spring boot:使用validator做接口的参数、表单、类中多字段的参数验证(spring boot 2.3.1)
一,为什么要做参数验证?
永远不要相信我们在后端接收到的数据,
1,防止别人通过接口乱刷服务:有些不怀好意的人或机构会乱刷我们的服务,例如:短信接口,
相信大家可能很多人在工作中遇到过这种情况
2,防止sql注入等行为:如果对数据会行严格的验证,可以过滤掉大量的攻击行为
3,防止客户端出错后的生成数据错误
所以,后端必须进行参数校验,
即使前端已经校验过,因为我们不能保证我们收到的请求都是由我们的前端程序发出
说明:刘宏缔的架构森林是一个专注架构的博客,
网站:https://blog.imgtouch.com
本文: https://blog.imgtouch.com/index.php/2023/05/23/springboot-shi-yong-validator-zuo-jie-kou-de-can-shu%25e3%2580%2581-biao-dan%25e3%2580%2581-lei-zhong-duo-zi-duan-de-can/
对应的源码可以访问这里获取: https://github.com/liuhongdi/
说明:作者:刘宏缔 邮箱: 371125307@qq.com
二,演示项目的相关信息
1,演示项目的地址:
https://github.com/liuhongdi/validator
2,演示项目的原理:
演示了三种情况:
直接针对controller的参数校验
针对一个表单校验
针对通用的参数用拦截器进行校验
3,项目结构
如图:
三, 如何使用validation库?
1,pom.xml中引入validation
<!--validation begin-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-validation</artifactId>
</dependency>
<!--validation end-->
2,validation有哪些现成的注解可用?
2.1 空检查
@Null 验证对象是否为空
@NotNull 验证对象不为空
@NotBlank 验证字符串不为空或不是空字符串
@NotEmpty 验证对象不为Null,或者集合不为空
2.2 长度检查
@Size 验证对象长度,支持字符串,集合
@Length 验证字符串大小(于 org.hibernate.validator.constraints 包中)
2.3 数值检查
@Min 验证数字是否大于等于指定值
@Max 验证数字是否小于等于指定值
@Digits 验证数字是否符合指定的格式
@Range 验证数字是否在指定的范围内
@Negative 验证数字是否为负数
@NegativeOrZero 验证数字是否小于等于0
@Positive 验证数字是否为正数
@PositiveOrZero验证数字是否大于等于0
@DecimalMin 验证数字是否大于指定值
@DecimalMax 验证数字是否小于等于指定值
2.4 时间检查
@Future 检查时间是否晚于现在
@FutureOrPresent 检查时间是否非早于现在
@Past 检查时间是否早于现在
@PastOrPresent 检查时间是否非晚于现在
2.5 其他
@Email 检查是否一个合法的邮箱地址
@Pattern 检查是否符合指定的正则规则
3,如何配置使validator匹配到一个错误时立即返回,而不是等所有字段验证完?
ValidatorConfig.java
@Configuration public class ValidatorConfig { /* *@author:liuhongdi *@date:2020/7/12 上午10:48 *@description:遇到第一个错误后立即返回,而不是遍历完全部错误 */ @Bean public Validator validator() { ValidatorFactory validatorFactory = Validation.byProvider(HibernateValidator.class) .configure() .addProperty("hibernate.validator.fail_fast", "true") //快速验证模式,有第一个参数不满足条件直接返回 .buildValidatorFactory(); return validatorFactory.getValidator(); } @Bean public MethodValidationPostProcessor methodValidationPostProcessor() { MethodValidationPostProcessor postProcessor = new MethodValidationPostProcessor(); postProcessor.setValidator(validator()); return postProcessor; } }
四,例一:自定义一个validator
1,controller中直接用注解验证参数:(适用于参数少的情况)
@Validated
@Controller
@RequestMapping("/home")
public class HomeController {
@GetMapping("/age")
@ResponseBody
public ResultUtil age(@Min(value = 10,message = "年龄最小为10")@Max(value = 100,message = "年龄最大为100") @RequestParam("age") Integer age) {
return ResultUtil.success("this is age");
}
说明:使用以下url可以测试效果
http://127.0.0.1:8080/home/age http://127.0.0.1:8080/home/age?age=1 http://127.0.0.1:8080/home/age?age=60 http://127.0.0.1:8080/home/age?age=101
2, 自定义validator要用的注解
功能说明:传递的v参数必须是我们在常量中定义的值
VersionValid.java:用来定义注解
//验证版本号是否符合系统定义 @Documented @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.PARAMETER,ElementType.FIELD}) @Constraint(validatedBy = VersionValidator.class) public @interface VersionValid { //用value传递的值 //String values(); //version无效时的提示内容 String message() default "version必须属于预定义的值"; Class<?>[] groups() default {}; Class<? extends Payload>[] payload() default {}; }
VersionValidator.java (override这个方法:isValid,用来验证数据是否合法)
public class VersionValidator implements ConstraintValidator<VersionValid,Object> { //预定义传递的值 //private String values; @Override public void initialize(VersionValid versionValidator) { //this.values = versionValidator.values(); } //version是否符合定义 @Override public boolean isValid(Object value, ConstraintValidatorContext constraintValidatorContext) { // 切割获取值 String[] value_array = Constants.APP_VERSION_LIST.split(","); Boolean isFlag = false; for (int i = 0; i < value_array.length; i++){ // 存在一致就跳出循环 if (value_array[i] .equals(value)){ isFlag = true; break; } } return isFlag; } }
在controller中调用VersionValid注解
@GetMapping("/home")
@ResponseBody
public ResultUtil home(@VersionValid(message = "v取值错误")@RequestParam("v") String version) {
return ResultUtil.success("this is home");
}
3,测试效果:
错误
http://127.0.0.1:8080/home/home
http://127.0.0.1:8080/home/home?v=1
正确:
http://127.0.0.1:8080/home/home?v=1.0
五,例二:针对一个表单中多字段的validator
1,说明:有多个字段要验证的表单,
如果写到controller中会使代码过于庞大而不便管理
通常我们会定义一个专门类进行处理
这里要说明的是:类中的验证是针对每个字段的,
如果我们要比较类中两个或以上的字段值,(例如:注册页面:验证两次输入的密码是否一致)
则需要针对整个类定义一个validator
2,定义一个注解:
PassValid.java
//用来验证类中多个字段的validator的注解 @Target({ElementType.TYPE, ElementType.ANNOTATION_TYPE}) @Retention(RetentionPolicy.RUNTIME) @Constraint(validatedBy = PassValidator.class) @Documented public @interface PassValid { //报错信息 String message() default "confirmPassword:两次输入密码需一致"; Class<?>[] groups() default {}; Class<? extends Payload>[] payload() default {}; //密码字段 String password(); //确认密码字段 String password_confirm(); }
PassValidator.java 判断两次输入的密码是否一致的validator
//validator,判断两个密码是否一致 public class PassValidator implements ConstraintValidator<PassValid, Object> { //密码 private String passFieldName; //确认密码 private String confirmFieldName; @Override public void initialize(final PassValid constraintAnnotation) { passFieldName = constraintAnnotation.password(); confirmFieldName = constraintAnnotation.password_confirm(); } @Override public boolean isValid(final Object src, final ConstraintValidatorContext context) { BeanWrapperImpl wrapper = new BeanWrapperImpl(src); Object passObj = wrapper.getPropertyValue(passFieldName); Object confirmObj = wrapper.getPropertyValue(confirmFieldName); return passObj != null && passObj.equals(confirmObj); } }
应用上面创建的validator,实现针对整个表单的验证
@PassValid(password = "password", password_confirm = "confirmPassword") public class UserVo { @Size(min = 2,max = 10,message = "name:姓名长度必须为1到10") private String name; public String getName() { return this.name; } public void setName(String name) { this.name = name; } //@Range(min=10, max=100,message = "年龄需位于10到100之间") @Min(value = 10,message = "age:年龄最小为10") @Max(value = 100,message = "age:年龄最大为100") private int age; public int getAge() { return this.age; } public void setAge(int age) { this.age = age; } @NotNull(message = "mobile:手机号码不能为空") @Size(min = 11, max = 11, message = "mobile:手机号码必须为11位") @Pattern(regexp="^[1]\\d{10}$", message="mobile:手机号码格式错误") private String mobile; public String getMobile() { return this.mobile; } public void setMobile(String mobile) { this.mobile = mobile; } @NotBlank(message = "email:邮箱不能为空") @Email(message = "email:邮箱格式错误") private String email; public String getEmail() { return this.email; } public void setEmail(String email) { this.email = email; } @NotBlank(message = "password:密码不能为空") String password; public String getPassword() { return this.password; } public void setPassword(String password) { this.password = password; } @NotBlank(message = "confirmPassword:确认密码不能为空") String confirmPassword; public String getConfirmPassword() { return this.confirmPassword; } public void setConfirmPassword(String confirmPassword) { this.confirmPassword = confirmPassword; } // @Pattern(regexp="^[0-9]{4}-[0-9]{2}-[0-9]{2}$",message="出生日期格式不正确") //@Pattern(regexp="^(\\d{18,18}|\\d{15,15}|(\\d{17,17}[x|X]))$", message="身份证格式错误") }
在controller中应用:
@GetMapping("/user")
//@ResponseBody
public String user() {
return "user/user";
}
@PostMapping("/usersaveed")
@ResponseBody
//public ResultUtil usersaveed(@Validated UserVo userVo) {
public ResultUtil usersaveed(@Validated UserVo userVo) {
System.out.println("----------email:"+userVo.getEmail());
return ResultUtil.success("this is in usersaveed");
}
3,测试效果:
http://127.0.0.1:8080/home/user
如图:
六,例三:针对通用的参数,用interceptor做校验
1,说明:
我们在访问接口时,通常有一些通用的参数要传递,
例如:
appid:通常是所在平台
version:客户端的版本
uuid:客户端的唯一id
2,定义interceptor要匹配的地址
DefaultMvcConfig.java
@Configuration @ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET) public class DefaultMvcConfig implements WebMvcConfigurer { @Resource private ValidatorInterceptor validatorInterceptor; /** * 添加Interceptor * 检验参数不能全部覆盖,因为可能有供第三方访问的接口地址,例如支付的回调接口 * 所以需要把不用的排除掉 */ @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(validatorInterceptor) .addPathPatterns("/**") //所有请求都需要进行报文签名sign .excludePathPatterns("/home/age**","/home/home**","/home/user**","/js/**","/"); //排除age/home...url } }
ValidatorInterceptor.java :实现通用参数验证的interceptor
@Component public class ValidatorInterceptor implements HandlerInterceptor { /* *@author:liuhongdi *@date:2020/7/1 下午4:00 *@description:检查通用的变量是否存在,是否合法 * @param request:请求对象 * @param response:响应对象 * @param handler:处理对象:controller中的信息 * * *@return:true表示正常,false表示被拦截 */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //检查appid是否存在? String appId = request.getParameter("appid"); if (appId == null) { throw new BusinessException(ResponseCode.ARG_NO_APPID); } //appid是否符合定义 if (!Constants.APP_ID_LIST.contains(appId)) { throw new BusinessException(ResponseCode.ARG_APPID_VALID); } //version参数是否存在 String version = request.getParameter("version"); if (version == null) { throw new BusinessException(ResponseCode.ARG_NO_VERSION); } //当appid是ios时,version是否符合定义 if (appId.equals("IOS")) { if (!Constants.IOS_VERSION_LIST.contains(version)) { throw new BusinessException(ResponseCode.ARG_VERSION_VALID); } } //uuid参数是否存在 String uuid = request.getParameter("uuid"); if (uuid == null) { throw new BusinessException(ResponseCode.ARG_NO_UUID); } //sign校验无问题,放行 return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } }
在controller中调用:
@GetMapping("/category")
@ResponseBody
public ResultUtil category(@Pattern(regexp="^[a-zA-Z]{4}$", message="分类取值错误")@RequestParam("cate") String category) {
return ResultUtil.success("this is in category");
}
3,测试效果:
错误的访问:
http://127.0.0.1:8080/home/category
正确的访问:
http://127.0.0.1:8080/home/category?appid=IOS&version=1.1&uuid=06C58F98-51F7-4C35-AC4C-B56D265CD3E9&cate=abcd
七,查看spring boot的版本
. ____ _ __ _ _ /\\ / ___'_ __ _ _(_)_ __ __ _ \ \ \ \ ( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \ \\/ ___)| |_)| | | | | || (_| | ) ) ) ) ' |____| .__|_| |_|_| |_\__, | / / / / =========|_|==============|___/=/_/_/_/ :: Spring Boot :: (v2.3.1.RELEASE)
