一、JSR303
1.1.什么是JSR303
JSR303是Java EE 6中的一项子规范,叫做Bean Validation。它为Bean验证定义了元数据模型和API。Hibernate Validator是Bean Validation的参考实现,提供了JSR 303规范中所有内置constraint的实现,除此之外还有一些附加的constraint。
Bean Validation是一种后端数据校验支持,如果一键f12修改前端代码成功绕过前端校验,那么就会存入非法数据,所以后端校验十分重要。
小贴士:
JSR303规范的名称中的“303”代表该规范的编号,它是Java Specification Requests(JSR)的第303号请求。JSR是Java平台标准的一部分,它们是由Sun Microsystems公司的技术专家和开发者社区共同制定的。每个JSR都有一个唯一的编号,以便于识别和管理。
1.2.为什么使用JSR303
前端不是已经校验过数据了吗?为什么我们还要做校验呢,直接用不就好了?草率了,假如说前端代码校验没写好又或者是对于会一点编程的人来说,直接绕过前端发请求(通过类似Postman这样的测试工具进行非常数据请求),把一些错误的参数传过来,你后端代码不就危险了嘛。
所以我们一般都是前端一套校验,后端在一套校验,这样安全性就能够大大得到提升了。
使用JSR303的优点:
首先,JSR303可以使得Java开发人员更加方便地在应用程序中使用数据校验机制,从而提高应用程序的健壮性和可靠性。其次,JSR303可以实现数据的实时校验,一旦数据不符合要求,就会立即返回错误信息,从而避免了一些不必要的错误处理。此外,JSR303还支持自定义验证规则,可以根据具体业务需求进行灵活的配置。
1.3.常用注解
注解 | 说明 |
@Null | 用于验证对象为null |
@NotNull | 用于对象不能为null,无法查检长度为0的字符串 |
@NotBlank | 只用于String类型上,不能为null且trim()之后的size>0 |
@NotEmpty | 用于集合类、String类不能为null,且size>0。但是带有空格的字符串校验不出来 |
@Size | 用于对象(Array,Collection,Map,String)长度是否在给定的范围之内 |
@Length | 用于String对象的大小必须在指定的范围内 |
@Pattern | 用于String对象是否符合正则表达式的规则 |
用于String对象是否符合邮箱格式 | |
@Min | 用于Number和String对象是否大等于指定的值 |
@Max | 用于Number和String对象是否小等于指定的值 |
@AssertTrue | 用于Boolean对象是否为true |
@AssertFalse | 用于Boolean对象是否为false |
1.4.@Validated与@Valid区别
@Validated和@Valid都是用于数据校验的注解,但是它们在使用上有一些区别。
@Validated:
Spring框架提供的注解,它可以用在类级别或方法级别上。当用在类级别时,表示该类中的所有方法都需要进行数据校验;当用在方法级别时,表示该方法需要进行数据校验。
@Valid:
JSR-303规范提供的注解,它只能用在方法参数上,表示需要对该参数进行数据校验。
另外,@Validated注解可以配合@RequestBody、@PathVariable、@RequestParam等注解一起使用,实现对请求体数据的自动校验;而@Valid注解只能配合Controller层的方法参数使用,不能直接对请求体数据进行校验。
总结:
@Validated:
- Spring提供的
- 支持分组校验
- 可以用在类型、方法和方法参数上。但是不能用在成员属性(字段)上
- 由于无法加在成员属性(字段)上,所以无法单独完成级联校验,需要配合@Valid
@Valid:
- JDK提供的(标准JSR-303规范)
- 不支持分组校验
- 可以用在方法、构造函数、方法参数和成员属性(字段)上
- 可以加在成员属性(字段)上,能够独自完成级联校验
1.5.JSR快速入门
1.5.1.导入依赖
<!-- JSR303 --> <hibernate.validator.version>6.0.7.Final</hibernate.validator.version> <!-- JSR303 --> <dependency> <groupId>org.hibernate</groupId> <artifactId>hibernate-validator</artifactId> <version>${hibernate.validator.version}</version> </dependency>
1.5.2.配置校验规则
这里以我上一篇博客的项目为例,对Student实体类进行校验配置。
public class Student { @NotBlank(message = "学生编号不能为空") private String sid; @NotBlank(message = "学生姓名不能为空") private String sname; @NotBlank(message = "学生年龄不能为空") private String sage; @NotBlank(message = "学生性别不能为空") private String ssex; public Student(String sid, String sname, String sage, String ssex) { this.sid = sid; this.sname = sname; this.sage = sage; this.ssex = ssex; } public Student() { super(); } public String getSid() { return sid; } public void setSid(String sid) { this.sid = sid; } public String getSname() { return sname; } public void setSname(String sname) { this.sname = sname; } public String getSage() { return sage; } public void setSage(String sage) { this.sage = sage; } public String getSsex() { return ssex; } public void setSsex(String ssex) { this.ssex = ssex; } @Override public String toString() { return "Student{" + "sid='" + sid + '\'' + ", sname='" + sname + '\'' + ", sage='" + sage + '\'' + ", ssex='" + ssex + '\'' + '}'; } }
1.5.3.入门案例
在请求处理方法中,使用@Validated或@Valid注解要验证的对象,并根据BindingResult判断校验是否通过;
StudentController.java
// 给数据添加服务端校验 @RequestMapping("/valiAdd") public String valiAdd(@Validated Student student, BindingResult result, HttpServletRequest req){ // 如果服务端验证不通过,有错误 if(result.hasErrors()){ // 服务端验证了实体类的多个属性,多个属性都没有验证通过 List<FieldError> fieldErrors = result.getFieldErrors(); Map<String,Object> map = new HashMap<>(); for (FieldError fieldError : fieldErrors) { // 将多个属性的验证失败信息输送到控制台 System.out.println(fieldError.getField() + ":" + fieldError.getDefaultMessage()); map.put(fieldError.getField(),fieldError.getDefaultMessage()); } req.setAttribute("errorMap",map); }else { stubiz.insertSelective(student); return "redirect:list"; } return "student/edit"; }
edit.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>编辑界面</title> </head> <body> <center> 编辑界面 <form action="${pageContext.request.contextPath }/${empty s ? 'student/valiAdd' : 'student/edit'}" method="post"> sid:<input type="text" name="sid" value="${s.sid }"><span style="color: red">${errorMap.sid}</span><br> sname:<input type="text" name="sname" value="${s.sname }"><span style="color: red">${errorMap.sname}</span><br> sage:<input type="text" name="sage" value="${s.sage }"><span style="color: red">${errorMap.sage}</span><br> ssex:<input type="text" name="ssex" value="${s.ssex }"><span style="color: red">${errorMap.ssex}</span><br> <input type="submit"> </form> </center> </body> </html>
效果演示:
这时候,我们不论是前端还是后端都做了双重保障,有效的防止了修改前端代码成功绕过前端校验等情况,加大了我们项目的安全性。
二、拦截器
2.1什么是拦截器
拦截器(Interceptor)是一种动态拦截方法调用的机制,在SpringMVC中动态拦截控制器方法的执行。在指定的方法调用前后执行预先设定的代码,例如在方法前后增加功能,阻止原始方法的执行,例如权限校验等。拦截器和过滤器在作用和执行顺序上也很相似,但是它们之间有一些区别。Filter属于Servlet技术,而Interceptor属于SpringMVC技术。Filter对所有访问进行增强,而Interceptor仅针对SpringMVC的访问进行增强 。
注意:拦截器(Interceptor)属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个 controller生命周期之内可以多次调用。