目录
一.JSR303
1.什么是JSR303
JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。 JSR-303 是JAVA EE 6 中的一项子规范,叫做Bean Validation,Hibernate Validator 是 Bean Validation 的参考实现 . Hibernate Validator 提供了 JSR 303 规范中所有内置 constraint(约束) 的实现,除此之外还有一些附加的 constraint
2.为什么使用JSR303
使用JSR 303(Bean Validation)有许多好处,它可以帮助开发人员轻松实施数据验证和约束,从而提高应用程序的质量和可维护性。
代码简洁性: JSR 303允许开发人员在JavaBean上使用注解来定义验证规则,使代码更加简洁、清晰和易于理解。验证规则与数据模型直接关联,不需要编写大量的自定义验证代码。
重用性: JSR 303提供了一组通用的验证注解,如@NotNull、@Size、@Email等,这些注解可以在不同的数据模型中重复使用,避免了重复编写验证逻辑的需要。
集成性: JSR 303可以轻松集成到Java EE 和 Spring 等常见的Java框架中,这意味着你可以在使用这些框架的项目中无缝地应用数据验证。例如,在Spring框架中,你可以使用
@Valid注解来触发Bean Validation验证。提高数据质量: 使用JSR 303可以确保数据在进入应用程序、存储到数据库、传输到客户端或用于其他用途之前是合法和有效的。这有助于防止无效、不一致或损坏的数据进入系统,提高了数据的质量和完整性。
减少错误和漏洞: 数据验证是防止应用程序中的许多常见错误和漏洞的关键。通过使用JSR 303进行验证,可以降低因输入错误或恶意输入而导致的安全漏洞的风险。
可扩展性: JSR 303允许开发人员创建自定义验证注解和验证器,以满足特定应用程序的需求。这使得你可以根据具体业务逻辑来定义自己的验证规则。
总之,JSR 303是Java中一种强大的数据验证机制,它使数据验证变得更加容易和一致,有助于提高应用程序的质量、可维护性和安全性,其最重要特性就是为了防止一些非法请求对后端进行攻击
3.JSR303常用注解
| 注解 | 说明 |
|---|---|
| @Null | 用于验证对象为null |
| @NotNull | 用于对象不能为null,无法查检长度为0的字符串 |
| @NotBlank | 只用于String类型上,不同于@NotNull的是,@NotBlank还会去掉前后空格后验证是否为空。 |
| @NotEmpty | 用于集合类、String类不能为null,且size>0。但是带有空格的字符串校验不出来 |
| @Size | 用于对象(Array,Collection,Map,String)长度是否在给定的范围之内 |
| @Length | 用于String对象的大小必须在指定的范围内 |
| @Pattern | 用于String对象是否符合正则表达式的规则 |
| 用于String对象是否符合邮箱格式 | |
| @Min | 用于Number和String对象是否大等于指定的值 |
| @Max | 用于Number和String对象是否小等于指定的值 |
| @AssertTrue | 用于Boolean对象是否为true |
| @AssertFalse | 用于Boolean对象是否为false |
@Validated与@Valid区别
@Validated:
-
Spring提供的
-
支持分组校验
-
可以用在类型、方法和方法参数上。但是不能用在成员属性(字段)上
-
由于无法加在成员属性(字段)上,所以无法单独完成级联校验,需要配合@Valid
@Valid:
-
JDK提供的(标准JSR-303规范)
-
不支持分组校验
-
可以用在方法、构造函数、方法参数和成员属性(字段)上
-
可以加在成员属性(字段)上,能够独自完成级联校验
4.快速入门
4.1导入Maven依赖
<!-- JSR303 -->
<hibernate.validator.version>6.0.7.Final</hibernate.validator.version>
<!-- JSR303 -->
<dependency>
<groupId>org.hibernate</groupId>
<artifactId>hibernate-validator</artifactId>
<version>${hibernate.validator.version}</version>
</dependency>4.2 配置校验规则
1.在模型类中校验属性是否为空
@NotNull(message = "书籍id不能为空")
private Integer bid;
@NotBlank(message = "书籍名称不能为空")
private String bname;
@NotBlank(message = "书籍价格不能为空")
private Float price;4.3 对服务端数据添加进行校验
在服务端中进行校验,校验的模型的属性中出现错误,则将错误信息的属性进行遍历添加到map集合中并保存起来回显到前端,需要注意的是,注解@validated保存的是校验时的参数,最终校验的结果保存在BindingResult中
// 给数据添加服务端校验
@RequestMapping("/valiAdd")
public String valiAdd(@Validated HBook hBook, BindingResult result, HttpServletRequest req){
// 如果服务端验证不通过,有错误
if(result.hasErrors()){
// 服务端验证了实体类的多个属性,多个属性都没有验证通过
List<FieldError> fieldErrors = result.getFieldErrors();
Map<String,Object> map = new HashMap<>();
for (FieldError fieldError : fieldErrors) {
// 将多个属性的验证失败信息输送到控制台
System.out.println(fieldError.getField() + ":" + fieldError.getDefaultMessage());
map.put(fieldError.getField(),fieldError.getDefaultMessage());
}
req.setAttribute("errorMap",map);
}else {
this.hBookbiz.insertSelective(hBook);
return "redirect:list";
}
return "book/edit";
}4.4 结果测试
1.当我们在表单中不添加参数直接进行提交,按正常情况会报出空指针异常,但是在进行后端校验后
2.会将错误信息回显到前端,同时,也将错误信息打印在控制台
注意点:
这时候我们肯定会疑问,这不和前端验证也差不多嘛,他们的区别在于,我们进行前端验证时大多使用的是JS语法,但是有时候安全系数不高,不法分子会通过一些手段可以直接绕过前端验证进行发送请求,这个时候后端验证的优势就体现出来了,在实际开发过程中,不管是前端校验还是后端校验,都要在网页中进行实现,前端验证主要是给我们的程序所面向的客户所使用,而后端验证更像是保护我们的程序,提高安全性
二.拦截器
1.什么是拦截器
SpringMVC的处理器拦截器,类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。依赖于web框架,在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个 controller生命周期之内可以多次调用。
2.拦截器与过滤器
什么是过滤器(Filter)
依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等。
拦截器与过滤器的区别
-
过滤器(filter)
1.filter属于Servlet技术,只要是web工程都可以使用
2.filter主要由于对所有请求过滤
3.filter的执行时机早于Interceptor
-
拦截器(interceptor)
1.interceptor属于SpringMVC技术,必须要有SpringMVC环境才可以使用
2.interceptor通常由于对处理器Controller进行拦截
3.interceptor只能拦截dispatcherServlet处理的请求
3.应用场景
-
日志记录:记录请求信息的日志,以便进行信息监控、信息统计、计算PV(Page View)等。
-
权限检查:如登录检测,进入处理器检测是否登录,如果没有直接返回到登录页面;
-
性能监控:有时候系统在某段时间莫名其妙的慢,可以通过拦截器在进入处理器之前记录开始时间,在处理完后记录结束时间,从而得到该请求的处理时间(如果有反向代理,如apache可以自动记录);
-
通用行为:读取cookie得到用户信息并将用户对象放入请求,从而方便后续流程使用,还有如提取Locale、Theme信息等,只要是多个Controller中的处理方法都需要的,我们就可以使用拦截器实现。
4.基本拦截器配置
在当前Java目录下新建一个interceptor包,创建拦截器类
1.
package com.YU.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class OneInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("【OneInterceptor】:preHandle...");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("【OneInterceptor】:postHandle...");
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("【OneInterceptor】:afterCompletion...");
}
}2.
package com.YU.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class TwoInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("【TwoInterceptor】:preHandle...");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("【TwoInterceptor】:postHandle...");
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("【TwoInterceptor】:afterCompletion...");
}
}然后在我们的spring-mvc.xml配置文件中配置多拦截器
<mvc:interceptors>
<!--2) 多拦截器(拦截器链)-->
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.YU.interceptor.OneInterceptor"/>
</mvc:interceptor>
<mvc:interceptor>
<mvc:mapping path="/clz/**"/>
<bean class="com.YU.interceptor.TwoInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>5 案例演示(模拟登录请求拦截)
5.1配置拦截器
实现思路:在当前拦截器中首先判断是否为登录或者退出中的操作的一种,如果是那么进行下一步操作进入登录页面,在登录页面中获取表单提交的数据,判断登录信息是否保存到session中,如果session存在,那么就跳转到主页面中,如果session不存在,那么就对其进行拦截重定向到登录页面
package com.YU.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("【implements】:preHandle...");
StringBuffer url = request.getRequestURL();
if (url.indexOf("/login") > 0 || url.indexOf("/logout") > 0){
// 如果是 登录、退出 中的一种
return true;
}
// 代表不是登录,也不是退出
// 除了登录、退出,其他操作都需要判断是否 session 登录成功过
String uname = (String) request.getSession().getAttribute("uname");
if (uname == null || "".equals(uname)){
response.sendRedirect("/page/login");
return false;
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}5.2.编写controller层
这里我们做了登录和退出的方法,登录时,登录信息准确,则将其保存到session中,并返回主页面,退出时则将session进行销毁,在登录时信息不准确会被拦截器拦截
package com.YU.web;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
/**
* @author YU
* @create 2023-09-12 10:09
*/
@Controller
public class LoginController {
@RequestMapping("/login")
public String login(HttpServletRequest req){
String uname = req.getParameter("uname");
HttpSession session = req.getSession();
if ("YU".equals(uname)){
session.setAttribute("uname",uname);
}
return "redirect:/book/list";
}
@RequestMapping("/logout")
public String logout(HttpServletRequest req){
req.getSession().invalidate();
return "redirect:/book/list";
}
}
5.3测试结果
我们在登录时信息不准确,会被拦截重定向回登录页面,
在信息准确时将登录信息保存到session中拦截器进行判断并放行进入主页面
当登录信息保存到session中时我们可以通过访问退出的方法,销毁session,这时会重定向到登录页面,需要重新登录,未保存session拦截器依然会对其进行拦截
6.拦截器的工作
原理
-
preHandle:用于对拦截到的请求进行预处理,方法接收布尔(true,false)类型的返回值,返回true:放行,false:不放行。
执行时机:在处理器方法执行前执行
方法参数
参数 说明 request 请求对象 response 响应对象 handler 拦截到的方法处理 -
postHandle:用于对拦截到的请求进行后处理,可以在方法中对模型数据和视图进行修改
执行时机:在处理器的方法执行后,视图渲染之前
方法参数
参数 说明 request 请求对象 response 响应对象 handler 拦截到的处理器方法 ModelAndView 处理器方法返回的模型和视图对象,可以在方法中修改模型和视图 -
afterCompletion:用于在整个流程完成之后进行最后的处理,如果请求流程中有异常,可以在方法中获取对象
执行时机:视图渲染完成后(整个流程结束之后)
方法参数
参数 说明 request 请求参数 response 响应对象 handler 拦截到的处理器方法 ex 异常对象
今天的学习到这里就结束了,感谢各位大大的观看,各位大大的三连是博主更新的动力,感谢谢谢谢谢谢谢谢谢各位的支持!!!!!
395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
