java对get参数校验失败_还在为参数校验发愁?spring-validation最佳实践指南

最新推荐文章于 2023-08-09 13:38:52 发布
最新推荐文章于 2023-08-09 13:38:52 发布
阅读量951 收藏 2
点赞数
文章标签: java对get参数校验失败
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39975261/article/details/114865195
版权

最近线上接口受到白帽子攻击,由于后端接口没有严格地进行参数校验,从而导致了系统程序异常和线上脏数据的问题。为了项目中参数校验方式的统一,因此在项目中引入了spring-validation。本文主要介绍spring-validation在项目中最佳实践方案,希望能帮助大家很快很好的使用spring-validation。`

实体命名方式推荐

在Spring项目组中,会存在有很多实体类,良好的命名方式能十分有效的理清项目的整体划分。下面分别介绍entity、DTO、VO实体类命名方式推荐。

entity

entity表示实体bean,一般是用于ORM对象关系映射 ,一个实体映射成一张表,一般无业务逻辑代码。负责将数据库中的表记录映射为内存中的Entity对象。

DTO

DTO表示数据传输对象(Data Transfer Object) ,用于服务器和客户端之间交互传输使用的。在spring-web项目中就是用于接收请求参数的对象。

VO

数据视图对象,一般是指返回响应结果的对象。

推荐命名

|--dto

|--*DTO.java

|--entity

|--*Entity.java

|--vo

|--*VO.java

参数校验实战

spring-validation原则上可以通过注解的形式,用在任何方上执行参数校验。但是推荐统一在Controller进行参数校验。下面介绍一下不同场景下的推荐用法。

spring-boot-web已经集成了参数校验相关依赖,无需另外再引入!

统一异常处理

对于参数校验失败的场景,推荐使用统一异常处理,以下是示例代码:@ExceptionHandler({MethodArgumentNotValidException.class})

public ResponseEntity handleMethodArgumentNotValidException(MethodArgumentNotValidException ex) {

BindingResult bindingResult = ex.getBindingResult();

StringBuilder sb = new StringBuilder("校验失败:");

for (FieldError fieldError : bindingResult.getFieldErrors()) {

sb.append(fieldError.getField()).append(":").append(fieldError.getDefaultMessage()).append(", ");

}

String msg = sb.toString();

return ResponseEntity.status(HttpStatus.BAD_REQUEST)

.contentType(MediaType.APPLICATION_JSON_UTF8)

.body(msg);

}

@ExceptionHandler({ConstraintViolationException.class})

public ResponseEntity handleMethodArgumentNotValidException(ConstraintViolationException ex) {

return ResponseEntity.status(HttpStatus.BAD_REQUEST)

.contentType(MediaType.APPLICATION_JSON_UTF8)

.body(ex.getMessage());

}

requestBody参数校验

对于使用requestBody传递的参数,后端使用DTO对象进行接收。一般情况下POST、PUT请求都会采用这种方式。只要给DTO对象前加上@Validated注解实现自动参数校验。因为同一个DTO类,很可能被多个方法作为参数,推荐使用校验分组, @Validated 注解后面指定校验组即可!

例如有如下DTO类:Class FooDTO{

/**

* 只有在 Adult 分组下,18 岁的限制才会起作用。

*/

@Min(value = 18,groups = {Adult.class})

private Integer age;

/**

* 接口表示校验组

*/

public interface Adult{}

public interface Minor{}

}

Controller方法使用spring-validation示例如下:@PostMapping("/drink")

public String drink(@RequestBody @Validated({Foo.Adult.class}) FooDTO foo) {

// ...

return "success";

}

DTO对象接收的方式同样也适用于以下场景:x-www-form-urlencoded形式的请求体参数。

url查询参数

requestParam参数校验

对于GET请求,后端一般使用单个字段分别接收。这种情况下,Controller类上必须加上@Validated,然后在每个参数前面加上校验注解即可。例如:@NotEmpty、@Min等。@RestController

// 一定要加@Validated注解

@Validated

public class TestController {

@GetMapping(path = "/test")

public ResponseEntity test(@RequestParam @Email String email, @RequestParam @Size(min = 1, max = 10) String key) {

// ...

}

}

集合校验

如果请求体传递了json数组给后台,希望对数组中的每一项都进行参数校验。此时,直接使用java.util.Collection下的list或者set来接收数据,参数校验并不会生效!我们必须使用自定义list来接收参数:public class ValidatorList implements List {

@Delegate // @Delegate是lombok注解

@Valid // 一定要加@Valid注解

public List list = new ArrayList<>();

// 一定要记得重写toString方法

@Override

public String toString() {

return list.toString();

}

}

Controller方法示例如下:@PostMapping("/addCountWithEncryptRelationId")

public ResponseEntity addCount(@RequestBody @NotEmpty @Validated(CountDTO.EncryptRelationIdBatch.class) ValidatorList countDTOList) {

// ...

}

注意:ValidatorList countDTOList参数前面同时加了@NotEmpty @Validated(CountDTO.EncryptRelationIdBatch.class)注解,含义如下:@NotEmpty表示list不能为空

@Validated(CountDTO.EncryptRelationIdBatch.class)表示对于countDTOList的每一项,都会使用CountDTO.EncryptRelationIdBatch.class分组的校验逻辑执行校验!

嵌套校验

如果DTO字段包含非主数据类型或者字符串,需要加在该字段上加上@Valid注解才能执行嵌套数据校验。public class Item {

@NotNull(message = "id不能为空")

@Min(value = 1, message = "id必须为正整数")

private Long id;

@NotNull(message = "props不能为空")

@Size(min = 1, message = "至少要有一个属性")

@Valid // 嵌套验证必须用@Valid

private List props;

}

public class Prop {

@NotNull(message = "pid不能为空")

@Min(value = 1, message = "pid必须为正整数")

private Long pid;

@NotNull(message = "vid不能为空")

@Min(value = 1, message = "vid必须为正整数")

private Long vid;

@NotBlank(message = "pidName不能为空")

private String pidName;

@NotBlank(message = "vidName不能为空")

private String vidName;

}

注意:如果Controller层通过@Validated指定了分组,那么嵌套校验会延续使用该分组执行校验!

自定义校验

业务需求总是比框架提供的这些简单校验要复杂的多,我们可以自定义校验来满足我们的需求。自定义 spring validation 非常简单,主要分为两步:

自定义校验注解

假设我们自定义一个加密id的注解。(就是只有由数字或者a-f的字母组成,32-256长度)@Target({METHOD, FIELD, ANNOTATION_TYPE, CONSTRUCTOR, PARAMETER})

@Retention(RUNTIME)

@Documented

@Constraint(validatedBy = {EncryptIdValidator.class})

public @interface EncryptId {

// 默认错误消息

String message() default "加密id格式错误";

// 分组

Class>[] groups() default {};

// 负载

Class extends Payload>[] payload() default {};

// 指定多个时使用

@Target({FIELD, METHOD, PARAMETER, ANNOTATION_TYPE})

@Retention(RUNTIME)

@Documented

@interface List {

EncryptId[] value();

}

}

我们不需要关注太多东西,使用 spring validation 的原则便是便捷我们的开发,例如 payload,List ,groups,都可以忽略。

编写真正的校验者类public class EncryptIdValidator implements ConstraintValidator {

private static final Pattern PATTERN = Pattern.compile("^[a-f\\d]{32,256}$");

@Override

public boolean isValid(String value, ConstraintValidatorContext context) {

// 不为null才进行校验

if (value != null) {

Matcher matcher = PATTERN.matcher(value);

return matcher.find();

}

return true;

}

}

这样我们就可以使用@EncryptId进行参数校验了,是不是很简单!

weixin_39975261
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java entity校验_SpringBoot入门二十二,使用Validation进行参数校验
weixin_33295562的博客
02-28 471
项目基本配置参考文章SpringBoot入门一,使用myEclipse新建一个SpringBoot项目,使用myEclipse新建一个SpringBoot项目即可,此示例springboot升级为2.2.1版本。1. pom.xml添加AOP支持如果已经引用了spring-boot-starter-web,就不要需要引用spring-boot-starter-validation了,本例就不再引用...
java entity校验_还在为参数校验发愁spring-validation最佳实践指南
weixin_36267615的博客
02-28 464
最近线上接口受到白帽子攻击,由于后端接口没有严格地进行参数校验,从而导致了系统程序异常和线上脏数据的问题。为了项目中参数校验方式的统一,因此在项目中引入了spring-validation。本文主要介绍spring-validation在项目中最佳实践方案,希望能帮助大家很快很好的使用spring-validation。`实体命名方式推荐在Spring项目组中,会存在有很多实体类,良好的命名方式能...
定时任务最简单的3种实现方法(超好用)
HollisChuang's Blog
08-26 709
定时任务在实际的开发中特别常见,比如电商平台 30 分钟后自动取消未支付的订单,以及凌晨的数据汇总和备份等,都需要借助定时任务来实现,那么我们本文就来看一下定时任务最简单的几种实现方式。...
请求参数校验
weixin_45797898的博客
02-14 560
请求参数校验的方式
java entity校验_Java SpringBoot 实体类数据自动验证
weixin_36234970的博客
03-06 270
package demo.dto;import org.hibernate.validator.constraints.Length;import javax.validation.constraints.NotEmpty;import java.io.Serializable;public class ProductDto implements Serializable {@NotEmpty(m...
Spring-Validation 后端数据校验的实现
08-18
因为 Spring Validation 会自动地对数据进行校验,开发者不需要再写冗长的 if 语句来判断每个参数的属性。 在本文中,我们将使用 Spring Validation 来实现后端数据校验,并通过示例代码来演示如何使用 Spring ...
集成spring-boot-starter-validation对接口参数校验.zip
最新发布
08-26
在Spring Boot应用中,`spring-boot-starter-validation`是一个非常重要的模块,它为我们的接口参数校验提供了便利。本项目是基于Spring Boot框架构建的,旨在实现一些实用功能,其中包括了对请求参数的有效性检查。...
如何使用Spring Validation优雅地校验参数
08-18
Spring Validation是Spring框架提供的一套校验组件,它提供了一些注解,可以用来对参数进行校验,如@NotNull、@Size、@Min、@Max等。这些注解可以帮助我们快速实现参数校验,并且可以自定义错误信息。 如何使用...
spring boot validation参数校验实例分析
08-25
主要介绍了spring boot validation参数校验,结合实例形式分析了spring boot validation进行数据有效性验证的相关操作技巧,需要的朋友可以参考下
Spring Boot + validation + AOP 请求参数校验
12-20
Spring Boot + validation + AOP 请求参数校验 一、validation 校验注解 通用 @Null 被注释的属性必须为 null @NotNull被注释的属性必须不为 null @AssertTrue 被注释的属性必须为 true @AssertFalse 被注释的属性...
Spring Entity数据校验,分组校验,返回校验结果给前端
XiaoHH的博客
03-11 612
文档说明 本文用到的项目是我之前写的一个SpringBoot的小demo,去到上一篇文档,项目代码仓库地址点这里。 编码步骤 看看SQL语句: -- 用户表 CREATE TABLE `user` ( `id` BIGINT PRIMARY KEY AUTO_INCREMENT COMMENT '用户 ID', `username` VARCHAR(20) NOT NULL COMMENT '用户名', `password` VARCHAR(20) NOT NULL COMMEN
Get请求中使用@Validated进行参数校验方案汇总
热门推荐
weixin_43401380的博客
12-12 1万+
Get请求中使用@Validated进行参数校验方案汇总
【springboot进阶】springboot集成fastjson(四)优雅地接收GET请求参数并对其校验
06-18 1737
通过注解和参数解析器的方式,可以实现GET请求方式的参数进行优雅的封装注入,免去了控制器的过长参数的处理,同时有多字段的校验过于繁琐的问题。
Spring boot POST/GET请求的参数校验
weixin_43842769的博客
10-13 5050
Spring boot POST/GET请求的参数校验 SpringBoot提供的获取参数注解包括:@PathVariable,@RequestParam,@RequestBody 三者的区别: 1. @PathVariable是spring3.0的一个新功能:接收请求路径中占位符的值 2. @RequestParam @RequestMapping(value = "/test", method = RequestMethod.GET) public Msg recommend(@Reques
java对get参数校验,java – Spring REST – 验证原始GET请求参数
weixin_31968849的博客
03-15 573
是的,这是可能的.给出以下控制器:@RestController@Validatedpublic class ValidatingController {@RequestMapping("/{id}")public int validatedPath(@PathVariable("id") @Max(9) int id) {return id;}@ExceptionHandlerpublic St...
Spring Validation参数校验
weixin_51476582的博客
08-22 834
Spring Validation最佳实践及其实现原理,参数校验没那么简单! 程序猿DD1周前 作者 |伍陆七 来源 |https://juejin.cn/post/6856541106626363399 之前也写过一篇关于Spring Validation使用的文章,不过自我感觉还是浮于表面,本次打算彻底搞懂Spring Validation。本文会详细介绍Spring Validation各种场景下的最佳实践及其实现原理,死磕到底!项目源码:spring-validation(ht...
Springboot中拦截GET请求获取请求参数验证合法性
weixin_45151960的博客
08-09 1924
在Springboot中创建拦截器拦截所有GET类型请求,获取请求参数验证内容合法性防止SQL注入(该方法仅适用拦截GET类型请求,POST类型请求参数是在body中,所以下面方法不适用)。
spring参数校验之validation的使用
zsg0604的博客
02-28 794
spring参数校验之validation的使用 1、在代码编写中,经常会遇到参数校验,包括:必填、正则,取值范围限制等 话不多说,上代码 @RestController @RequestMapping("/valida") public class ValidaZsgController{ @RequestMapping("/validaParam") public String validaParam(@Validated @RequestBody ValidaUser user,
spring boot常见get 、post请求参数处理、参数注解校验参数自定义注解校验
qq_40603010的博客
08-17 3977
spring boot常见get 、post请求参数处理、参数注解校验参数自定义注解校验 spring boot 常见http get ,post请求参数处理 在定义一个Rest接口时通常会利用GET、POST、PUT、DELETE来实现数据的增删改查;这几种方式有的需要传递参数,后台开发人员必须对接收到的参数进行参数验证来确保程序的健壮性 GET 一般用于查询数据,采用明文进行传输,一般用来获取一些无关用户信息的数据 POST 一般用于插入数据 PUT 一般用于数据更新 DELETE 一般用于数据删除
Spring Boot通过在实体类中注解参数校验为0-100的整数
06-03
可以使用javax.validation.constraints包中的注解来实现参数校验。下面是一个示例代码,用于在实体类中注解参数校验为0-100的整数: ``` import javax.validation.constraints.Max; import javax.validation.constraints.Min; import javax.validation.constraints.NotNull; public class MyEntity { @NotNull @Min(0) @Max(100) private Integer myParameter; // getter and setter methods } ``` 在上面的代码中,使用了@NotNull注解来确保参数值不为空,@Min和@Max注解来确保参数值在0-100的范围内。可以根据需要来调整注解参数。当参数值不满足注解中的条件时,Spring Boot会抛出ConstraintViolationException异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值