8.Spring服务器端数据校验(JSR-303)

已于 2024-01-26 14:02:28 修改
阅读量396 收藏 1
点赞数
分类专栏: Spring MVC 文章标签: spring java 前端
于 2023-04-27 15:03:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45305209/article/details/130390683
版权

目录

Spring MVC专栏目录(点击进入…)

Spring服务器端数据校验(JSR-303)

数据校验(服务端数据校验)

数据校验:①客户端校验、②服务器端校验

在Spring MVC 框架中有两种方法可以验证输入数据,一种是利用Spring自带的验证框架,另一种是利用JSR 303实现验证,推荐使用JSR 303验证。
1.前端校验要做,目的是为了提高用户体验
2.后端校验也要做,目的是为了数据安全

(1)客户端校验

主要是通过过滤正常用户的误操作,是第一道防线,一般使用JavaScript代码实现。但是只有客户端校验是不够的,攻击者可以绕过客户端验证直接进行非法输入,这样可能会引起系统异常,为了确保数据的合法性,防止用户通过非正常手段提交错误信息,必须加上服务器端验证

(2)服务器端校验

整个应用阻止非法数据的最后一道防线,通过应用中的编程实现。服务器端验证对于系统的安全性、完整性、健壮性起到了至关重要的作用。在Spring MVC 框架中可以利用Spring自带的验证框架验证数据,也可以利用JSR 303实现数据验证

服务端校验
(1)控制层Conroller:校验页面请求的参数的合法性。在服务端控制层Controller校验,不区分客户端类型(浏览器、手机客户端、远程调用)
(2)业务层service(使用较多):主要校验关键业务参数,仅限于service接口中使用的参数
(3)持久层dao:一般是不校验的


Spring MVC服务器端校验方式

在Spring MVC中有两种方式可以验证输入
(1)利用Spring自带的验证框架
(2)利用JSR 303实现


JSR 303介绍

JSR 303(Java Specification Requests)是Java为Bean数据合法性校验所提供的标准框架。JSR 303通过在Bean属性上标注类似于@NotNull、@Max等标准的注解指定校验规则,并通过标准的验证接口对Bean进行验证。

Bean Validation为JavaBean验证定义了相应的元数据模型和API。缺省的元数据是Java Annotations,通过使用XML可以对原有的元数据信息进行覆盖和扩展。在应用程序中,通过使用 Bean Validation 或是你自己定义的 constraint(约束),例如 @NotNull, @Max, @ZipCode, 就可以确保数据模型(JavaBean)的正确性。constraint 可以附加到字段,getter 方法,类或者接口上面。对于一些特定的需求,用户可以很容易的开发定制化的 constraint。Bean Validation 是一个运行时的数据验证框架,在验证之后验证的错误信息会被马上返回。

JSR 303 的发布使得在数据自动绑定和验证变得简单,使开发人员在定义数据模型时不必考虑实现框架的限制。当然 Bean Validation 还只是提供了一些最基本的 constraint,在实际的开发过程中,用户可以根据自己的需要组合或开发出更加复杂的constraint。

下载http://jcp.org/en/jsr/detail?id=303
官网下载http://hibernate.org/validator

注意:Spring本身没有提供对JSR 303的实现,Hibernate Validator实现了JSR 303,所以必须在加入来自Hibernate Validator库的jar文件

导入其中三个即可,Spring将会自动加载并装配

hibernate-validator-版本.Final
jboss-logging-版本.CR
validator-api版本.GA

JSR 303内置约束
JSR 303不需要编写验证器,它定义一套可标注在成员变量、属性方法上的校验注解。

约束说明
@Null被注释的元素必须为null
@NotNull被注释的元素必须不为null
@AssertTrue被注释的元素必须为true
@AssertFalse被注释的元素必须为false
@Min(value)被注释的元素必须是一个数字,其值必须大于等于指定的最小值
@Max(value)被注释的元素必须是一个数字,其值必须小于等于指定的最大值
@DecimaMin(value)被注释的元素必须是一个数字,其值必须大于等于指定的最小值
@DecimaMax(value)被注释的元素必须是一个数字,其值必须小于等于指定的最大值
@Size(max,min)被注释的元素大小必须在指定的范围内
@Digits(integer,fraction)被注释的元素必须是一个数字,其值必须在课街火速的范围内
@Past被注释的元素必须是一个过去的日期
@Futrue被注释的元素必须是一个将来的日期
@Pattern(value)被注释的元素必须符合指定的正则表达式

Spring MVC支持JSR 303标准的校验框架,Spring的DataBinder在进行数据绑定时,可同时调用数据校验框架来完成数据校验工作,非常简单方便。在Spring MVC中,可以直接通过注解驱动的方式来进行数据校验。


Hibernate Validator附加的constraint

约束(constraint)说明
@Email被注释的元素必须是电子邮箱地址
@Length被注释的字符串的大小必须在指定的范围内
@NotEmpty被注释的字符串的必须非空
@Range被注释的元素必须在合适的范围内

一个constraint通常由annotation和相应的constraint validator组成,它们是一对多的关系。也就是说可以有多个constraint validator对应一个annotation。在运行时,Bean Validation框架本身会根据被注释元素的类型来选择合适的constraint validator对数据进行验证。

有些时候,在用户的应用中需要一些更复杂的constraint。Bean Validation提供扩展constraint的机制。可以通过两种方法去实现。
(1)一种是组合现有的constraint来生成一个更复杂的constraint
(2)另外一种是开发一个全新的constraint


使用步骤

(1)导包

在这里插入图片描述

<!-- JSR 303 -->
<dependency>
	<groupId>org.hibernate</groupId>
	<artifactId>hibernate-validator</artifactId>
	<version>5.4.3.Final</version>
</dependency>

(2)配置校验器到处理器适配器

<!-- 校验器注入到处理器适配器中 -->
<mvc:annotation-driven validator="validator"/>

<!-- 校验器 -->
<bean id="validator" class="org.springframework.validation.beanvalidation.LocalValidatorFactoryBean">
	<!-- Hibernate校验器 -->
	<property name="providerClass" value="org.hibernate.validator.HibernateValidator"/>
	<!-- 指定校验使用的资源文件,在文件中配置校验错误信息,如果不指定则默认使用classpath下的ValidationMessages.properties -->
	<property name="validationMessageSource" ref="messageSource"></property>
</bean>

<!-- 校验外置配置文件 -->
<bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
	<!-- 资源文件名 -->
	<property name="basenames">
		<list>
			<value>classpath:ValidationMessages.properties</value>
		</list>
	</property>
	<!-- 资源文件编码格式 -->
	<property name="fileEncodings" value="utf-8"></property>
	<!-- 对资源文件内容缓冲时间,单位秒 -->
	<property name="cacheSeconds" value="120"></property>
</bean>

(3)增加校验规则

public class User {
	@Length(min = 2, max = 5,message = "长度大于等于2小于等于5!")
	private Integer id;
	@NotNull(message = "{user.error.name.NotNull}")
	private String name;
	private String address;
	private String email;
}

(4)ValidationMessages(文件编码格式跟JSP页面一致)

user.error.name.NotNull=姓名不能为空

(5)Handler控制器测试

@Controller
public class UserController {
	@RequestMapping("/user")
	public String UserTest(Model model, @Valid User user, BindingResult bindingResult) {
		if (bindingResult.hasErrors()) { //有错误信息
			List<ObjectError> allErrors = bindingResult.getAllErrors();
			for (ObjectError objError : allErrors) {
				// 输出错误信息
				System.out.println(objError.getDefaultMessage());
			}
			model.addAttribute("allErrors", allErrors);  //发送至页面
			return "message";
		}
		// 没有错误信息,省略……
		return "逻辑视图名";
	}
}

Controller相关设置,model前添加@Valid注解;Controller的方法中@valid对应的@ModelAttribute参数与bindingResult之间不能有参数,它们必须紧挨在一起,否则报错;

需要在Handler(Controller)中加入BindingResult对象,接收校验出错信息;否则会直接报错。

@Valid是javax.validation里的。@Validated是@Valid的一次封装,是Spring提供的校验机制使用。

相比@Valid;@Validated提供了几个新功能
(1)可以通过groups对验证进行分组
(2)按照序列组来验证
(3)验证多个实体


分组校验

1.校验规则(增加组标识)

public class User {
	private int id;
	
	@NotEmpty(message = "{user.error.name.NotNull}", groups = UserVov1.class)
	private String name;
	
	@NotEmpty(message = "{user.error.address.NotNull}")
	private String address;
	
	@Email(message = "必须是邮箱!")
	private String email;
	
	// 省略getter/setter方法...
	public interface UserVov1{};
	public interface UserVov2{};
	public interface UserVov3{};
	
}

2.定义一个接口类(增加分组)

@GroupSequence(value = {User.UserVov1.class,User.UserVov2.class})
public interface GroupbyName {
	// 不需要定义任何方法,仅对校验进行分组
	//目的:在pojo类中定义了校验规则;只校验部分内容
}

3.Handler(Controller)中使用

@RequestMapping("/groups")
public String groups(@Validated(value = GroupbyName.class) User user) {
	return "groups_ok";
}

自定义验证类

(1)自定义注解

至少需要包含message()、groups()、payload()

@Target({ElementType.METHOD, ElementType.FIELD, ElementType.ANNOTATION_TYPE, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Constraint(validatedBy = { IsRightValidator.class })
public @interface IsRight {
	boolean right() default true;
	String message() default "这是验证失败的提示信息";
	Class<?>[] groups() default {};
	Class<? extends Payload>[] payload() default {};
}

(2)自定义注解校验器类

继承ConstraintValidator类<注解类,注解参数类型> ,重写两个方法(initialize:初始化操作、isValid:逻辑处理)

IsRight注解校验类

public class IsRightValidator implements ConstraintValidator<IsRight, String> {
	private boolean right= false;
	
	@Override
	public void initialize(IsRight constraintAnnotation) {
		right = constraintAnnotation.right();
	}
	
	@Override
	public boolean isValid(String value, ConstraintValidatorContext context) {
		if (right) {
			return true;
		} else {
			return false;
		}
	}
}
未禾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
23 Spring Core参数校验JSR303_JSR-349注解-慕课专栏1
08-03
Spring Core提供了一种优雅的方式来处理参数校验,特别是通过JSR 303JSR 349和JSR 380这些标准注解,实现了高效且易于维护的验证机制。 JSR 303最初定义了JavaBean验证的标准,而JSR 349是其修订版,主要增加了对...
SpringBoot结合JSR303前端数据进行校验的示例代码
10-14
在开发Web应用时,数据校验是确保数据质量和安全的重要...前端校验为用户提供即时反馈,而后端校验确保了数据的正确性,防止恶意数据进入系统。通过这种方式,我们可以在不牺牲用户体验的同时,保证数据的安全和质量。
报错:“JSR-303 validated property ‘xxx.id‘ does not have a corresponding accessor for Spring data bindi
Muscleheng的博客
07-09 2042
使用注解@Validated和@Valid做入参校验,结果报错: "JSR-303 validated property 'xxx.id' does not have a corresponding accessor for Spring data binding - check your DataBinder's configuration (bean property versus direct field access)" 解决方法,在全局异常处理类里面添加如下配置即可,大概意思是:将Spring
struts2中服务器端数据校验
weixin_30649859的博客
09-02 128
2016-09-02 数据校验指对数据合法性进行检查,根据验证数据的位置可以分为客户端验证和服务器端验证,今天随笔主要写的是实现服务器端数据验证,服务器端数据验证主要特点: ·数据提交后在服务器端验证 ·防止绕过客户端验证提交的非法数据 ·可以在服务器端处理数据前保证数据的合法性 Struts2中有两种实现服务器端验证的方式。 一、 使...
服务端数据校验
HKF的博客
10-28 2465
Hibernate Validator是Hibernate提供的一个开源框架,使用注解方式非常方便的实现服务端的数据校验。 Hibernate Validator 提供了 JSR 303 规范中所有内置 constraint(约束) 的实现,除此之外还有一些附加的 constraint。 在日常开发中,Hibernate Validator经常用来验证bean的字段,基于注解,方便快捷高效。 ...
服务器端数据验证
gengxc的专栏
09-27 1122
现在有一个方法实现页面所有textbox的数据验证,public static bool CheckAllItems(Page page,string strFrmName)page:传过来的pagestrFrmName:是页面上面的Form的id这个方法会检测画面上面所有的textbox的验证这个方法依赖客户端验证的自定义属性(例如:datatype="string" n
Struts2(服务器端)输入校验
Thinking
09-11 965
文章来源:http://blog.csdn.net/yuyuyuyuy/article/details/6240081 服务器端校验的重要性,我就不在这里浪费口舌了。 从理论上讲,execute()方法完全可以完成任何的校验任务。但大多数情况下,并不这样做,而是使execute()方法专司其职。因在程序设计时,尽量使每个方法完成单一的任务。 1、  Struts2手动完成输入校验
SpringMVC的服务器验证
SprintMan的博客
02-10 1324
SpringMVC服务器验证—-JSR-303 java Bean 验证标准。 目的:验证从客户端提交到服务器的数据的正确与否,如果传来的数据不正确,该数据不会与数据库交互,减轻了服务器的压力。用springmvc来连接客户端与服务器时,会自动把数据封装到请求方法的参数上,此时需要对传来的参数进行验证。 假设实体类是Userpublic class User { private Strin
Spring Boot 2 Thymeleaf服务器端表单验证实现详解
08-25
Spring Boot 2 Thymeleaf 服务器端表单验证实现详解 Spring Boot 2 Thymeleaf 服务器端表单验证实现详解是指在 Spring Boot 2 中使用 Thymeleaf 模板引擎实现服务器端表单验证的方法。该方法主要使用 JavaJSR ...
服务端JSR303参数校验md,学习代码
最新发布
06-21
【标题】"服务端JSR303参数校验md,学习代码"涉及的主要知识点是服务端参数验证,这是Java后端开发中的一个重要环节,确保输入数据的有效性和安全性。JSR303Java Bean Validation)是Java平台的一个标准,用于进行...
大三(二)springmvc数据校验.zip
09-13
Spring MVC 中,数据校验是非常重要的一环,它确保了从客户端提交到服务器的数据是准确无误的。数据校验通常发生在控制器(Controller)层,通过使用 javax.validation 和 Hibernate Validator 这两个库来实现。...
SpringMVC学习之服务器端校验
Pruett的博客
11-22 537
1.校验理解 通常使用较多的是前端校验,比如页面js校验,对于安全性要求高一点的建议在服务器端校验服务器端校验: 控制层controller:校验页面请求参数的合法性,在服务器端控制层controller校验不区分客户端类型(浏览器,手机客户端,远程校验) 业务层service:(使用较多)主要校验关键业务参数,仅限于service接口使用的参数 持久层dao:一般不进行校验 2....
Springboot使用JSR303完成Controller或服务接口参数校验
记录学习及实战案例!
09-18 745
使用JSR-303 在表单提交后台接口时或在各接口调用时进行校验,提高编码效率和简化逻辑。
Spring Boot 服务端数据-实现数据校验功能 、数据校验、解决异常、其他校验规则。
qq_40979622的博客
10-19 491
1、数据校验 实体类:   Controller层:  html 文件:        2、数据校验 Controller层:1、在Controller中找到数据校验的方法 对谁@Valid就是校验谁。                        2、把校验结果保存在BindingResult中                        3、BindingResu...
数据校验
Nic_Wang的博客
05-05 524
数据校验分为客户端校验和服务端校验 客户端校验 -主要是通过页面的脚本验证,仅能对数据进行初步过滤 -开发者必须为每个表单书写大量的客户端校验代码 -用户可通过其他方式绕过验证,如将页面另存为本地网页后进行脚本-修改后提交 -将大部分输入错误阻止在客户端,减轻了服务器负担服务端校验 -服务端数据校验服务器端进行 -服务端数据校验是整个应用的最后防线,阻止非法数据进入系统,对-系统的安
数据校验问题
Sun_of_Rainy的博客
04-28 589
数据不仅要在前台进行校验,后台也要进行校验 前台校验: 后台校验: 在对应实体需要校验的属性上进行注解校验 注意:当传过来的值为空时,不能在属性上面加注解校验,否则会出错 如下: ...
SpringBoot服务端数据校验
weixin_44569326的博客
01-11 166
Spring Boot 中使用了 Hibernate-validator 校验框架。 @NotNull: 判断基本数据类型的对象类型是否为 null @NotBlank: 判断字符串是否为 null 或者是空串(去掉首尾空格)。 @NotEmpty: 判断集合是否为空。 @Length: 判断字符的长度(最大或者最小) @Min: 判断数值最小值 @Max: 判断数值最大值 @Email: 判断邮箱是否合法 ...
后端服务-数据验证
shililu的专栏
12-30 589
1.SpringMVC 3.x 自带校验器 Validatior () import org.springframework.validation.Errors; import org.springframework.validation.ValidationUtils; import org.springframework.validation.Validator; public class UserValidator implements Vali...
SpringBoot----服务端表单数据校验
Miracle_Gaaral的博客
11-04 184
一、 实现添加用户功能 略 二、 SpringBoot 对表单做数据校验 1 SpringBoot 对表单数据校验的技术特点 SpringBoot 中使用了 Hibernate-validate 校验框架 2 SpringBoot 表单数据校验步骤 2.1在实体类中添加校验规则 2.2在 Controller 中开启校验 2.3在页面中获取提示信息 三、 ...
Spring集成JSR-303 BeanValidation详解与约束实现
Spring框架中的JSR-303 BeanValidation是基于Java Bean约束规范(JSR 303)的一个实现,它提供了对Java对象进行验证的能力,使得开发者可以轻松地在业务逻辑层面上确保数据的正确性和一致性。这个帮助文档详细介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未禾

您的支持是我最宝贵的财富!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值