阿粉写了八千多字,只为讲透参数合法性验证

安全 数据安全
关于参数合法性验证的重要性就不多说了,即使前端对参数做了基本验证以外,后端依然还需要进行验证,以防不合规的数据直接进入后端,严重的甚至会造成系统直接崩溃!

 最近很多读者给阿粉留言,说怎么好久没看到我的文章了,这里说一下。

由于公众号不再按时间线排序,所以你会发现有时候能看到几天前的文章,这不是出BUG,是公众号的一次改变。

至于排序的具体标准是啥,阿粉也不太清楚,大概和你打开某个公众号的频率有关。

所以如果你想第一时间收到阿粉的文章,可以点击Java极客技术的的头像,再点右上角三个点,进去设置一下【星标】。

一、介绍

关于参数合法性验证的重要性就不多说了,即使前端对参数做了基本验证以外,后端依然还需要进行验证,以防不合规的数据直接进入后端,严重的甚至会造成系统直接崩溃!

本文结合自己在项目中的实际使用经验,主要以实用为主,对数据合法性验证做一次总结,不了解的朋友可以学习一下,同时可以立马实践到项目上去。

下面我们通过几个示例来演示如何判断参数是否合法,不多说直接开撸!

二、断言验证

对于参数的合法性验证,最初的做法比较简单,自定义一个异常类。

  1. public class CommonException extends RuntimeException { 
  2.  
  3.     /**错误码*/ 
  4.     private Integer code; 
  5.  
  6.     /**错误信息*/ 
  7.     private String msg; 
  8.  
  9.     //...set/get 
  10.  
  11.     public CommonException(String msg) { 
  12.         super(msg); 
  13.         this.msg = msg; 
  14.     } 
  15.  
  16.     public CommonException(String msg, Throwable cause) { 
  17.         super(msg, cause); 
  18.         this.msg = msg; 
  19.     } 
  20.  

当判断某个参数不合法的时候,直接抛异常!

  1. @RestController 
  2. public class HelloController { 
  3.  
  4.  @RequestMapping("/upload"
  5.  public void upload(MultipartFile file) { 
  6.   if (file == null) { 
  7.    throw new CommonException("请选择上传文件!"); 
  8.   } 
  9.    
  10.   //..... 
  11.  } 

然后写一个统一异常拦截器,对抛异常的程序进行处理。

这种做法比较直观,如果当前参数既要判断是否为空,又要判断长度是否超过最大长度的时候,代码就显得有点多了!

于是,程序界的大佬想到了一个更加优雅又能节省代码的方式,创建一个断言类工具类,专门用来判断参数的是否合法,如果不合法,就抛异常!

  1. /** 
  2.  * 断言工具类 
  3.  */ 
  4. public abstract class LocalAssert { 
  5.   
  6.  public static void isTrue(boolean expression, String message) throws CommonException { 
  7.   if (!expression) { 
  8.    throw new CommonException(message); 
  9.   } 
  10.  } 
  11.  public static void isStringEmpty(String param, String message) throws CommonException{ 
  12.   if(StringUtils.isEmpty(param)) { 
  13.    throw new CommonException(message); 
  14.   } 
  15.  } 
  16.  
  17.  public static void isObjectEmpty(Object object, String message) throws CommonException { 
  18.   if (object == null) { 
  19.    throw new CommonException(message); 
  20.   } 
  21.  } 
  22.  
  23.  public static void isCollectionEmpty(Collection coll, String message) throws CommonException { 
  24.   if (coll == null || (coll.size() == 0)) { 
  25.    throw new CommonException(message); 
  26.   } 
  27.  } 

当我们需要对参数进行验证的时候,直接通过这个类就可以完成基本操作,方式如下:

  1. @RestController 
  2. public class HelloController { 
  3.  
  4.  @RequestMapping("/save"
  5.  public void save(String name, String email) { 
  6.   LocalAssert.isStringEmpty(name"用户名不能为空!"); 
  7.   LocalAssert.isStringEmpty(email, "邮箱不能为空!"); 
  8.    
  9.   //..... 
  10.  } 

相比上个步骤,当要判断的参数比较多时,代码明显简洁多了!

类似这样的工具类,spring也提供了一个名为Assert的断言工具类,在开发的时候,可以直接使用!

 

三、注解验证

使用注解对数据进行合法性验证,可以说是 java 界一项非常伟大的创新,使用这种方式不仅使的代码变得很简洁,而且阅读起来非常令人赏心悦目!

3.1、依赖包引入

下面我们一起来看看具体的实践方式,以Spring Boot工程为例,如果需要使用注解校验,直接引入spring-boot-starter-web依赖包即可,会自动将注解验证相关的依赖包打入工程!

  1. <!-- spring boot web --> 
  2. <dependency> 
  3.     <groupId>org.springframework.boot</groupId> 
  4.     <artifactId>spring-boot-starter-web</artifactId> 
  5. </dependency> 

下面在创建实体类的时候,还会用到lombok插件,因此还需要引入lombok依赖包!

  1. <!-- lombok --> 
  2. <dependency> 
  3.     <groupId>org.projectlombok</groupId> 
  4.     <artifactId>lombok</artifactId> 
  5.     <version>1.18.4</version> 
  6.     <scope>provided</scope> 
  7. </dependency> 

如果是普通的Java工程,引入以下几个依赖包即可!

  1. <dependency> 
  2.     <groupId>org.hibernate.validator</groupId> 
  3.     <artifactId>hibernate-validator</artifactId> 
  4.     <version>6.0.9.Final</version> 
  5. </dependency> 
  6. <dependency> 
  7.      <groupId>javax.el</groupId> 
  8.      <artifactId>javax.el-api</artifactId> 
  9.      <version>3.0.0</version> 
  10.  </dependency> 
  11.  <dependency> 
  12.     <groupId>org.glassfish.web</groupId> 
  13.     <artifactId>javax.el</artifactId> 
  14.     <version>2.2.6</version> 
  15.  </dependency> 

3.2、注解校验请求对象

紧接着我们来创建一个实体User,用于模拟用户注册时的请求实体对象!

  1. @Data 
  2. @EqualsAndHashCode(callSuper = false
  3. @Accessors(chain = true
  4. public class User { 
  5.  
  6.     @NotBlank(message = "用户名不能为空!"
  7.     private String userName; 
  8.  
  9.     @Email(message = "邮箱格式不正确"
  10.     @NotBlank(message = "邮箱不能为空!"
  11.     private String email; 
  12.  
  13.     @NotBlank(message = "密码不能为空!"
  14.     @Size(min = 8, max = 16,message = "请输入长度在8~16位的密码"
  15.     private String userPwd; 
  16.  
  17.     @NotBlank(message = "确认密码不能为空!"
  18.     private String confirmPwd; 

在web层创建一个register()注册接口方法,同时在请求参数上添加@Valid,如下:

  1. @RestController 
  2. public class UserController { 
  3.  
  4.     @RequestMapping("/register"
  5.     public boolean register(@RequestBody @Valid User user){ 
  6.         if(!user.getUserPwd().equals(user.getConfirmPwd())){ 
  7.             throw new CommonException("确认密码与密码不相同,请确认!"); 
  8.         } 
  9.   //业务处理... 
  10.         return true
  11.     } 

最后自定义一个异常全局处理器,用于处理异常消息,如下:

  1. @Slf4j 
  2. @Configuration 
  3. public class GlobalWebMvcConfig implements WebMvcConfigurer { 
  4.  
  5.     /** 
  6.      * 统一异常处理 
  7.      * @param resolvers 
  8.      */ 
  9.     @Override 
  10.     public void configureHandlerExceptionResolvers(List<HandlerExceptionResolver> resolvers) { 
  11.         resolvers.add(new HandlerExceptionResolver() { 
  12.             @Override 
  13.             public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) { 
  14.                 log.error("【统一异常拦截】请求出现异常,内容如下:",e); 
  15.                 ModelAndView mv = new ModelAndView(new MappingJackson2JsonView()); 
  16.                 String uri = request.getRequestURI(); 
  17.                 if(e instanceof CommonException){ 
  18.                     //CommonExecption为自定义异常类抛出的异常 
  19.                     printWrite(((CommonException) e).getMsg(),((CommonException) e).getData(), uri, mv); 
  20.                 } else if(e instanceof MethodArgumentNotValidException){ 
  21.                     //MethodArgumentNotValidException为注解校验异常类 
  22.                     //获取注解校验异常信息 
  23.                     String error = ((MethodArgumentNotValidException) e).getBindingResult().getFieldError().getDefaultMessage(); 
  24.                     printWrite(error,null, uri, mv); 
  25.                 } else { 
  26.                     printWrite(e.getMessage(),null, uri, mv); 
  27.                 } 
  28.                 return mv; 
  29.             } 
  30.         }); 
  31.     } 
  32.  
  33.  
  34.     /** 
  35.      * 异常封装相应结果 
  36.      * @param object 
  37.      */ 
  38.     private void printWrite(String msg, Object object, String uri, ModelAndView mv){ 
  39.         ResResult resResult = new ResResult(uri, object); 
  40.         if(msg != null){resResult.setMsg(msg);} 
  41.         if(log.isDebugEnabled()){ 
  42.             log.debug("【response】异常输出结果:" + JSONObject.toJSONString(resResult, SerializerFeature.WriteMapNullValue)); 
  43.         } 
  44.         Map resultMap = BeanToMapUtil.beanToMap(resResult); 
  45.         mv.addAllObjects(resultMap); 
  46.     } 

下面我们启动项目,使用postman来测试一把,看看效果如何?

  • 测试字段是否为空

 

  • 测试邮箱是否合法

 

  • 测试密码长度是否符合要求

 

  • 测试密码与确认密码是否相同

 

3.3、注解校验请求参数

上面我们介绍了请求对象的验证方式,那如果直接在方法上对请求参数进行验证是否同样有效呢?

为了眼见为实,下面我们就来模拟在方法上对请求参数进行验证,看看结果如何。

新建一个查询接口query,如下

  1. @RestController 
  2. public class UserController { 
  3.  
  4.     @PostMapping("/query"
  5.     public boolean query(@RequestParam("userId") @Valid @NotBlank(message = "用户ID不能为空") String userId ){ 
  6.         return true
  7.     } 
  8.  

使用postman请求试一试,默认给userId参数为null,结果如下:

 

很清晰的看到,query()方法中的参数注解验证无效!

当我们在UserController类上加上@Validated注解!

  1. @RestController 
  2. @Validated 
  3. public class UserController { 
  4.  
  5.     @PostMapping("/query"
  6.     public boolean query(@RequestParam("userId") @Valid @NotBlank(message = "用户ID不能为空") String userId ){ 
  7.         return true
  8.     } 
  9.  

使用postman请求再试一试,结果如下!

 

很清晰的看到,注解进行了验证,同时还抛出异常ConstraintViolationException!

 

@Validated参数作用于类上时,表示告诉Spring可以对方法中请求参数进行校验!

所有在实际开发的时候,我们可以使用@Validated和@Valid注解的组合来对方法中的请求参数和请求对象进行校验!

同时,@Validated和@Valid注解不仅仅只是验证控制器级别,可以验证任何Spring组件,例如Service层方法入参的验证!

  1. @Service 
  2. @Validated 
  3. public class UserService { 
  4.  
  5.     public void saveUser(@Valid User user){ 
  6.         //dao插入 
  7.     } 

3.4、自定义注解验证

默认的情况下,依赖包已经给我们提供了非常多的校验注解,如下!

  • JSR提供的校验注解!

 

  • Hibernate Validator提供的校验注解

 

但是某些情况,例如性别这个参数可能需要我们自己去验证,同时我们也可以自定义一个注解来完成参数的校验,实现方式如下!

  • 新创建一个Sex注解,其中SexValidator类指的是具体的参数验证类
  1. @Target({FIELD}) 
  2. @Retention(RUNTIME) 
  3. @Constraint(validatedBy = SexValidator.class) 
  4. @Documented 
  5. public @interface Sex { 
  6.  
  7.     String message() default "性别值不在可选范围内"
  8.  
  9.     Class<?>[] groups() default {}; 
  10.  
  11.     Class<? extends Payload>[] payload() default {}; 
  • SexValidator类,实现自ConstraintValidator接口
  1. public class SexValidator implements ConstraintValidator<Sex, String> { 
  2.  
  3.     @Override 
  4.     public boolean isValid(String value, ConstraintValidatorContext context) { 
  5.         Set<String> sexSet = new HashSet<String>(); 
  6.         sexSet.add("男"); 
  7.         sexSet.add("女"); 
  8.         return sexSet.contains(value); 
  9.     } 

最后在User实体类上加入一个性别参数,使用自定义注解进行校验!

  1. @Data 
  2. @EqualsAndHashCode(callSuper = false
  3. @Accessors(chain = true
  4. public class User { 
  5.  
  6.     @NotBlank(message = "用户名不能为空!"
  7.     private String userName; 
  8.  
  9.     @Email(message = "邮箱格式不正确"
  10.     @NotBlank(message = "邮箱不能为空!"
  11.     private String email; 
  12.  
  13.     @NotBlank(message = "密码不能为空!"
  14.     @Size(min = 8, max = 16,message = "请输入长度在8~16位的密码"
  15.     private String userPwd; 
  16.  
  17.     @NotBlank(message = "确认密码不能为空!"
  18.     private String confirmPwd; 
  19.  
  20.     /** 
  21.      * 自定义注解校验 
  22.      */ 
  23.     @Sex(message = "性别输入有误!"
  24.     private String sex; 

使用postman来请求试一试,结果如下!

  • 不传sex参数

 

很清晰的看到,已经生效!

3.5、手动进行注解校验

某些时候呢,假如有100个类需要用到校验注解,此时我们可能在每个类会加上注解@Validated或者@Valid,再增加100个这样的类,就会造成很多大量的重复工作。

而此时,我们的诉求是想对有校验注解的实体类进行全局参数验证!

解决办法就会用到Validator提供的手动注解校验证工具类,实现方法如下!

  • 新建一个注解验证工具类
  1. /** 
  2.  * 注解校验工具类 
  3.  */ 
  4. public class ValidatorUtils { 
  5.  
  6.     /** 
  7.      * 获取对象中所有注解校验证异常信息 
  8.      * @param object 
  9.      * @return 
  10.      */ 
  11.     public static String validated(Object object){ 
  12.         List<String> errorMessageList = new ArrayList<>(); 
  13.   //获取注解校验工厂 
  14.         ValidatorFactory factory = Validation.buildDefaultValidatorFactory(); 
  15.         Validator validator = factory.getValidator(); 
  16.         Set<ConstraintViolation<Object>> violations = validator.validate(object); 
  17.  
  18.         for (ConstraintViolation<Object> constraintViolation : violations) { 
  19.             errorMessageList.add(constraintViolation.getMessage()); 
  20.         } 
  21.         return errorMessageList.toString(); 
  22.     } 

使用ValidatorUtils工具类,对参数进行验证

  1. @Test 
  2. public void testUser(){ 
  3.     User user = new User(); 
  4.     System.out.println(ValidatorUtils.validated(user)); 

执行之后,结果如下!

  1. [邮箱不能为空!, 用户名不能为空!, 密码不能为空!, 确认密码不能为空!, 性别输入有误!] 

当然你还可以对ValidatorUtils类进行改造,当有异常信息的时候,直接抛异常!

同时,你还可以通过@Autowired直接注入的方式来获取Validator对象!

  1. @Autowired 
  2. Validator validator 

3.6、spring 注解校验原理

如果你对springmvc的方法参数解析器(HandlerMethodArgumentResolver)了解的话,就可能会想到参数校验这块肯定是在对应的方法参数解析器里执行的。

直接定位到resolveArgument这个方法,先通过WebDataBinder进行入参属性绑定,然后再进行校验!

 

validateIfApplicable方法逻辑,会遍历当前参数methodParam所有的注解,如果注解是@Validated或者注解的名字以Valid开头,则使用WebDataBinder对象执行校验逻辑。

 

方法参数解析器只针对接口请求时入参进行验证,如果想对任何组件中方法进行注解校验,似乎还缺了点什么!

而当需要对一个类中的方法参数使用注解校验时,在类上加上@Validated就是为了告诉Spring去校验方法参数!

底层核心是通过切面代理类并配合MethodValidationPostProcessor这个后置处理器进行处理!

 

四、总结

参数验证,在开发中使用非常频繁,如何优雅的进行验证,让代码变得更加可读,是业界大佬一直在追求的目标!

本文主要是对自己在项目中的实际使用到参数验证方式加一整理,希望能帮助到各位网友!

五、参考1、SpringMVC源码

2、JavaGuide - 如何在 Spring/Spring Boot 中做参数校验?[1]

3、胡峻峥 - SpringMvc @Validated注解执行原理[2]

参考资料

[1]JavaGuide - 如何在 Spring/Spring Boot 中做参数校验?: https://juejin.im/post/5dc8bc745188254e7a155ba0#heading-14[2]胡峻峥 - SpringMvc @Validated注解执行原理: https://www.cnblogs.com/hujunzheng/p/12570921.html

 

 

责任编辑:武晓燕 来源: Java极客技术
相关推荐

2020-06-04 07:55:33

ReentrantLo Java

2020-09-15 09:04:50

程序员参数检查

2013-03-18 09:34:35

Office 365云计算

2021-07-26 18:14:58

人脸识别AI人工智能

2020-09-02 07:44:13

后端Long前端

2021-07-01 09:43:44

Python函数参数

2021-10-27 13:50:50

加密货币区块链货币

2020-03-09 10:21:12

Java集合类 Guava

2020-10-30 07:43:35

Jenkins配置前端

2020-07-09 07:54:35

ThreadPoolE线程池

2021-08-19 07:34:55

RabbitMQLinuxWindows

2023-02-14 08:18:43

2020-03-31 08:37:31

递归单链表反转

2020-10-19 06:47:05

爬虫数据Jsoup

2020-10-19 07:50:32

Linux命令系统

2020-08-25 07:32:42

工具对象 Java

2020-09-11 07:38:50

内存泄漏检测

2020-03-12 09:02:34

数据思维统计学大数据

2020-03-26 09:18:54

高薪本质因素

2022-03-28 15:15:15

神经网络编程开发
点赞
收藏

51CTO技术栈公众号