在编写服务器端项目时,当接收到请求参数时,必须第一时间对各请求参数的基本格式进行检查!
目录
一、为什么要检查参数?
既然客户端(例如网页)已经检查了请求参数,服务器端应该再次检查,因为:
- 客户端的程序是运行在用户的设备上的,存在程序被篡改的可能性,所以,提交的数据或执行的检查是不可信的
- 在前后端分离的开发模式下,客户端的种类可能较多,例如网页端、手机端、电视端,可能存在某些客户端没有检查
- 升级了某些检查规则,但是,用户的设备上,客户端软件没有升级(例如手机APP还是此前的版本)
以上原因都可能导致客户端没有提交必要的数据,或客户端的检查不完全符合服务器端的要求!所以,对于服务器端而言,客户端提交的所有数据都是不可信的!则服务器端需要对请求参数进行检查!
即使服务器端已经对所有请求参数进行了检查,各个客户端仍应该检查请求参数,因为:
- 能更早的发现明显错误的数据,对应的请求将不会提交到服务器端,能够减轻服务器端的压力
- 客户端的检查不需要与服务器端交互,当出现错误时,能及时得到反馈,对于用户的体验更好
二、通过Validation框架检查请求参数
1.添加依赖
Spring Validation框架可用于在服务器端检查请求参数的基本格式(例如是否提交了请求参数、字符串的长度是否正确、数字的大小是否在允许的区间等)。
2.检查封装类中的请求参数
如果请求参数使用自定义的POJO类型进行封装,当需要检查这些请求参数的基本格式时,需要:
- 在处理请求的方法的参数列表中,在POJO类型前添加
@Validated
或@Valid
注解,表示需要通过Spring Validation框架对此POJO类型封装的请求参数进行检查 - 在POJO类型的属性上,使用检查注解来配置检查规则,例如
@NotNull
注解就表示“不允许为null
”,即客户端必须提交此请求参数
所有检查注解都有message
属性,配置此属性,可用于向客户端响应相关的错误信息。
由于Spring Validation验证请求参数格式不通过时,会抛出异常,所以,可以在全局异常处理器中对此类异常进行处理!
@ExceptionHandler
public JsonResult handleBindException(BindException e) {
log.debug("捕获到BindException:{}", e.getMessage());
// 多种错误时,将获取所有错误信息,并响应
StringBuilder stringBuilder = new StringBuilder();
List<FieldError> fieldErrors = e.getFieldErrors();
for (FieldError fieldError : fieldErrors) {
stringBuilder.append(fieldError.getDefaultMessage());
}
return JsonResult.fail(ServiceCode.ERR_BAD_REQUEST, stringBuilder.toString());
}
3.快速失败原则
可以发现,Spring Validation在检查请求参数格式时,如果检查不通过,会记录下相关的错误,然后,继续进行其它检查,直到所有检查全部完成,才会返回错误信息!
检查全部的错误,相对更加消耗服务器资源,可以通过配置,使得检查出错时直接结束并返回错误!
/**
* Spring Validation的配置类
*/
@Slf4j
@Configuration
public class ValidationConfiguration {
public ValidationConfiguration() {
log.debug("创建配置类:ValidationConfiguration");
}
@Bean
public javax.validation.Validator validator() {
return Validation.byProvider(HibernateValidator.class)
.configure() // 开始配置Validator
.failFast(true) // 快速失败,即检查请求参数发现错误时直接视为失败,并不向后继续检查
.buildValidatorFactory()
.getValidator();
}
}
4.常用检查注解
-
@NotNull
:不允许为null
,适用于所有类型的请求参数 -
@NotEmpty
:不允许为空字符串(长度为0的字符串),仅适用于字符串类型的请求参数- 此注解不检查是否为
null
,即请求参数为null
将通过检查 - 此注解可以与
@NotNull
同时使用
- 此注解不检查是否为
-
@NotBlank
:不允许为空白(形成空白的主要有:空格、TAB制表位、换行等),仅适用于字符串类型的请求参数- 此注解不检查是否为
null
,即请求参数为null
将通过检查 - 此注解可以与
@NotNull
同时使用
- 此注解不检查是否为
-
@Pattern
:要求被检查的请求参数必须匹配某个正则表达式,通过此注解的regexp
属性可以配置正则表达式,仅适用于字符串类型的请求参数- 此注解不检查是否为
null
,即请求参数为null
将通过检查 - 此注解可以与
@NotNull
同时使用
- 此注解不检查是否为
-
@Range
:要求被检查的数值型请求参数必须在某个数值区间范围内,通过此注解的min
属性可以配置最小值,通过此注解的max
属性可以配置最大值,仅适用于数值类型的请求参数- 此注解不检查是否为
null
,即请求参数为null
将通过检查 - 此注解可以与
@NotNull
同时使用
- 此注解不检查是否为
5.检查基本值的请求参数
如果请求参数是一些基本值,没有封装(例如String
、Integer
、Long
),则需要将检查注解添加在请求参数上,
例如:
@PostMapping("/delete/test2")
public String deleteTest(@Range(min = 1, message = "删除数据失败,id值必须是1或更大的有效整数!") Long id) {
log.debug("【测试】开始处理请求!");
return "OK";
}
然后,还需要在控制器类上添加@Validated
注解,以上方法参数前的检查注解才会生效!如果后续运行时没有通过此检查,Spring Validation框架将抛出ConstraintViolationException
类型的异常