一、JSR303

1.1.什么是JSR303

JSR303是Java EE 6中的一项子规范，叫做Bean Validation。它为Bean验证定义了元数据模型和API。Hibernate Validator是Bean Validation的参考实现，提供了JSR 303规范中所有内置constraint的实现，除此之外还有一些附加的constraint。

Bean Validation是一种后端数据校验支持，如果一键f12修改前端代码成功绕过前端校验，那么就会存入非法数据，所以后端校验十分重要。

小贴士：

JSR303规范的名称中的“303”代表该规范的编号，它是Java Specification Requests（JSR）的第303号请求。JSR是Java平台标准的一部分，它们是由Sun Microsystems公司的技术专家和开发者社区共同制定的。每个JSR都有一个唯一的编号，以便于识别和管理。

1.2.为什么使用JSR303

前端不是已经校验过数据了吗？为什么我们还要做校验呢，直接用不就好了？草率了，假如说前端代码校验没写好又或者是对于会一点编程的人来说，直接绕过前端发请求（通过类似Postman这样的测试工具进行非常数据请求），把一些错误的参数传过来，你后端代码不就危险了嘛。

所以我们一般都是前端一套校验，后端在一套校验，这样安全性就能够大大得到提升了。

使用JSR303的优点：

首先，JSR303可以使得Java开发人员更加方便地在应用程序中使用数据校验机制，从而提高应用程序的健壮性和可靠性。其次，JSR303可以实现数据的实时校验，一旦数据不符合要求，就会立即返回错误信息，从而避免了一些不必要的错误处理。此外，JSR303还支持自定义验证规则，可以根据具体业务需求进行灵活的配置。

1.3.常用注解

注解	说明
@Null	用于验证对象为null
@NotNull	用于对象不能为null，无法查检长度为0的字符串
@NotBlank	只用于String类型上，不能为null且trim()之后的size>0
@NotEmpty	用于集合类、String类不能为null,且size>0。但是带有空格的字符串校验不出来
@Size	用于对象（Array,Collection,Map,String）长度是否在给定的范围之内
@Length	用于String对象的大小必须在指定的范围内
@Pattern	用于String对象是否符合正则表达式的规则
@Email	用于String对象是否符合邮箱格式
@Min	用于Number和String对象是否大等于指定的值
@Max	用于Number和String对象是否小等于指定的值
@AssertTrue	用于Boolean对象是否为true
@AssertFalse	用于Boolean对象是否为false

1.4.@Validated与@Valid区别

@Validated和@Valid都是用于数据校验的注解，但是它们在使用上有一些区别。

@Validated：

Spring框架提供的注解，它可以用在类级别或方法级别上。当用在类级别时，表示该类中的所有方法都需要进行数据校验；当用在方法级别时，表示该方法需要进行数据校验。

@Valid：

JSR-303规范提供的注解，它只能用在方法参数上，表示需要对该参数进行数据校验。

另外，@Validated注解可以配合@RequestBody、@PathVariable、@RequestParam等注解一起使用，实现对请求体数据的自动校验；而@Valid注解只能配合Controller层的方法参数使用，不能直接对请求体数据进行校验。

总结：

@Validated：

Spring提供的
支持分组校验
可以用在类型、方法和方法参数上。但是不能用在成员属性（字段）上
由于无法加在成员属性（字段）上，所以无法单独完成级联校验，需要配合@Valid

@Valid：

JDK提供的（标准JSR-303规范）
不支持分组校验
可以用在方法、构造函数、方法参数和成员属性（字段）上
可以加在成员属性（字段）上，能够独自完成级联校验

1.5.JSR快速入门

1.5.1.导入依赖

<!-- JSR303 -->
<hibernate.validator.version>6.0.7.Final</hibernate.validator.version>
<!-- JSR303 -->
<dependency>
    <groupId>org.hibernate</groupId>
    <artifactId>hibernate-validator</artifactId>
    <version>${hibernate.validator.version}</version>
</dependency>

1.5.2.配置校验规则

这里以我上一篇博客的项目为例，对Student实体类进行校验配置。

public class Student {
    @NotBlank(message = "学生编号不能为空")
    private String sid;
    @NotBlank(message = "学生姓名不能为空")
    private String sname;
    @NotBlank(message = "学生年龄不能为空")
    private String sage;
    @NotBlank(message = "学生性别不能为空")
    private String ssex;
    public Student(String sid, String sname, String sage, String ssex) {
        this.sid = sid;
        this.sname = sname;
        this.sage = sage;
        this.ssex = ssex;
    }
    public Student() {
        super();
    }
    public String getSid() {
        return sid;
    }
    public void setSid(String sid) {
        this.sid = sid;
    }
    public String getSname() {
        return sname;
    }
    public void setSname(String sname) {
        this.sname = sname;
    }
    public String getSage() {
        return sage;
    }
    public void setSage(String sage) {
        this.sage = sage;
    }
    public String getSsex() {
        return ssex;
    }
    public void setSsex(String ssex) {
        this.ssex = ssex;
    }
    @Override
    public String toString() {
        return "Student{" +
                "sid='" + sid + '\'' +
                ", sname='" + sname + '\'' +
                ", sage='" + sage + '\'' +
                ", ssex='" + ssex + '\'' +
                '}';
    }
}

1.5.3.入门案例

在请求处理方法中，使用@Validated或@Valid注解要验证的对象，并根据BindingResult判断校验是否通过；

StudentController.java

 //    给数据添加服务端校验
    @RequestMapping("/valiAdd")
    public String valiAdd(@Validated Student student, BindingResult result, HttpServletRequest req){
//        如果服务端验证不通过，有错误
        if(result.hasErrors()){
//            服务端验证了实体类的多个属性，多个属性都没有验证通过
            List<FieldError> fieldErrors = result.getFieldErrors();
            Map<String,Object> map = new HashMap<>();
            for (FieldError fieldError : fieldErrors) {
//                将多个属性的验证失败信息输送到控制台
                System.out.println(fieldError.getField() + ":" + fieldError.getDefaultMessage());
                map.put(fieldError.getField(),fieldError.getDefaultMessage());
            }
            req.setAttribute("errorMap",map);
        }else {
            stubiz.insertSelective(student);
            return "redirect:list";
        }
        return "student/edit";
    }

edit.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>编辑界面</title>
</head>
<body>
<center>
编辑界面
<form action="${pageContext.request.contextPath }/${empty s ? 'student/valiAdd' : 'student/edit'}" method="post">
    sid:<input type="text" name="sid" value="${s.sid }"><span style="color: red">${errorMap.sid}</span><br>
    sname:<input type="text" name="sname" value="${s.sname }"><span style="color: red">${errorMap.sname}</span><br>
    sage:<input type="text" name="sage" value="${s.sage }"><span style="color: red">${errorMap.sage}</span><br>
    ssex:<input type="text" name="ssex" value="${s.ssex }"><span style="color: red">${errorMap.ssex}</span><br>
    <input type="submit">
</form>
</center>
</body>
</html>

效果演示：

这时候，我们不论是前端还是后端都做了双重保障，有效的防止了修改前端代码成功绕过前端校验等情况，加大了我们项目的安全性。

二、拦截器

2.1什么是拦截器

拦截器（Interceptor）是一种动态拦截方法调用的机制，在SpringMVC中动态拦截控制器方法的执行。在指定的方法调用前后执行预先设定的代码，例如在方法前后增加功能，阻止原始方法的执行，例如权限校验等。拦截器和过滤器在作用和执行顺序上也很相似，但是它们之间有一些区别。Filter属于Servlet技术，而Interceptor属于SpringMVC技术。Filter对所有访问进行增强，而Interceptor仅针对SpringMVC的访问进行增强。

注意：拦截器（Interceptor）属于面向切面编程（AOP）的一种运用。由于拦截器是基于web框架的调用，因此可以使用Spring的依赖注入（DI）进行一些业务操作，同时一个拦截器实例在一个 controller生命周期之内可以多次调用。

【SpringMVC】拦截器&JSR303的使用（一）