spring boot后端参数校验
备注:shigendemo 2022年06月16日
原文链接:点击阅读原文
1.问题情境
2021年的9月我开始书写我的demo项目,并在老师的帮助下于9月28日成功的上线项目。国庆之后发现系统中出现了非法的数据,如:用户的头像不是一个图片名称…我自认为自己的前端写的没啥问题,只有在表单的数据验证之后才会往后端提交数据。
2.如何发现
我在操场奔跑的时候忽然想到了暑假在一家公司实习的时候做了接口测试,只用获得token(前后端的身份认证)即可调用接口传参数,我记得当初写的一个脚本帮助大数据那边的调用系统接口获得数据:
那么这次我遇到了高手,他懂得如何的接口测试。我的前端做了一次参数的校验,但是后端照样需要一次数据校验才能保证到数据库的数据是合法的、安全的。
3.解决办法
采用了javax和hibernate提供的注解解决,详见【4.学习总结】
4.学习总结
数据的验证必须前端和后端都要处理,保证数据的合法性和安全性。
使用如下:
@Data
@Accessors(chain = true)
public class User {
/**
* 自增的id
*/
@NotNull(message = "修改时必须指定id")
private Long id;
/**
* 用户名
*/
@NotBlank(message = "用户名必须提交")
private String username
}
4.1 自定义异常兜底
主要是用来处理数据验证异常和自定义也无异常一级兜底的异常
/**
* 全局异常处理
*/
@RestControllerAdvice
@Slf4j
public class WebExceptionHandler extends RuntimeException {
/**
* requestBody 实体类形式接受参数验证
**/
@ExceptionHandler(MethodArgumentNotValidException.class)
@ResponseBody
public Result<String> validationErrorHandler(MethodArgumentNotValidException ex) {
String message = ex.getBindingResult().getAllErrors().stream()
.map(DefaultMessageSourceResolvable::getDefaultMessage).collect(Collectors.joining());
return Result.err(message);
}
/**
* 统一处理请求参数校验(实体对象传参)
**/
@ExceptionHandler(ValidationException.class)
@ResponseBody
public Result<String> validationErrorHandler(BindException ex) {
String message = ex.getBindingResult().getAllErrors().stream()
.map(DefaultMessageSourceResolvable::getDefaultMessage).collect(Collectors.joining());
log.error(message);
return Result.err(message);
}
/**
* RequestParam 接受参数验证
**/
@ExceptionHandler(ConstraintViolationException.class)
@ResponseBody
public Result<String> validationErrorHandler(ConstraintViolationException ex) {
String message = ex.getConstraintViolations().stream().map(ConstraintViolation::getMessage)
.collect(Collectors.joining());
return Result.err(message);
}
/**
* 默认异常处理,前面未处理
**/
@ExceptionHandler(Exception.class)
public Result defaultHandler(Exception e) {
log.error("exception: {}", ExceptionUtil.stacktraceToString(e));
return Result.err("服务器错误");
}
}
4.2 自定义验证组
- 添加自定义的组接口
/**
* 添加数据时的验证规则
*
* @author shigenfu
* @date 2022/6/16 9:11 下午
*/
public interface AddGroup {
}
- 注解的使用
@Data
@Accessors(chain = true)
public class User {
/**
* 自增的id
*/
@Null(message = "新增时不能指定id", groups = {AddGroup.class})
@NotNull(message = "修改时必须指定id", groups = {UpdateGroup.class})
private Long id;
/**
* 用户名
*/
@NotBlank(message = "用户名必须提交", groups = {AddGroup.class, UpdateGroup.class})
private String username;
}
- 用在请求体参数的验证(只针对特定的组进行数据的验证)
4.3 自定义验证注解
- 自定义注解
可参照javax和 hibernate提供的注解
/**
* ListValue参数校验注解
*
* @author shigenfu
* @date 2022/6/16 9:46 下午
*/
@Documented
@Constraint(validatedBy = {ListValueConstraintValidator.class})
@Target({ElementType.METHOD, ElementType.FIELD, ElementType.ANNOTATION_TYPE, ElementType.CONSTRUCTOR, ElementType.PARAMETER, ElementType.TYPE_USE})
@Retention(RetentionPolicy.RUNTIME)
public @interface ListValue {
String message() default "{com.shigen.demo.annation.valid.ListValue.message}";
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
int[] values() default {};
}
- 自定义验证器
/**
* ListValueConstraintValidator
*
* @author shigenfu
* @date 2022/6/16 9:55 下午
*/
public class ListValueConstraintValidator implements ConstraintValidator<ListValue, Integer> {
private Set<Integer> set = new HashSet<>();
/**
* 初始化方法
*/
@Override
public void initialize(ListValue constraintAnnotation) {
int[] values = constraintAnnotation.values();
for (int value : values) {
set.add(value);
}
}
/**
* 判断是否校验成功
*/
@Override
public boolean isValid(Integer integer, ConstraintValidatorContext constraintValidatorContext) {
return set.contains(integer);
}
}
-
自定义message
-
使用
/**
* 是否删除
*/
@ListValue(values = {0, 1}, groups = AddGroup.class)
private Integer flag;
- 效果