点击上方蓝字关注我们
原创声明:本人所发内容及涉及源码,均为亲手所撸,如总结内容有误,欢迎指出
唠嗑部分
在我们设计接口时,参数验证是必不可少的一个环节,严格的参数验证能够保证数据的严谨,那么在SpringBoot项目中,你是如何验证参数的呢?
首先我们来描述一下需求
用户类,有用户名、用户头像、邮件地址、年龄、手机号、出生日期,要求:
1、用户名不能为空且由字母数字下划线组成,不超过16个字符。
2、用户头像不能为空且为一个网络图片。
3、邮箱不能为空且必须为一个合法的邮件地址。
4、年龄不能为空且大于0。
5、手机号不能为空且必须合法。
6、出生日期不能为空且小于当前。
对于以上需求,你的验证方式是否如下呢
public CommonResult save(@RequestBody UserReq req){CommonResult r = CommonResult.success(null);String username = req.getUsername();String avatar = req.getAvatar();Integer age = req.getAge();LocalDate bothDate = req.getBothDate();String email = req.getEmail();String pattern = "[A-Za-z0-9_]+";Pattern p = Pattern.compile(pattern);Matcher m = p.matcher(username);if (!StringUtils.hasLength(username)) {return CommonResult.error(400, "用户名岂能为空??");} else if (m.matches()) {return CommonResult.error(400, "用户名格式有误!");} else if (username.length() > 16) {return CommonResult.error(400, "用户名长度不大于16位");}if (!StringUtils.hasLength(avatar)) {return CommonResult.error(400, "用户头像岂能为空??");} else if (!avatar.startsWith("http://") && !avatar.startsWith("https://")) {return CommonResult.error(400, "用户头像格式有误!");}...// 剩余字段验证类似r.setData(req);return r;}
上述代码可以实现各种场景的参数验证,但是仅仅两个字段已经写了20行代码,更不要说后台管理系统中复杂的参数验证了,那有些小伙伴可能会问,既然参数验证这么麻烦,那么能不能接口不验证,将这个麻烦的活交给前端去做呢?
有这个想法的小伙伴趁早打消念头哈,肯定是不行的,前端只能验证从我们系统前端发出的请求,如果有黑客绕过浏览器,使用http工具访问后台服务,并且有一些不好的企图,那么服务就危险了
那么今天我们就来说一说如何优雅的实现参数验证,跟if..else说拜拜吧
言归正传
Spring已经整合了Hibernate Validator,对于SpringBoot来说使用也十分方便,使用 @Validated 注解,实现声明式校验
我们先认识一下相关注解
空和非空检查
@NotBlank:只能用于字符串不为 null,并且字符串 #trim() 以后length要大于0
@NotEmpty:集合对象的元素不为 0 ,即集合不为空,也可以用于字符串不为 null
@NotNull:不能为null
@Null:必须为null
数值检查
@DecimalMax(value):被注释的元素必须是一个数字,其值必须小于等于指定的最大值
@DecimalMin(value):被注释的元素必须是一个数字,其值必须大于等于指定的最小值
@Digits(integer, fraction):被注释的元素必须是一个数字,其值必须在可接受的范围内
@Positive:判断正数
@PositiveOrZero:判断正数或0
@Max(value):该字段的值只能小于或等于该值
@Min(value):该字段的值只能大于或等于该值
@Negative:判断负数
@NegativeOrZero:判断负数或0
Boolean 值检查
@AssertFalse:被注释的元素必须为true
@AssertTrue:被注释的元素必须为false
长度检查
@Size(max, min):检查该字段的 size 是否在 min 和 max 之间,可以是字符串、数组、集合、Map 等
日期检查
@Future:被注释的元素必须是一个将来的日期
@FutureOrPresent:判断日期是否是将来或现在日期
@Past:检查该字段的日期是在过去
@PastOrPresent:判断日期是否是过去或现在日期
其它检查
@Email:被注释的元素必须是电子邮箱地址
@Pattern(value):被注释的元素必须符合指定的正则表达式
Hibernate Validator 附加的约束注解
org.hibernate.validator.constraints 包下,定义了一系列的约束( constraint )注解。如下:
@Range(min=, max=):被注释的元素必须在合适的范围内
@Length(min=, max=):被注释的字符串的大小必须在指定的范围内
@URL(protocol=,host=,port=,regexp=,flags=):被注释的字符串必须是一个有效的 URL
@SafeHtml:判断提交的 HTML 是否安全。例如说,不能包含 javascript 脚本等等
下面就让我们来体验一下
1、首先导入依赖
小白记得在2.1.6版本的时候,这个依赖是不用导入的,但是具体在哪个版本,官方将这个依赖分离了出来,2.4.2需要手动导入
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-validation</artifactId></dependency>
2、DTO添加参数验证注解
@Datapublic class UserReq {private String username;(regexp = "[a-zA-z]+:\\/\\/[^\\s]*", message = "用户头像格式有误")private String avatar;private String email;private Integer age;private String phone;@JsonFormat(pattern = "yyyy-MM-dd")private LocalDate bothDate;}
3、接口参数添加@Validated注解
public CommonResult save(@RequestBody @Validated UserReq req){CommonResult r = CommonResult.success(null);r.setData(req);return r;}
4、添加全局异常处理器,处理参数验证异常
@RestControllerAdvicepublic class GlobalExceptionHandler {public CommonResult constraintViolationExceptionHandler(HttpServletRequest req, ConstraintViolationException ex) {// 拼接错误StringBuilder detailMessage = new StringBuilder();for (ConstraintViolation<?> constraintViolation : ex.getConstraintViolations()) {if (detailMessage.length() > 0) {detailMessage.append(";");}detailMessage.append(constraintViolation.getMessage());}return CommonResult.error(400, detailMessage.toString());}public CommonResult bindExceptionHandler(HttpServletRequest req, BindException ex) {// 拼接错误StringBuilder detailMessage = new StringBuilder();for (ObjectError objectError : ex.getAllErrors()) {if (detailMessage.length() > 0) {detailMessage.append(";");}detailMessage.append(objectError.getDefaultMessage());}return CommonResult.error(400, detailMessage.toString());}public CommonResult MethodArgumentNotValidExceptionHandler(HttpServletRequest req, MethodArgumentNotValidException ex) {// 拼接错误StringBuilder detailMessage = new StringBuilder();for (ObjectError objectError : ex.getBindingResult().getAllErrors()) {if (detailMessage.length() > 0) {detailMessage.append(";");}detailMessage.append(objectError.getDefaultMessage());}return CommonResult.error(400, detailMessage.toString());}/*** 处理其它 Exception 异常** @param req* @param e* @return*/public CommonResult exceptionHandler(HttpServletRequest req, Exception e) {return CommonResult.error(500, e.getMessage());}}
5、验证错误参数
6、验证正确参数
结语
1、大多数场景下,我们使用 @Validated 注解即可。如果有嵌套校验的场景,使用 @Valid 注解添加到成员属性上。
2、保证接口的健壮性,参数验证是必不可少的环节,不可省略,而且应该极为严格,绝不能让恶意用户有可乘之机。
3、制作不易,一键四连再走吧,您的支持永远是我最大的动力!
点分享
点收藏
点点赞
点在看
