotBlank(message = "姓名不能爲空")
    private String name;
    @Max(value = 50,message = "年齡不能爲空")
    private Integer age;
    
    @Valid
    @NotEmpty(message = "商品列表不能爲空")
    private List<@NotNull(message = "商品不能爲空") Goods> goodsList;
}

若是容器元素校驗未經過,拋出異常MethodArgumentNotValidException(與級聯校驗拋出的同樣)

//容器元素校驗
@PostMapping("container")
public String container(@Valid @RequestBody User3 user3){
    return "OK";
}

d.方法的校驗

JSR 303標準定義接口ExecutableValidator,用來校驗方法參數,Hibernate Validator實現了該接口(ValidatorImpl.class),不只對Object的屬性進行校驗,還能夠對方法參數、返回值、構造函數參數等進行校驗;Spring 在此基礎上進行了擴展,添加了MethodValidationPostProcessor攔截器,經過AOP實現對方法的校驗;此時拋出的異常是javax.validation.ConstraintViolationException

注意 :必須在Controller上面加上註解@Validated,不然校驗規則無效

@RestController
@RequestMapping("validator")
@Validated
public class ValidatorController {
 @GetMapping("demo1")
    public String test1(@Range(min = 1,max = 999,message = "起始筆數超過區間範圍")@RequestParam int pageIndex, @Range(min = 1,max = 999,message = "查詢筆數超過區間範圍")@RequestParam int pageSize){
        return "ok";
    }
}

除了校驗Controller方法外,也可校驗Service(必須是單例的bean,不然不生效,由於方法參數校驗邏輯底層用AOP來實現)等方法,用法以下:

@Service
@Validated
public class UserService {
 //校驗方法參數
    public String queryUserName(@NotNull(message = "用戶參數不能爲空") User user){
        return user.getName();
    }
    
    //校驗方法返回值
    @NotNull(message = "用戶信息不存在")
    public User queryUser(User user){
        return null;
    }
}

e.分組校驗的實現

分組

同一個校驗規則,不可能適用於全部的業務場景,對每個業務場景去編寫一個校驗規則,又顯得特別冗餘。實際上咱們能夠用到Hibernate-Validator的分組功能,達到對不一樣場景作出不一樣的校驗邏輯,減小DTO對象的建立。

好比一個User對象,新增的時候不須要檢驗id(系統生成),修改的時候須要檢驗id屬性,要想複用Class,就可使用Hibernate Validator的分組。

實例代碼:

@Data
public class UserGroup {
    @NotNull(message = "id不能爲空",groups = UpdateUser.class)
    private Integer id
;
    @NotBlank(message = "姓名不能爲空",groups = AddUser.class)
    private String name
;
    @NotNull(message = "年齡不能爲空",groups = AddUser.class)
    private Integer age
;

    public interface AddUser{}
    public interface UpdateUser{}
}

添加用戶:在須要校驗的對象前面加@Validated註解(不能使用@Valid註解),並配置分組class,此時AddUser的分組校驗規則生效。

 //分組校驗:添加用戶
    @PostMapping("addUser")
    public String addUser(@Validated(UserGroup.AddUser.class) UserGroup userGroup){
        return "OK";
    }

修改用戶:配置UpdateUser分組

 //分組校驗:修改用戶
    @PostMapping("updateUser")
    public String updateUser(@Validated(UserGroup.UpdateUser.class) UserGroup userGroup){
        return "OK";
    }

使用分組能極大的複用須要驗證的Class信息,而不是按業務重複編寫冗餘的類。

注意:若是指定了校驗組,則該屬性將再也不屬於默認的校驗組Default.class,則在省略校驗組參數的狀況下,將不會校驗自定義校驗組的屬性。

組序列

除了按組指定是否驗證以外,還能夠指定組的驗證順序,前面組驗證不經過的,後面組不進行驗證;其中@GroupSequence提供組序列的形式進行順序式校驗,即先校驗@Save分組的,若是校驗不經過就不進行後續的校驗分組了。我認爲順序化的校驗,場景更多的是在業務處理類,例如聯動的屬性驗證,值的有效性很大程度上不能從代碼的枚舉或常量類中來校驗。

實例代碼:

@Data
public class UserDTO {
    @NotNull(message = "id不能爲空",groups = {UpdateUser.class})
    private Integer id
;
    @NotBlank(message = "姓名不能爲空",groups = {AddUser.class})
    private String name
;
    @NotNull(message = "年齡不能爲空",groups = {AddUser.class})
    private Integer age
;
    @NotNull(message = "版本不能爲空")//不配置goups,默認就是Default分組
    private Integer version;

 @GroupSequence({AddUser.classUpdateUser.classDefault.class})
    public interface AddUpdateGroup
{}
    public interface AddUser{}
    public interface UpdateUser{}
}

首先校驗AddUser分組的註解,若是AddUser校驗不經過,就不會去校驗UpdateUser和Default的分組

@PostMapping("user")
public String saveUser(@Validated(UserDTO.AddUpdateGroup.class) UserDTO userDTO){
 userMapper.addUser(userDTO);
    return "ok";
}

5.自定義constraint

通常狀況,自定義驗證能夠解決不少問題;某些業務場景下又須要作一些特別的參數校驗,此時,咱們能夠實現validator的接口,自定義驗證器。

建立自定義註解@Sex,該註解是放在字段上的,也能夠根據業務場景放在方法或者Class上面)用於判斷性別是否符合約束

@Target({ ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = SexConstraintValidator.class)
public @interface Sex 
{

    String message() default "性別參數有誤";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default { };
}

建立自定義驗證器

public class SexConstraintValidator
        implements ConstraintValidator<Sex,String
{
    /**
     * 性別約束邏輯
     * @param value
     * @param constraintValidatorContext
     * @return
     */

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext) {
        //若是value爲null,那麼該校驗規則不生效;可搭配@NotNull註解使用,更加靈活
        if(value == null){
            return true;
        }
        return "男".equals(value) || "女".equals(value);
    }
}

要驗證的DTO對象

@Data
public class UserDTO {
    @NotNull(message = "id不能爲空")
    private Integer id;
    @NotBlank(message = "姓名不能爲空")
    private String name;
    @NotNull(message = "年齡不能爲空")
    private Integer age;
    @NotNull(message = "版本不能爲空")
    private Integer version;
    @Sex
    private String sex;
}

在UserDTO對象前加@Valid註解,可實現對性別字段的合法性校驗,sex只能傳入「男「或「女」。

這只是一個小例子,你們能夠根據業務場景自定義參數校驗器,例如敏感詞校驗、預防sql注入、js腳本攻擊等等,均可以用自定義校驗器來完成。

 文章推薦


本文分享自微信公衆號 - 亂敲代碼(lqcoder)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。

相關文章
相關標籤/搜索