前言
在我们实际项目开发过程中,避免不了的就是参数的校验,一般参数的校验,分为如下几种情况;1.前端直接验证;2. 在Controller层单独验证;3. 通过集成验证框架验证;显然3种里面,我们一般建议1+3结合的方式进行参数的校验比较合理和安全。在本章我们将围绕HTTP请求中参数校验的应用
Controller的几种接收参数的方式
在介绍验证框架之前,我们来介绍下通过Controller接收参数的方式;现在大部分都是通过注解的方式进行参数的接收,主流的有如下几种
请求路径参数
- @PathVariable 获取路径参数。即url/{id}这种形式。
- @RequestParam 获取查询参数。即url?name=这种形式
代码形式如下:
GET http://localhost:8080/demo/SN20201011021211?name=hank
对应的接收代码如下:
@GetMapping("/demo/{sn}") public void demo(@PathVariable(name = "sn") String sn, @RequestParam(name = "name") String name) { System.out.println("sn="+sn); System.out.println("name="+name); }
Body参数
Body参数一般是POST请求,主要有两种方式
- 以JSON格式接收可通过@RequestBody获取对应的参数
- 以form表单形式提交的,暂无注解适配,可直接对象接收
JSON参数接收
例如:添加用户的接口,PostMan 请求信息如下
对应后端代码1,通过Map接收
@PostMapping(value = "/user/map") public ResultVO createUser(@RequestBody Map<String,Object> user){ String name=user.get("name").toString(); return RV.success(user); }
对应后代代码2 通过定义的对象接收
@PostMapping(value = "/user") public ResultVO createUser2(@RequestBody User user){ System.out.println("User Info:"+user.toString()); return RV.success(user); }
FORM 参数接收
form方式提交,在PostMan中对应参数如下
对应后端代码如下:
@PostMapping(value = "/user/form") public ResultVO createUser3(User user){ System.out.println("User Info:"+user.toString()); return RV.success(user); }
请求头和Cookie参数
- @RequestHeader,是直接获取请求头HttpServletRequest对象里面Header中的参数
- @CookieValue 可以直接获取HttpServletRequest对象里面Cookies中的参数
通过注解的方式获取,分别如下
@GetMapping("demo3") public void demo3(@RequestHeader(name = "myHeader") String myHeader, @CookieValue(name = "myCookie") String myCookie) { System.out.println("myHeader=" + myHeader); System.out.println("myCookie=" + myCookie); }
通过硬编码的获取方式为
@GetMapping("/demo3") public void demo3(HttpServletRequest request) { System.out.println(request.getHeader("myHeader")); for (Cookie cookie : request.getCookies()) { if ("myCookie".equals(cookie.getName())) { System.out.println(cookie.getValue()); } } }
由上可以看出,通过注解的方式可以极大简化编码,使我们的代码变得美观大方,如果通过request对象直接获取,也是可以的,这个主要是看什么样的需求,一般情况下,通过注解的方式基本上能满足我们的绝大部分需求,所以在项目中我们比较推荐直接通过注解的方式获取参数。
文件上传
文件上传主要是基于@RequestParam 结合MultipartFile对象;如下示例;
这里需要注意,前端的传入需要用表单方式提交,并且在Head的Content-Type里面加入,如下信息
Content-Type: application/x-www-form-urlencoded
对应后端代码如下
@Value("${file.upload.url}") private String filePath; @RequestMapping("/upload") public ResultVO httpUpload(@RequestParam("files") MultipartFile files[]){ for(int i=0;i<files.length;i++){ String fileName = files[i].getOriginalFilename(); // 文件名 File dest = new File(filePath+'/'+fileName); if (!dest.getParentFile().exists()) { dest.getParentFile().mkdirs(); } try { files[i].transferTo(dest); } catch (Exception e) { log.error("{}",e); return RV.result(ErrorCode.UPLOAD_FILE_ERROR,e); } } return RV.success(null); }
参数校验
在Controller层的参数校验可以分为两种场景,单个参数校验和实体参数校验
单个参数校验
后端代码如下
@RestController public class ValidateController { @GetMapping("/getUser") @Validated public ResultVO getUserStr(@NotNull(message = "name 不能为空") String name, @Max(value = 99, message = "不能大于99岁") Integer age) { return RV.success("name: " + name + " ,age:" + age); } }
在Postman请求如下,可以看到请求后,返回了系统异常,应该是被全局异常拦截了
我们再看后台打印的日志
如果我们系统中有很多地方都用到了参数校验,那么我们最好是能够在全局异常拦截处直接拦截ConstraintViolationException异常,并进行统一处理,可以在我们前面章节讲到的,在加了@RestControllerAdvice注解的GlobalException类中加入如下拦截的新方法;由于ConstraintViolationException继承了ValidationException异常类,所以我们可以直接拦截父类异常,直接进行多个不同的校验异常进行处理
@RestControllerAdvice public class GlobalException { /** * 描述:表单异常拦截 * @param [e] * @date 2020/11/22 * @Author Hank **/ @ExceptionHandler(value = ValidationException.class) public ResultVO validationException(ValidationException e){ Map map=new HashMap(); if(e instanceof ConstraintViolationException){ ConstraintViolationException exs = (ConstraintViolationException) e; Set<ConstraintViolation<?>> violations = exs.getConstraintViolations(); for (ConstraintViolation<?> item : violations) { //打印验证不通过的信息 System.out.println(item.getMessage()); map.put(item.getPropertyPath(),item.getMessage()); } } return RV.result(ErrorCode.FORM_VALIDATION_ERROR,map) ; } }
同样,再通过Postman请求后,得到如下结果
实体参数校验
一般我们在传入参数比较少的情况下,就直接用上面的方法进行了验证了,但是,如果我们传入的是一个对象,直接在方法上一个一个属性设置,就显得有点不美观了,因此我们一般都是封装一个接收参数的对象。如下面实例提供的,添加用户接口,我们对用户对象的变量设置了校验规则,如下
@Data class Person { @NotNull(message = "名称不能为空") @Max(value = 30, message = "名称不能超过30个字符") String name; @Max(value = 200, message = "年龄不能超过200岁吧") @NotNull(message = "年龄不能为空") Integer age; @NotNull(message = "地址信息不能为空") String address; }
在Controller类中我们增加添加用户的方法,这里我们需要注意,我们只需要在方法对应的参数Person对象前面加上@Valid注解即可
/** * 描述:添加一个 Person * @param [person] * @date 2020/11/22 * @Author Hank **/ @PostMapping(value = "/person") public ResultVO<Person> addPerson(@RequestBody @Valid Person person) { //此处略过处理业务的代码... return RV.success(person); }
其实大家可能就会问,那要是参数校验不同过,这里应该是抛出什么异常呢,当我们执行如上代码,设定超出范围的参数后,在后端可以看到异常如下
可以看到,这里抛出的MethodArgumentNotValidException与上面的异常截然不同;相同道理,我依然在GlobalException类中加入对MethodArgumentNotValidException异常的全局拦截即可
/** * 描述: 方法参数验证异常拦截 * @param [e] * @date 2020/11/22 * @Author Hank **/ @ExceptionHandler(value = MethodArgumentNotValidException.class) public ResultVO methodArgumentNotValidException(MethodArgumentNotValidException e){ List<ObjectError> errors = e.getBindingResult().getAllErrors(); String[] errMessage=new String[errors.size()]; for (int i = 0; i < errors.size(); i++) { ObjectError error=errors.get(i); errMessage[i]=error.getDefaultMessage(); System.out.println(error.getCode()+":"+error.getDefaultMessage()); } return RV.result(ErrorCode.METHOD_ARGS_VALID_ERROR,errMessage) ; }
Validated与Valid区别
- @Validated: 用在方法入参上无法单独提供嵌套验证功能。不能用在成员属性(字段)上,也无法提示框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。
- @Valid:用在方法入参上无法单独提供嵌套验证功能。能够用在成员属性(字段)上,提示验证框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。
如上Person对象,如果里面再有一个对象,比如还是Person,在提交的过程中,需要这种嵌套验证,就需要通过使用Valid的嵌套验证功能,即可将代码修改如下;
@Data class Person { @NotNull(message = "名称不能为空") @Size(min = 2,max = 30, message = "名称长度限定在2-30之间的长度") String name; @Max(value = 200, message = "年龄不能超过200岁吧") @NotNull(message = "年龄不能为空") Integer age; @NotNull(message = "地址信息不能为空") String address; @Valid Person p; }
常用参数校验的注解
这里我们主要介绍在springboot中的几种参数校验方式。常用的用于参数校验的注解如下:
- @AssertFalse 所注解的元素必须是Boolean类型,且值为false
- @AssertTrue 所注解的元素必须是Boolean类型,且值为true
- @DecimalMax 所注解的元素必须是数字,且值小于等于给定的值
- @DecimalMin 所注解的元素必须是数字,且值大于等于给定的值
- @Digits 所注解的元素必须是数字,且值必须是指定的位数
- @Future 所注解的元素必须是将来某个日期
- @Max 所注解的元素必须是数字,且值小于等于给定的值
- @Min 所注解的元素必须是数字,且值小于等于给定的值
- @Range 所注解的元素需在指定范围区间内
- @NotNull 所注解的元素值不能为null
- @NotBlank 所注解的元素值有内容
- @Null 所注解的元素值为null
- @Past 所注解的元素必须是某个过去的日期
- @PastOrPresent 所注解的元素必须是过去某个或现在日期
- @Pattern 所注解的元素必须满足给定的正则表达式
- @Size 所注解的元素必须是String、集合或数组,且长度大小需保证在给定范围之内
- @Email 所注解的元素需满足Email格式
小结
本章主要围绕两方面内容作了详细的介绍
- Controller的参数接收方式
-
- 请求路径参数
- Body参数(JSON\FORM\请求头和Cookie参数)
- 文件上传
- 参数的校验
-
- 单个参数校验
- 实体参数校验
- 嵌套参数校验以及Validated与Valid的区别
以上我们分别用示例进行了详细阐述,希望对你后期的开发工作有所帮助;如果你在这方面有不同的实战经验,也欢迎在评论区进行留言。
想要了解更多信息,可关注本公众号(一起学开源);或请长按以下二维码添加助手。将拉你加入社区进行更多交流