1、你心中关于校验的哪些问题
1.1、为什么需要参数校验?
我们总是期望用户能够要求正确输入内容,然而你永远不知道坐在电脑前的用户会输入什么内容,可能是无心也可能是有意,输入了不合要求的参数从而导致系统无法正确工作。没有对参数进行校验的系统就像是没有任何保护措施的扁舟,经不起任何的风吹雨打,随时在游走在崩溃的边缘。因此有必要对参数接口传入的参数进行检查和验证,以确保参数的合法性和正确性。这也是确保系统的稳定性、安全性和可靠性的重要措施。
1.2、前端校验不就行了么,后端校验岂不多次一举?
世界比我们想象中的不安全,可能有“黑客”会绕过浏览器,直接使用 HTTP 工具,模拟请求向后端 API 接口传入违法的参数,以达到它们“不可告人”的目的。
又或者前端开发大哥不小心漏做了一些 API 接口调用时的参数校验,结果导致用户提交了大量不正确的数据到后端 API 接口,并且这些数据成功入库导致难以预估的后果。
这个时候,你是会甩锅给前端小哥,还是怒喷测试小姐姐测试不到位呢?
2、Bean Validation 校验规范及实现框架
Bean Validation 规范历经JSR303、JSR349、JSR380 三次标准的制定,目前最新已经发展到了 3.0
详见Bean Validation 官网:https://beanvalidation.org/3.0/
Bean Validation 和我们很久以前学习过的 JPA 一样,只提供规范,不提供具体的实现。
- 在 Bean Validation API 中,定义了 Bean Validation 相关的接口,并没有具体实现。
- 在javax.validation.constraints 包下,定义了一系列的校验注解。例如@NotNull、@NotEmpty等。
实现 Bean Validation 规范的数据校验框架主要为Hibernate Validator:
但是我们在使用 Spring 的项目中,因为 Spring Validation 提供了对 Bean Validation 的内置封装支持,可以使用 @Validated 注解,实现声明式校验,而无需直接调用 Bean Validation 提供的 API 方法。而在实现原理上,也是基于 Spring AOP 拦截,实现校验相关的操作。而在 Spring Validation 内部,最终还是调用不同的 Bean Validation 的实现框架。例如说,Hibernate Validator 。
3、校验注解
3.1 Bean Validation 3.0 内置约束注解全解
Bean Validation 3.0定义了 24 个标准约束注解,开发者无需重复造轮子即可覆盖 90% 以上的常见校验场景。以下是关键约束的分类解析:
1、基础类型校验
| 注解 | 作用域 | 功能描述 | 核心参数示例 |
|---|---|---|---|
| @NotNull | 任意类型 | 值不能为 null | message |
| @Null | 任意类型 | 值不能为 null | message |
| @AssertTrue | Boolean | 值必须为 true | message |
| @AssertFalse | Boolean | 值必须为 false | message |
典型示例:
public class User {
@NotNull(message = "用户ID不能为空")
private Long userId;
@AssertTrue(message = "必须同意协议")
private Boolean agreedToTerms;
}
2、数值范围校验
| 注解 | 作用域 | 功能描述 | 核心参数示例 |
|---|---|---|---|
| @Min | 数值类型 | 值 >= 指定最小值 | value(long 类型) |
| @Max | 数值类型 | 值 <= 指定最大值 | value(long 类型) |
| @DecimalMin | 数值类型 | 值 >= 指定最小值(字符串形式) | value, inclusive |
| @DecimalMax | 数值类型 | 值 <= 指定最大值(字符串形式) | value, inclusive |
| @Digits | 数值类型 | 值必须是数字且整数位数和小数位数必须在指定范围 | integer, fraction |
| @Negative | 数值类型 | 值必须为负数 | message |
| @NegativeOrZero | 数值类型 | 值 <= 0 | message |
| @Positive | 数值类型 | 值必须为正数 | message |
| @PositiveOrZero | 数值类型 | 值 >= 0 | message |
典型示例:
public class Product {
@DecimalMin(value = "0.0", inclusive = false, message = "价格必须大于0")
private BigDecimal price;
@PositiveOrZero(message = "库存不能为负数")
private Integer stock;
}
3、字符串校验
| 注解 | 作用域 | 功能描述 | 核心参数示例 |
|---|---|---|---|
| @Size | 字符串/集合 | 长度在指定范围内 | min, max |
| @NotBlank | 字符串 | 非空且至少包含一个非空白字符 | message |
| @NotEmpty | 字符串/集合 | 非空(长度/大小 > 0) | message |
| @Pattern | 字符串 | 匹配正则表达式 | regexp, flags |
典型示例:
public class RegistrationForm {
@NotBlank(message = "用户名不能为空")
@Size(min = 4, max = 20, message = "用户名长度4-20字符")
private String username;
@Pattern(regexp = "^(?=.*[A-Za-z])(?=.*\\d)[A-Za-z\\d]{8,}$",
message = "密码至少8位,包含字母和数字")
private String password;
}
4、时间与日期校验
| 注解 | 作用域 | 功能描述 | 核心参数示例 |
|---|---|---|---|
| @Past | 日期类型 | 日期必须在过去 | message |
| @PastOrPresent | 日期类型 | 日期 <= 当前时间 | message |
| @Future | 日期类型 | 日期必须在未来 | message |
| @FutureOrPresent | 日期类型 | 日期 >= 当前时间 | message |
示例场景:
public class Event {
@Future(message = "活动开始时间必须为未来时间")
private LocalDateTime startTime;
}
5、特殊格式校验
| 注解 | 作用域 | 功能描述 | 核心参数示例 |
|---|---|---|---|
| 字符串 | 校验邮箱格式 | regexp, flags |
示例场景:
public class Contact {
@Email(regexp = "^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,6}$",
message = "邮箱格式不合法")
private String email;
}
3.2 Hibernate Validator 附加的约束注解(仅部分常用)
| 注解 | 作用域 | 功能描述 | 核心参数示例 |
|---|---|---|---|
| @Length | 字符串 | 值必须≥最小值,≤最大值 | min, max |
| @URL | 集合 | 值必须是url地址 | protocol, host,port,regexp |
| @Range | 数值、字符串 | 值在指定范围内 | min, max |
3.3 @Valid 和 @Validated
1. 核心差异对比
| 特性 | @Valid (JSR-380) | @Validated (Spring) |
|---|---|---|
| 规范归属 | Java 标准(JSR 系列) | Spring 框架扩展 |
| 分组校验 | ❌ 不支持 | ✅ 支持(通过 groups 参数) |
| 校验作用域 | 方法参数、字段、嵌套对象 | 类级别、方法级别 |
| 嵌套校验触发 | 需要显式添加 @Valid | 自动触发嵌套校验(需配合 @Valid) |
| 校验器集成 | 依赖 Bean Validation 实现 | 支持 Spring 的 Validator 接口 |
| AOP 代理 | ❌ 无 | ✅ 通过 AOP 代理实现方法级校验 |
2. 嵌套校验
@Valid:
public class ParentDTO {
@Valid // 必须显式声明
private ChildDTO child;
}
@Validated:
@Validated // 类级别注解
public class ParentDTO {
private ChildDTO child; // 自动触发 ChildDTO 校验(仍需 ChildDTO 有校验注解)
}
4、在Spring Boot中如何使用 Spring Validation?
示例环境:
- java版本: java21
- springboot版本:3.3.6
4.1 引入spring-boot-starter-validation依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-validation</artifactId>
</dependency>
引入后入图,可以看到使用的是hibernate-validator的实现:
4.2 使用Bean Validation 注解
public class LoginDTO {
@Schema(title = "用户名")
//添加校验注解
@NotBlank(message = "用户名不能为空")
@Pattern(regexp = "^[_0-9a-zA-z]{6,20}+$",message = "请输入6-20位数字、英文组合的用户名(不能以数字开头)")
private String username;
@Schema(title = "密码")
//添加校验注解
@NotBlank(message = "密码不能为空")
@Pattern(regexp ="^[a-zA-Z0-9]{6,20}+$",message ="请输入6-20位英文、数字组合密码" )
private String password;
}
4.3 定义控制器类并使用@Validated注解
1、实体类属性校验
@Tag(name = "登录")
@RestController
public class LoginController {
private LoginService loginService;
@Autowired
public void setLoginService(LoginService loginService) {
this.loginService = loginService;
}
@Operation(summary = "用户名密码登录")
@PostMapping("/login")
//使用@Validated注解开启校验
public ResponseResult<String> login(@Validated @RequestBody LoginVo loginVo) {
return loginService.login(loginVo.getUsername(), loginVo.getPassword());
}
}
2、方法参数/路径参数校验
@Tag(name="贷款记录")
@RestController
//需要在类上添加@Validated开启校验
@Validated
public class LoanRecordController {
private LoanRecordService loanRecordService;
@Autowired
public void setLoanRecordService(LoanRecordService loanRecordService) {
this.loanRecordService = loanRecordService;
}
@Operation(summary = "查询贷款记录详情")
@GetMapping("loan/getDetail/{id}")
//方法参数上添加校验注解
public ResponseResult<LoanRecordEntity> getDetail(@PathVariable("id") @Size(10) Long id) {
return loanRecordService.getOne(id);
}
}
4.4 定义全局异常处理器
@ControllerAdvice
@ResponseBody
public class GlobalExceptionHandler {
@ExceptionHandler(value = {MethodArgumentNotValidException.class})
public ResponseResult<Object> methodArgumentNotValidExceptionHandler(MethodArgumentNotValidException e) {
StringBuilder message = new StringBuilder();
BindingResult bindingResult = e.getBindingResult();
for (FieldError fieldError : bindingResult.getFieldErrors()) {
String msg = fieldError.getDefaultMessage();
message.append(msg).append("|");
}
return ResponseResult.userErrorParam(message.substring(0, message.length() - 1));
}
@ExceptionHandler(value = ConstraintViolationException.class)
public ResponseResult<Object> constraintViolationException(ConstraintViolationException e) {
return ResponseResult.userErrorParam(e.getMessage());
}
}
5、Spring Boot Validation核心机制解析
5.1 校验注解的运行时实现
以@Email注解为例,其底层通过Hibernate Validator的EmailValidator类实现。校验执行时,ConstraintValidator接口的initialize()和isValid()方法形成校验生命周期:
public class EmailValidator implements ConstraintValidator<Email, String> {
private Pattern pattern;
@Override
public void initialize(Email constraintAnnotation) {
pattern = Pattern.compile("^[A-Za-z0-9+_.-]+@(.+)$");
}
@Override
public boolean isValid(String value, ConstraintValidatorContext context) {
return value != null && pattern.matcher(value).matches();
}
}
5.2 校验触发机制
Spring MVC通过MethodValidationPostProcessor对@Validated注解的类进行AOP代理,在方法调用时通过MethodValidationInterceptor执行参数校验。关键源码片段:
public class MethodValidationInterceptor implements MethodInterceptor {
private final Validator validator;
public Object invoke(MethodInvocation invocation) throws Throwable {
// 参数校验逻辑
Set<ConstraintViolation<Object>> result = validator.forExecutables()
.validateParameters(...);
if (!result.isEmpty()) {
throw new ConstraintViolationException(result);
}
return invocation.proceed();
}
}
6、企业级校验方案设计
6.1 智能分组校验策略
通过 groups 参数实现不同场景的差异化校验:
@Data
public class LoanRecordVo {
@Schema(title = "贷款ID")
@NotNull(groups = UpdateGroup.class,message = "贷款ID不能为空")
private Long id;
}
@Operation(summary = "保存贷款记录")
@PostMapping("loan/save")
public ResponseResult<Boolean> save(@Validated @RequestBody LoanRecordVo loanRecordVo) {
return loanRecordService.save(loanRecordVo);
}
@Operation(summary = "修改贷款记录")
@PostMapping("loan/update")
public ResponseResult<Boolean> update(@Validated(UpdateGroup.class) @RequestBody LoanRecordVo loanRecordVo) {
return loanRecordService.update(loanRecordVo);
}
6.2 组合校验策略
1、多约束叠加:
public class Order {
@NotNull
@Size(min = 1, max = 10)
private List<Product> items;
}
2、级联校验(嵌套对象):
public class Department {
@Valid // 触发嵌套校验
private Manager manager;
}
6.3 错误消息模板
所有注解均支持动态参数注入:
@Size(min = 6, max = 20,
message = "{password.size.invalid}") // 从资源文件读取
private String password;
资源文件示例 ValidationMessages.properties(固定文件名):
password.size.invalid=密码长度必须在{min}到{max}个字符之间
6.4 自定义校验注解设计
在大多数项目中,无论是 Bean Validation 定义的约束,还是 Hibernate Validator 附加的约束,都是无法满足我们复杂的业务场景。所以,我们需要自定义约束。
开发自定义约束一共只要三步:
- 编写自定义约束的注解;
- 编写自定义的校验器 ConstraintValidator ;
- 使用自定义注解;
下面,就让我们一起来实现一个自定义约束,用于校验参数必须在枚举值的范围内。
第一步:自定义注解
@Documented
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = EnumValidator.class)
public @interface CheckEnum {
boolean required() default true;
String message();
Class<? extends BaseEnum> enumClass();
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
}
第二步:编写自定义校验器
public class EnumValidator implements ConstraintValidator<CheckEnum, Object> {
private boolean required;
private List<Object> valueList;
@Override
public void initialize(CheckEnum constraintAnnotation) {
required = constraintAnnotation.required();
Class<? extends BaseEnum> enumClass= constraintAnnotation.enumClass();
BaseEnum[] enumConstants = enumClass.getEnumConstants();
valueList = Arrays.asList(enumConstants);
}
@Override
public boolean isValid(Object value, ConstraintValidatorContext constraintValidatorContext) {
if (null==value) {
return !required;
}
return valueList.contains(value);
}
}
第三步:使用自定义注解
@Data
public class LoginVo {
@Schema(title = "设备类型")
@CheckEnum(enumClass = DeviceEnum.class,message = "不支持的设备类型")
private DeviceEnum device;
}
6.5 全局异常拦截器
@ControllerAdvice
@ResponseBody
public class GlobalExceptionHandler {
@ExceptionHandler(value = {MethodArgumentNotValidException.class})
public ResponseResult<Object> methodArgumentNotValidExceptionHandler(MethodArgumentNotValidException e) {
StringBuilder message = new StringBuilder();
BindingResult bindingResult = e.getBindingResult();
for (FieldError fieldError : bindingResult.getFieldErrors()) {
String msg = fieldError.getDefaultMessage();
message.append(msg).append("|");
}
return ResponseResult.userErrorParam(message.substring(0, message.length() - 1));
}
@ExceptionHandler(value = ConstraintViolationException.class)
public ResponseResult<Object> constraintViolationException(ConstraintViolationException e) {
return ResponseResult.userErrorParam(e.getMessage());
}
}
@ControllerAdvice 注解用于处理 controller层发生的异常;
@ExceptionHandler 用于处理指定的异常
当发生参数校验异常时会抛出MethodArgumentNotValidException, 通过异常的BindingResult 类获取异常对应的字段注解消息。
7、性能优化与最佳实践
通过JMeter对不同校验方式进行压测(样本量10万次):
| 校验方式 | 平均响应时间(ms) | 吞吐量(req/s) |
|---|---|---|
| 基础注解校验 | 45 | 2200 |
| 自定义注解校验 | 52 | 1900 |
| 编程式校验 | 38 | 2600 |
| 嵌套对象校验 | 68 | 1500 |
优化建议:
- 避免超过3层的对象嵌套校验
- 对高频接口采用编程式校验
- 使用@Validated替代多个@Valid注解
扫一扫
2391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
