Node 如何在 Controller 层进行数据校验

开发 前端
幽默风趣的后端程序员一般自嘲为 CURD Boy。CURD, 也就是对某一存储资源的增删改查,这完全是面向数据编程啊。

幽默风趣的后端程序员一般自嘲为 CURD Boy。CURD, 也就是对某一存储资源的增删改查,这完全是面向数据编程啊。

真好呀,面向数据编程,往往会对业务理解地更加透彻,从而写出更高质量的代码,造出更少的 BUG。既然是面向数据编程那更需要避免脏数据的出现,加强数据校验。否则,难道要相信前端的数据校验吗,毕竟前端数据校验直达用户,是为了 UI 层更友好的用户反馈。

数据校验层

后端由于重业务逻辑以及待处理各种数据,以致于分成各种各样的层级,以我经历过的后端项目就有分为 Controller、Service、Model、Helper、Entity 等各种命名的层,五花八门。但这里肯定有一个层称为 Controller,站在后端最上层直接接收客户端传输数据。

由于 Controller 层是服务器端中与客户端数据交互的最顶层,秉承着 Fail Fast的原则,肩负着数据过滤器的功能,对于不合法数据直接打回去,如同秦琼与尉迟恭门神般威严。

数据校验同时衍生了一个半文档化的副产品,你只需要看一眼数据校验层,便知道要传哪些字段,都是些什么格式。

以下都是常见的数据校验,本文讲述如何对它们进行校验:

  • required/optional
  • 基本的数据校验,如 number、string、timestamp 及值需要满足的条件
  • 复杂的数据校验,如 IP、手机号、邮箱与域名
    1. const body = { 
    2.   id, 
    3.   name, 
    4.   mobilePhone, 
    5.   email 

山月接触过一个没有数据校验层的后端项目,if/else 充斥在各种层级,万分痛苦,分分钟向重构。

JSON Schema

JSON Schema 基于 JSON 进行数据校验格式,并附有一份规范 json-schema.org[1],目前 (2020-08) 最新版本是 7.0。各种服务器编程语言都对规范进行了实现,如 go、java、php 等,当然伟大的 javascript 也有,如不温不火的 ajv[2]。

以下是校验用户信息的一个 Schema,可见语法复杂与繁琐:

  1.   "$schema": "http://json-schema.org/draft-04/schema#", 
  2.   "title": "User", 
  3.   "description": "用户信息", 
  4.   "type": "object", 
  5.   "properties": { 
  6.     "id": { 
  7.       "description": "用户 ID", 
  8.       "type": "integer" 
  9.     }, 
  10.     "name": { 
  11.       "description": "用户姓名", 
  12.       "type": "string" 
  13.     }, 
  14.     "email": { 
  15.       "description": "用户邮箱", 
  16.       "type": "string", 
  17.       "format": "email", 
  18.       "maxLength": 20 
  19.     }, 
  20.     "mobilePhone": { 
  21.       "description": "用户手机号", 
  22.       "type": "string", 
  23.       "pattern": "^(?:(?:\+|00)86)?1[3-9]\d{9}$", 
  24.       "maxLength": 15 
  25.     } 
  26.   }, 
  27.   "required": ["id", "name"] 

对于复杂的数据类型校验,JSON Schema 内置了以下 Format,方便快捷校验:

  • Dates and times
  • Email addresses
  • Hostnames
  • IP Addresses
  • Resource identifiers
  • URI template
  • JSON Pointer
  • Regular Expressions

对于不在内置 Format 中的手机号,使用 ajv.addFormat 可手动添加 Format:

  1. ajv.addFormat('mobilePhone', (str) => /^(?:(?:\+|00)86)?1[3-9]\d{9}$/.test(str)); 

Joijoi

自称最强大的 JS 校验库,在 github 也斩获了一万六颗星星。相比 JSON Schema 而言,它的语法更加简洁并且功能强大。

The most powerful data validation library for JS

完成相同的校验,仅需要更少的代码,并能够完成更加强大的校验。以下仅做示例,更多示例请前往文档。

  1. const schema = Joi.object({ 
  2.   id: Joi.number().required(), 
  3.   name: Joi.number().required(), 
  4.   email: Joi.string().email({ minDomainSegments: 2, tlds: { allow: ['com', 'net'] } }), 
  5.   mobilePhone: Joi.string().pattern(/^(?:(?:\+|00)86)?1[3-9]\d{9}$/), 
  6.  
  7.   password: Joi.string().pattern(/^[a-zA-Z0-9]{3,30}$/), 
  8.   // 与 password 相同的校验 
  9.   repeatPassword: Joi.ref('password'), 
  10. }) 
  11.   // 密码与重复密码需要同时发送 
  12.   .with('password', 'repeat_password'); 
  13.   // 邮箱与手机号提供一个即可 
  14.   .xor('email', 'mobilePhone') 

数据校验与路由层集成

由于数据直接从路由传递,因此 koajs 官方基于 joi 实现了一个 joi-router[4],前置数据校验到路由层,对前端传递来的 query、body 与 params 进行校验。

joi-router 也同时基于 co-body 对前端传输的各种 content-type 进行解析及限制。如限制为 application/json,也可在一定程度上防止 CSRF 攻击。

  1. const router = require('koa-joi-router'); 
  2. const public = router(); 
  3.  
  4. public.route({ 
  5.   method: 'post', 
  6.   path: '/signup', 
  7.   validate: { 
  8.     header: joiObject, 
  9.     query: joiObject, 
  10.     params: joiObject, 
  11.     body: joiObject, 
  12.     maxBody: '64kb', 
  13.     output: { '400-600': { body: joiObject } }, 
  14.     type: 'json', 
  15.     failure: 400, 
  16.     continueOnError: false 
  17.   }, 
  18.   pre: async (ctx, next) => { 
  19.     await checkAuth(ctx); 
  20.     return next(); 
  21.   }, 
  22.   handler: async (ctx) => { 
  23.     await createUser(ctx.request.body); 
  24.     ctx.status = 201
  25.   }, 
  26. }); 

正则表达式与安全正则表达式

山月在一次排查性能问题时发现,一条 API 竟在数据校验层耗时过久,这是我未曾想到的。而问题根源在于不安全的正则表达式,那什么叫做不安全的正则表达式呢?

比如下边这个能把 CPU 跑挂的正则表达式就是一个定时炸弹,回溯次数进入了指数爆炸般的增长。

  1. const safe = require('safe-regex') 
  2. const re = /(x+x+)+y/ 
  3.  
  4. // 能跑死 CPU 的一个正则 
  5. re.test('xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx') 
  6.  
  7. // 使用 safe-regex 判断正则是否安全 
  8. safe(re)   // false 

数据校验,针对的大多是字符串校验,也会充斥着各种各样的正则表达式,保证正则表达式的安全相当紧要。safe-regex[6] 能够发现哪些不安全的正则表达式。

总结

  • Controller 层需要进行统一的数据校验,可以采用 JSON Schema (Node 实现 ajv) 与 Joi
  • JSON Schema 有官方规范及各个语言的实现,但语法繁琐,可使用校验功能更为强大的 Joi
  • 进行字符串校验时,注意不安全的正则引起的性能问题

 

责任编辑:赵宁宁 来源: 全栈成长之路
相关推荐

2023-10-18 18:38:44

数据校验业务

2011-07-05 09:56:02

服务器虚拟化数据存储

2021-06-11 06:00:37

苹果Mac数据迁移

2019-09-27 12:44:03

数据建模企业数据存储

2022-11-02 14:45:24

Python数据分析工具

2024-03-26 08:17:00

Controller参数校验

2022-04-15 10:36:11

数据治理企业

2019-01-15 14:21:13

Python数据分析数据

2021-12-10 15:03:20

数字化转型企业技术

2024-07-30 08:00:00

Kubernetes数据库

2011-05-25 00:00:00

数据库设计

2019-12-11 14:27:39

数据库集群Kubernetes

2010-03-17 18:21:54

Java多线程静态数据

2024-10-28 12:57:36

Pandas数据清洗

2022-05-25 15:33:27

区块链加密货币

2017-09-26 19:02:09

PythonInstagram数据分析

2023-09-27 15:34:48

数据编程

2010-02-02 10:04:58

2009-09-10 23:17:33

ASP.NET Eva

2018-05-07 14:50:27

可视化数据散点图
点赞
收藏

51CTO技术栈公众号