@validate或@valid注解进行数据校验的解决方案

@validate或@valid注解进行数据校验的解决方案

目录

我们在对外提供接口的时候,为了提高安全性,我们需要在后端做数据的校验。实际上,Java 早在 2009 年就提出了 Bean Validation 规范,该规范定义的是一个运行时的数据验证框架,在验证之后验证的错误信息会被马上返回。并且已经历经 JSR303、JSR349、JSR380 三次标准的置顶,发展到了 2.0 。下面即将要介绍的是该数据验证的规范,以及相应的技术框架日常使用。

JSR规范提案

JSR:Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务,JSR已成为Java界的一个重要标准。
本文介绍的Bean Validation 就是出自JSR303,JSR349,以及JSR380 规范提案。该规范从JSR 303 发展到 JSR 380,目前最新规范是Bean Validation 2.0。
相信有小伙伴想去看下到底是个啥。规范提案地址:https://jcp.org/en/jsr/summary?id=bean+validation

需要注意的是,规范提案只是提供了规范,并没有提供具体的实现。具体实现框架有默认的javax.validation.api,以及hibernate-validator。目前绝大多使用hibernate-validator。

依赖引入

要使用注解进行校验,需要引入如下两个依赖:

<dependency>
	<groupId>javax.validation</groupId>
	<artifactId>validation-api</artifactId>
	<version>2.0.1.Final</version>
</dependency>

<dependency>
  <groupId>org.hibernate.validator</groupId>
  <artifactId>hibernate-validator</artifactId>
  <version>6.0.20.Final</version>
</dependency>

据我发现: 2.2.9.RELEASE 版的 spring-boot-starter-web 中引入了 spring-boot-starter-validation ,而 spring-boot-starter-validation 中又引入了 hibernate-validator ,所以如果引入了 spring-boot-starter-web 或者 spring-boot-starter-validation 都已经默认引入了 hibernate-validator 可以不用再引。

其它版本还未研究过,在使用的时候可以自己研究一下。

JSR303定义的校验类型

空检查
@Null			验证对象是否为null
@NotNull		验证对象是否不为null, 无法查检长度为0的字符串
@NotBlank		检查约束字符串是不是Null还有被Trim的长度是否大于0,只对字符串,且会去掉前后空格.
@NotEmpty		检查约束元素是否为NULL或者是EMPTY. 

Booelan检查
@AssertTrue		验证 Boolean 对象是否为 true  
@AssertFalse	验证 Boolean 对象是否为 false  

长度检查
@Size(min=, max=)		验证对象(Array,Collection,Map,String)长度是否在给定的范围之内  
@Length(min=, max=)		验证注解的元素值长度在min和max区间内

日期检查
@Past		验证 Date 和 Calendar 对象是否在当前时间之前  
@Future		验证 Date 和 Calendar 对象是否在当前时间之后  
@Pattern	验证 String 对象是否符合正则表达式的规则

数值检查,建议使用在Stirng,Integer类型,不建议使用在int类型上,因为表单值为“”时无法转换为int,但可以转换为Stirng为"",Integer为null
@Min			验证 Number 和 String 对象是否大等于指定的值  
@Max			验证 Number 和 String 对象是否小等于指定的值  
@DecimalMax		被标注的值必须不大于约束中指定的最大值. 这个约束的参数是一个通过BigDecimal定义的最大值的字符串表示.小数存在精度
@DecimalMin		被标注的值必须不小于约束中指定的最小值. 这个约束的参数是一个通过BigDecimal定义的最小值的字符串表示.小数存在精度
@Digits			验证 Number 和 String 的构成是否合法  
@Digits(integer=,fraction=)		验证字符串是否是符合指定格式的数字,interger指定整数精度,fraction指定小数精度。

@Range(min=, max=)	验证注解的元素值在最小值和最大值之间
@Range(min=10000,max=50000,message="range.bean.wage")
private BigDecimal wage;

@Valid 递归的对关联对象进行校验, 如果关联对象是个集合或者数组,那么对其中的元素进行递归校验,如果是一个map,则对其中的值部分进行校验.(是否进行递归验证)
@CreditCardNumber信用卡验证
@Email  验证是否是邮件地址,如果为null,不进行验证,算通过验证。
@ScriptAssert(lang= ,script=, alias=)
@URL(protocol=,host=, port=,regexp=, flags=)

@Valid和@Validated的区别

@Valid注解是javax提供的,遵循标准 JSR-303 规范,所属包为: javax.validation.Valid

配合BindingResult可以直接提供参数验证结果。

@Validated是@Valid的一次封装,是Spring提供的校验机制使用,遵循 Spring’s JSR-303 规范(是标准 JSR-303 的一个变种),所属包为: org.springframework.validation.annotation.Validated

@Validation对@Valid进行了二次封装,在基本使用上并没有区别,但在分组、注解位置、嵌套验证等功能上有所不同,这里主要就这几种情况进行说明。

注解位置

@Validated:可以用在类型、方法和方法参数上。但是不能用在成员属性(字段)上

@Valid:可以用在方法、构造函数、方法参数和成员属性(字段)上

两者是否能用于成员属性(字段)上直接影响能否提供嵌套验证的功能。

分组

先定义分组接口(接口什么都不需要,空的就可以):

public interface Insert {
}
public interface Update {
}

在需要校验的bean上加上分组注解:

@NotBlank(groups = {Update.class}, message = "ID不能为空")
private String id;

@NotBlank(groups = {Insert.class, Update.class}, message = "名称不能为空")
@Size(groups = {Insert.class, Update.class}, max = 32, message = "名称最大长度为32")
private String name;

根据需要,在Controller处理请求中加入 @Validated 并引入需要校验的分组(未引入分组则都校验)

@PostMapping("/insert")
public int insert(@RequestBody @Validated({Insert.class}) HospitalRequest request) {
    return hospitalService.insert(request);
}

@PostMapping("/update")
public int update(@RequestBody @Validated({Update.class}) HospitalRequest request) {
    return hospitalService.update(request);
}

在进行insert的时候不会对id进行校验

嵌套验证

嵌套验证就是类嵌套类的验证,比如我要在集合上加一个@NotNull的注解,要求该集合中的每一个对象都被验证,如果只用@Validated与@Valid是不会验证的。我们要用@Validated配合@Valid来进行验证。

@Data
@JsonIgnoreProperties(ignoreUnknown = true)
public class HospitalRequest {
    /**
     * ID
     */
    @NotBlank(groups = {Update.class}, message = "ID不能为空")
    private String id;
    /**
     * 名称
     */
    @NotBlank(groups = {Insert.class, Update.class}, message = "名称不能为空")
    @Size(groups = {Insert.class, Update.class}, max = 32, message = "名称最大长度为32")
    private String name;
    /**
     * 科室
     */
    @NotBlank(message = "departmentList不能为空")
    @Size(min = 1, message = "至少要有一个属性")
    private List<Department> departmentList;
}

例如我想让departmentList中的每一个元素都按照我规定的JSR-303校验进行验证。
那么我在controller中不管用@Validated还是@Valid都是不能验证的。

只需要在前面加上@Validated注解

@PostMapping("/add")
public void add(@RequestBody @Validated HospitalRequest request) {
    add();
}

然后把@Valid放到需要验证的集合上就可以了:

@Data
@JsonIgnoreProperties(ignoreUnknown = true)
public class HospitalRequest {
    /**
     * ID
     */
    @NotBlank(groups = {Update.class}, message = "ID不能为空")
    private String id;
    /**
     * 名称
     */
    @NotBlank(groups = {Insert.class, Update.class}, message = "名称不能为空")
    @Size(groups = {Insert.class, Update.class}, max = 32, message = "名称最大长度为32")
    private String name;
    /**
     * 科室
     */
    @Valid //嵌套验证必须用@Valid
    @NotBlank(groups = {Insert.class, Update.class}, message = "departmentList不能为空")
    @Size(groups = {Insert.class, Update.class}, min = 1, message = "至少要有一个属性")
    private List<Department> departmentList;
}

使用BindingResult接收校验结果信息

使用注解进行校验的时候,我们可以通过BindingResult来收集校验结果信息,具体操作如下:

Controller中,在@Valid或@Validated修饰的参数后跟上BindingResult参数(@Valid或@Validated 和 BindingResult 是一 一对应的,如果有多个@Valid或@Validated,那么每个@Valid或@Validated后面都需要添加BindingResult用于接收bean中的校验信息)

@PostMapping("/insert")
public int insert(@RequestBody @Validated HospitalRequest request, BindingResult bindingResult) {
    if (bindingResult.hasErrors()) {
        List<String> collect = bindingResult.getFieldErrors().stream().map(
                DefaultMessageSourceResolvable::getDefaultMessage).collect(Collectors.toList());
        StringBuilder errorMsg = new StringBuilder();
        for (String s : collect) {
            errorMsg.append(s);
            errorMsg.append(",");
        }
        errorMsg = new StringBuilder(errorMsg.substring(0, errorMsg.length() - 1));
        log.error("校验未通过:{}", errorMsg.toString());
        Assert.state(Boolean.FALSE, errorMsg.toString());
    }
    return hospitalService.insert(request);
}

这样就可以接收到校验的结果信息,可以根据校验的结果信息进行一系列操作,如打印错误信息、抛出指定异常等。

统一异常处理

在日常开发中,我们可能需要让校验返回指定的信息或对象,这时我们就可以进行统一异常处理:

package com.app.config;

import com.framework.common.domain.ErrorResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.validation.BindingResult;
import org.springframework.validation.FieldError;
import org.springframework.validation.ObjectError;
import org.springframework.web.bind.MethodArgumentNotValidException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseStatus;
import org.springframework.web.bind.annotation.RestControllerAdvice;

import java.util.List;

/**
 * 参数校验异常处理
 */
@Slf4j
@RestControllerAdvice
public class BadRequestExceptionHandler {

    /**
     * 校验错误拦截处理
     *
     * @param exception 错误信息集合
     * @return ErrorResponse 错误响应,当HTTP响应状态码不为200时,使用该响应返回
     */
    @ResponseStatus(HttpStatus.BAD_REQUEST)
    @ExceptionHandler(MethodArgumentNotValidException.class)
    private ErrorResponse validateRequestException(MethodArgumentNotValidException exception) {
        BindingResult bindingResult = exception.getBindingResult();
        StringBuilder errorMsg = new StringBuilder();
        if (bindingResult.hasErrors()) {
            List<ObjectError> errors = bindingResult.getAllErrors();
            for (ObjectError objectError : errors) {
                FieldError fieldError = (FieldError) objectError;
                if (log.isDebugEnabled()) {
                    log.error("Data check failure : object: {},field: {},errorMessage: {}",
                            fieldError.getObjectName(), fieldError.getField(), fieldError.getDefaultMessage());
                }
                errorMsg.append(objectError.getDefaultMessage());
                errorMsg.append(",");
            }
            errorMsg = new StringBuilder(errorMsg.substring(0, errorMsg.length() - 1));
        }
        return new ErrorResponse("ILLEGAL_ARGUMENT_ERROR", errorMsg.toString());
    }
}

返回的自定义响应体如下:

package com.framework.common.domain;

import com.fasterxml.jackson.annotation.JsonIgnoreProperties;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

/**
 * 错误响应,当HTTP响应状态码不为200时,使用该响应返回
 */
@JsonIgnoreProperties(ignoreUnknown = true)
@AllArgsConstructor
@NoArgsConstructor
@Data
public class ErrorResponse {

	/**
	 * 错误码
	 */
	private String code;

	/**
	 * 错误信息
	 */
	private String message;

}
上一篇:MySQL 5.6密码强度审计插件使用说明


下一篇:MySQL密码复杂度策略