目录
一.JSR303
1.什么是JSR303
JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。 JSR-303 是JAVA EE 6 中的一项子规范,叫做Bean Validation,Hibernate Validator 是 Bean Validation 的参考实现 . Hibernate Validator 提供了 JSR 303 规范中所有内置 constraint(约束) 的实现,除此之外还有一些附加的 constraint
2.为什么使用JSR303
使用JSR 303(Bean Validation)有许多好处,它可以帮助开发人员轻松实施数据验证和约束,从而提高应用程序的质量和可维护性。
1.代码简洁性: JSR 303允许开发人员在JavaBean上使用注解来定义验证规则,使代码更加简洁、清晰和易于理解。验证规则与数据模型直接关联,不需要编写大量的自定义验证代码。
2.重用性: JSR 303提供了一组通用的验证注解,如@NotNull、@Size、@Email等,这些注解可以在不同的数据模型中重复使用,避免了重复编写验证逻辑的需要。
3.集成性: JSR 303可以轻松集成到Java EE 和 Spring 等常见的Java框架中,这意味着你可以在使用这些框架的项目中无缝地应用数据验证。例如,在Spring框架中,你可以使用@Valid注解来触发Bean Validation验证。
4.提高数据质量: 使用JSR 303可以确保数据在进入应用程序、存储到数据库、传输到客户端或用于其他用途之前是合法和有效的。这有助于防止无效、不一致或损坏的数据进入系统,提高了数据的质量和完整性。
5.减少错误和漏洞: 数据验证是防止应用程序中的许多常见错误和漏洞的关键。通过使用JSR 303进行验证,可以降低因输入错误或恶意输入而导致的安全漏洞的风险。
6.可扩展性: JSR 303允许开发人员创建自定义验证注解和验证器,以满足特定应用程序的需求。这使得你可以根据具体业务逻辑来定义自己的验证规则。
总之,JSR 303是Java中一种强大的数据验证机制,它使数据验证变得更加容易和一致,有助于提高应用程序的质量、可维护性和安全性,其最重要特性就是为了防止一些非法请求对后端进行攻击
3.JSR303常用注解
@Validated与@Valid区别
@Validated:
Spring提供的
支持分组校验
可以用在类型、方法和方法参数上。但是不能用在成员属性(字段)上
由于无法加在成员属性(字段)上,所以无法单独完成级联校验,需要配合@Valid
@Valid:
JDK提供的(标准JSR-303规范)
不支持分组校验
可以用在方法、构造函数、方法参数和成员属性(字段)上
可以加在成员属性(字段)上,能够独自完成级联校验
4.快速入门
4.1导入Maven依赖
<!-- JSR303 --> <hibernate.validator.version>6.0.7.Final</hibernate.validator.version> <!-- JSR303 --> <dependency> <groupId>org.hibernate</groupId> <artifactId>hibernate-validator</artifactId> <version>${hibernate.validator.version}</version> </dependency>
4.2 配置校验规则
1.在模型类中校验属性是否为空
@NotNull(message = "书籍id不能为空") private Integer bid; @NotBlank(message = "书籍名称不能为空") private String bname; @NotBlank(message = "书籍价格不能为空") private Float price;
4.3 对服务端数据添加进行校验
在服务端中进行校验,校验的模型的属性中出现错误,则将错误信息的属性进行遍历添加到map集合中并保存起来回显到前端,需要注意的是,注解@validated保存的是校验时的参数,最终校验的结果保存在BindingResult中
// 给数据添加服务端校验 @RequestMapping("/valiAdd") public String valiAdd(@Validated HBook hBook, BindingResult result, HttpServletRequest req){ // 如果服务端验证不通过,有错误 if(result.hasErrors()){ // 服务端验证了实体类的多个属性,多个属性都没有验证通过 List<FieldError> fieldErrors = result.getFieldErrors(); Map<String,Object> map = new HashMap<>(); for (FieldError fieldError : fieldErrors) { // 将多个属性的验证失败信息输送到控制台 System.out.println(fieldError.getField() + ":" + fieldError.getDefaultMessage()); map.put(fieldError.getField(),fieldError.getDefaultMessage()); } req.setAttribute("errorMap",map); }else { this.hBookbiz.insertSelective(hBook); return "redirect:list"; } return "book/edit"; }
4.4 结果测试
1.当我们在表单中不添加参数直接进行提交,按正常情况会报出空指针异常,但是在进行后端校验后
2.会将错误信息回显到前端,同时,也将错误信息打印在控制台
注意点:
这时候我们肯定会疑问,这不和前端验证也差不多嘛,他们的区别在于,我们进行前端验证时大多使用的是JS语法,但是有时候安全系数不高,不法分子会通过一些手段可以直接绕过前端验证进行发送请求,这个时候后端验证的优势就体现出来了,在实际开发过程中,不管是前端校验还是后端校验,都要在网页中进行实现,前端验证主要是给我们的程序所面向的客户所使用,而后端验证更像是保护我们的程序,提高安全性
