前言
在我们实际项目开发过程中,避免不了的就是参数的校验,一般参数的校验,分为如下几种情况;1.前端直接验证;2. 在Controller层单独验证;3. 通过集成验证框架验证;显然3种里面,我们一般建议1+3结合的方式进行参数的校验比较合理和安全。在本章我们将围绕HTTP请求中参数校验的应用
Controller的几种接收参数的方式
在介绍验证框架之前,我们来介绍下通过Controller接收参数的方式;现在大部分都是通过注解的方式进行参数的接收,主流的有如下几种
请求路径参数
- @P athVariable 获取路径参数。即url/{id}这种形式。
- @RequestParam 获取查询参数。即url?name=这种形式
代码形式如下:
GET http://localhost:8080/demo/SN20201011021211?name=hank
对应的接收代码如下:
@GetMapping("/demo/{sn}")
public void demo(@PathVariable(name = "sn") String sn, @RequestParam(name = "name") String name) {
System.out.println("sn="+sn);
System.out.println("name="+name);
}
Body参数
Body参数一般是POST请求,主要有两种方式
- 以JSON格式接收可通过 @ RequestBody获取对应的参数
- 以form表单形式提交的,暂无注解适配,可直接对象接收
JSON参数接收
例如:添加用户的接口,PostMan 请求信息如下
对应后端代码1,通过Map接收
@PostMapping(value = "/user/map")
public ResultVO createUser(@RequestBody Map<String,Object> user){
String name=user.get("name").toString();
return RV.success(user);
}
对应后代代码2 通过定义的对象接收
@PostMapping(value = "/user")
public ResultVO createUser2(@RequestBody User user){
System.out.println("User Info:"+user.toString());
return RV.success(user);
}
FORM 参数接收
form方式提交,在PostMan中对应参数如下
对应后端代码如下:
@PostMapping(value = "/user/form")
public ResultVO createUser3(User user){
System.out.println("User Info:"+user.toString());
return RV.success(user);
}
请求头和Cookie参数
- @RequestHeader,是直接获取请求头HttpServletRequest对象里面Header中的参数
- @CookieValue 可以直接获取HttpServletRequest对象里面Cookies中的参数
通过注解的方式获取,分别如下
@GetMapping("demo3")
public void demo3(@RequestHeader(name = "myHeader") String myHeader,
@CookieValue(name = "myCookie") String myCookie) {
System.out.println("myHeader=" + myHeader);
System.out.println("myCookie=" + myCookie);
}
通过硬编码的获取方式为
@GetMapping("/demo3")
public void demo3(HttpServletRequest request) {
System.out.println(request.getHeader("myHeader"));
for (Cookie cookie : request.getCookies()) {
if ("myCookie".equals(cookie.getName())) {
System.out.println(cookie.getValue());
}
}
}
由上可以看出,通过注解的方式可以极大简化编码,使我们的代码变得美观大方,如果通过request对象直接获取,也是可以的,这个主要是看什么样的需求,一般情况下,通过注解的方式基本上能满足我们的绝大部分需求,所以在项目中我们比较推荐直接通过注解的方式获取参数。
文件上传
文件上传主要是基于@RequestParam 结合MultipartFile对象;如下示例;
这里需要注意,前端的传入需要用表单方式提交,并且在Head的Content-Type里面加入,如下信息
Content-Type: application/x-www-form-urlencoded
对应后端代码如下
@Value("${file.upload.url}")
private String filePath;
@RequestMapping("/upload")
public ResultVO httpUpload(@RequestParam("files") MultipartFile files[]){
for(int i=0;i<files.length;i++){
String fileName = files[i].getOriginalFilename(); // 文件名
File dest = new File(filePath+'/'+fileName);
if (!dest.getParentFile().exists()) {
dest.getParentFile().mkdirs();
}
try {
files[i].transferTo(dest);
} catch (Exception e) {
log.error("{}",e);
return RV.result(ErrorCode.UPLOAD_FILE_ERROR,e);
}
}
return RV.success(null);
}
参数校验
JSR是Java Specification Requests的缩写,意思是Java 规范提案。关于数据校验这块,最新的是JSR380,也就是我们常说的Bean Validation 2.0。 > Bean Validation 2.0 是JSR第380号标准。该标准连接如下:www.jcp.org/en/egc/view… > Bean Validation的主页:beanvalidation.org > Bean Validation的参考实现:github.com/hibernate/h…
在Controller层的参数校验可以分为两种场景,单个参数校验和实体参数校验
单个参数校验
引入依赖
<dependency>
<groupId>jakarta.validation</groupId>
<artifactId>jakarta.validation-api</artifactId>
</dependency>
后端代码如下
@RestController
@Validated
public class ValidateController {
@GetMapping("/getUser")
public ResultVO getUserStr(@NotNull(message = "name 不能为空") String name,
@Max(value = 99, message = "不能大于99岁") Integer age) {
return RV.success("name: " + name + " ,age:" + age);
}
}
在Postman请求如下,可以看到请求后,返回了系统异常,应该是被全局异常拦截了
我们再看后台打印的日志
如果我们系统中有很多地方都用到了参数校验,那么我们最好是能够在全局异常拦截处直接拦截ConstraintViolationException异常,并进行统一处理,可以在我们前面章节讲到的,在加了@RestControllerAdvice注解的GlobalException类中加入如下拦截的新方法;由于ConstraintViolationException继承了ValidationException异常类,所以我们可以直接拦截父类异常,直接进行多个不同的校验异常进行处理
@RestControllerAdvice
public class GlobalException {
/**
* 描述:表单异常拦截
* @param [e]
* @date 2020/11/22
* @Author Hank
**/
@ExceptionHandler(value = ValidationException.class)
public ResultVO validationException(ValidationException e){
Map map=new HashMap();
if(e instanceof ConstraintViolationException){
ConstraintViolationException exs = (ConstraintViolationException) e;
Set<ConstraintViolation<?>> violations = exs.getConstraintViolations();
for (ConstraintViolation<?> item : violations) {
//打印验证不通过的信息
System.out.println(item.getMessage());
map.put(item.getPropertyPath(),item.getMessage());
}
}
return RV.result(ErrorCode.FORM_VALIDATION_ERROR,map) ;
}
}
同样,再通过Postman请求后,得到如下结果
实体参数校验
一般我们在传入参数比较少的情况下,就直接用上面的方法进行了验证了,但是,如果我们传入的是一个对象,直接在方法上一个一个属性设置,就显得有点不美观了,因此我们一般都是封装一个接收参数的对象。如下面实例提供的,添加用户接口,我们对用户对象的变量设置了校验规则,如下
@Data
class Person {
@NotNull(message = "名称不能为空")
@Max(value = 30, message = "名称不能超过30个字符")
String name;
@Max(value = 200, message = "年龄不能超过200岁吧")
@NotNull(message = "年龄不能为空")
Integer age;
@NotNull(message = "地址信息不能为空")
String address;
}
在Controller类中我们增加添加用户的方法,这里我们需要注意,我们只需要在方法对应的参数Person对象前面加上@Valid注解即可
/**
* 描述:添加一个 Person
* @param [person]
* @date 2020/11/22
* @Author Hank
**/
@PostMapping(value = "/person")
public ResultVO<Person> addPerson(@RequestBody @Valid Person person) {
//此处略过处理业务的代码...
return RV.success(person);
}
其实大家可能就会问,那要是参数校验不同过,这里应该是抛出什么异常呢,当我们执行如上代码,设定超出范围的参数后,在后端可以看到异常如下
可以看到,这里抛出的MethodArgumentNotValidException与上面的异常截然不同;相同道理,我依然在GlobalException类中加入对MethodArgumentNotValidException异常的全局拦截即可
/**
* 描述: 方法参数验证异常拦截
* @param [e]
* @date 2020/11/22
* @Author Hank
**/
@ExceptionHandler(value = MethodArgumentNotValidException.class)
public ResultVO methodArgumentNotValidException(MethodArgumentNotValidException e){
List<ObjectError> errors = e.getBindingResult().getAllErrors();
String[] errMessage=new String[errors.size()];
for (int i = 0; i < errors.size(); i++) {
ObjectError error=errors.get(i);
errMessage[i]=error.getDefaultMessage();
System.out.println(error.getCode()+":"+error.getDefaultMessage());
}
return RV.result(ErrorCode.METHOD_ARGS_VALID_ERROR,errMessage) ;
}
Validated与Valid区别
- @Validated: 用在方法入参上无法单独提供嵌套验证功能。不能用在成员属性(字段)上,也无法提示框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。
- @Valid:用在方法入参上无法单独提供嵌套验证功能。能够用在成员属性(字段)上,提示验证框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。
如上Person对象,如果里面再有一个对象,比如还是Person,在提交的过程中,需要这种嵌套验证,就需要通过使用Valid的嵌套验证功能,即可将代码修改如下;
@Data
class Person {
@NotNull(message = "名称不能为空")
@Size(min = 2,max = 30, message = "名称长度限定在2-30之间的长度")
String name;
@Max(value = 200, message = "年龄不能超过200岁吧")
@NotNull(message = "年龄不能为空")
Integer age;
@NotNull(message = "地址信息不能为空")
String address;
@Valid
Person p;
}
常用参数校验的注解
这里我们主要介绍在springboot中的几种参数校验方式。常用的用于参数校验的注解如下:
- @AssertFalse 所注解的元素必须是Boolean类型,且值为false
- @AssertTrue 所注解的元素必须是Boolean类型,且值为true
- @DecimalMax 所注解的元素必须是数字,且值小于等于给定的值
- @DecimalMin 所注解的元素必须是数字,且值大于等于给定的值
- @Digits 所注解的元素必须是数字,且值必须是指定的位数
- @Future 所注解的元素必须是将来某个日期
- @Max 所注解的元素必须是数字,且值小于等于给定的值
- @Min 所注解的元素必须是数字,且值小于等于给定的值
- @Range 所注解的元素需在指定范围区间内
- @NotNull 所注解的元素值不能为null
- @NotBlank 所注解的元素值有内容
- @Null 所注解的元素值为null
- @Past 所注解的元素必须是某个过去的日期
- @PastOrPresent 所注解的元素必须是过去某个或现在日期
- @Pattern 所注解的元素必须满足给定的正则表达式
- @Size 所注解的元素必须是String、集合或数组,且长度大小需保证在给定范围之内
- @Email 所注解的元素需满足Email格式
小结
本章主要围绕两方面内容作了详细的介绍
- Controller的参数接收方式
- 请求路径参数
- Body参数(JSON\FORM\请求头和Cookie参数)
- 文件上传
- 参数的校验
- 单个参数校验
- 实体参数校验
- 嵌套参数校验以及Validated与Valid的区别
以上我们分别用示例进行了详细阐述,希望对你后期的开发工作有所帮助;如果你在这方面有不同的实战经验,也欢迎在评论区进行留言。
参考文章
JSR说明参照 blog.csdn.net/choushi9178…
