如何在项目中优雅的校验参数_新项目方法验证

本文看点

前言

验证数据是贯穿所有应用程序层(从表示层到持久层)的常见任务。通常在每一层实现相同的验证逻辑，这既费时又容易出错。为了避免重复这些验证，开发人员经常将验证逻辑直接捆绑到域模型中，将域类与验证代码混在一起，这些验证代码实际上是关于类本身的元数据，与业务逻辑不相关。

JSR 380——Bean Validation2.0——定义了用于实体和方法验证的元数据模型和API，将数据校验逻辑通过注解的形式封装在实体对象中。

1.关于JSR

JSR是Java Specification Requests的缩写，意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR，以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。

JSR-303 是JAVA EE 6 中的一项子规范，后来的版本是Bean Validation 1.1（JSR-349），目前最新版本是Bean Validation 2.0（JSR-380），Hibernate Validator 是 Bean Validation 的参考实现 ，除了Jakarta Bean验证API定义的约束之外，Hibernate Validator还有一些附加的 constraint；并且spring-boot-starter-web默认集成了Hibernate Validator。（springboot2.3版本已经移除hibernate-validator的依赖，需要手动引入）

2.为什么使用Hibernate Validator

• 提高代码整洁度;
• 验证逻辑与业务逻辑之间进行了分离，降低了程序耦合度；
• 统一且规范的验证方式，无需你再次编写重复的验证代码；
• 你将更专注于你的业务，将这些繁琐的事情统统丢在一边。

3.注解介绍

JSR 380内置常用注解

Hibernate Validator 附加的 constraint

注意

• @NotNull ：适用于任何类型被注解的元素，必须不能为NULL
• @NotEmpty ：适用于String、Collection、Map或者数组，不能为Null且长度或元素个数必须大于0
• @NotBlank：验证字符串非null，且trim后长度必须大于0

@Validated与@Valid的区别：

• @Validated注解是spring提供的，提供了一个分组功能，可以在入参验证时，根据不同的分组采用不同的验证机制。没有添加分组属性时，默认验证没有分组的验证属性（Default分组）；

• @Validated：可以用在类型、方法和方法参数上，但是不能用在成员属性（字段）上；

• @Validated： 用在方法入参上无法单独提供嵌套验证功能，也无法提示框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。

• @Valid：作为标准JSR-303规范，还没有吸收分组的功能；

• @Valid：可以用在方法、方法参数、构造函数、方法参数和成员属性（字段）上；

• @Valid加在方法参数时并不能够自动进行嵌套验证，而是用在需要嵌套验证类的相应字段上，来配合方法参数上@Validated或@Valid来进行嵌套验证。

4.使用

由于spring-boot-starter-web（springboot 2.3以下版本）依赖默认集成了Hibernate Validator，所以无需添加任何依赖和相关配置，只需要在项目中引入spring-boot-starter-web依赖即可（演示springboot版本为2.1.2.RELEASE），由于要用到@SafeHtml注解，这里需要加上jsoup的依赖。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
 <!-- 解析html片段-->
<dependency>
  <groupId>org.jsoup</groupId>
  <artifactId>jsoup</artifactId>
  <version>1.8.3</version>
</dependency>

Hibernate Validator有两种校验模式：

• 普通模式(会校验完所有的属性，然后返回所有的验证失败信息，默认是这个模式)

• 快速失败返回模式(只要有一个字段验证失败，就返回结果)

  在@Configuration Class中配置以下代码，将Validator设置为快速失败返回模式

  @Bean
      public Validator validator(){
          ValidatorFactory validatorFactory = Validation.byProvider( HibernateValidator.class)
                  .configure()
                  .addProperty( "hibernate.validator.fail_fast", "true" )
                  .buildValidatorFactory();
          Validator validator = validatorFactory.getValidator();
          return validator;
      }

a.对象校验

1.在对象中添加注解

@Data
public class User {
    //注解对静态变量不生效
    @NotBlank(message = "性别不能为空")
    private static String sex;

    @NotBlank(message = "姓名不能为空")
    @Size(min = 2,max = 5,message = "姓名长度不规范")
    private String name;

    @NotNull(message = "年龄不能为空")
    @Max(value = 30,message = "年龄超过最大值30")
    @Range(min=30,max=60)
    private Integer age;

    @DecimalMax(value = "108.88",message = "超过最大108.88",inclusive = false)
    private Double price;

    @Past(message = "生日不能大于当前日期")
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private LocalDateTime birthday;

    @Email(message = "电子邮箱格式不正确")
    private String email;

    @SafeHtml(message = "非法请求参数")
    private String content;
}

2.进入Controller对应方法，在需要校验的对象前添加@Valid注解即可（校验对静态变量不生效），在使用 @Valid 注解的参数后可以紧跟着一个 BindingResult 类型的参数，用于获取校验结果（将校验结果封装在BingdingResult对象中，不会抛出异常）

注意：@Valid 和 BindingResult 是一一对应的，如果有多个@Valid，那么每个@Valid后面跟着的BindingResult就是这个@Valid的验证结果，顺序不能乱

    //单个对象校验
    @PostMapping("user")
    //校验参数后边跟BindingResult,spring不会抛出异常,将校验结果封装在这个对象中
    public String person(@Valid User user,BindingResult bindingResult){
        System.out.println(user);
        StringBuilder sb = new StringBuilder();
        if(bindingResult.hasErrors()){
            List<ObjectError> allErrors = bindingResult.getAllErrors();
            for(ObjectError error:allErrors){
                sb.append(error.getDefaultMessage()+",");
            }
        }
        return sb.toString();
    }

3.如果此时去掉实体对象后面的BindingResult，如校验未通过会抛出BindException异常，需要在全局异常处理器中捕获并统一处理

4.全局异常处理器配置

@RestControllerAdvice
@Slfj
@AutoConfigurationPackage
public class GlobalExceptionHandler {
    //spring-context包里面的异常
    //实体对象前不加@RequestBody注解,单个对象内属性校验未通过抛出的异常类型
    @ExceptionHandler(BindingException.class)
    public ResponseEntity<ExceptionResponseVO> methodArguments(BindingException e){
        log.warn("throw BindingException,{}",e);
        return ResponseEntity.status(HttpStatus.BAD_REQUEST)
                .body(ExceptionResponseVO.error(NEError.INVALID_PARAMETER, e.getBindingResult().getFieldError().getDefaultMessage()));
    }

       //实体对象前不加@RequestBody注解,校验方法参数或方法返回值时,未校验通过时抛出的异常
    //Validation-api包里面的异常
    @ExceptionHandler(ValidationException.class)
    public ResponseEntity<ExceptionResponseVO> methodArguments(ValidationException e){
        log.warn("throw ValidationException,{}",e);
       return ResponseEntity.status(HttpStatus.BAD_REQUEST)            .body(ExceptionResponseVO.error(NEError.INVALID_PARAMETER,e.getCause().getMessage()));
    }

    //spring-context包里面的异常,实体对象前加@RequestBody注解,抛出的异常为该类异常
    //方法参数如果带有@RequestBody注解，那么spring mvc会使用RequestResponseBodyMethodProcessor      //对参数进行序列化,并对参数做校验
    @ExceptionHandler(MethodArgumentNotValidException.class)
    public ResponseEntity<ExceptionResponseVO> methodArguments(MethodArgumentNotValidException e){
        log.warn("throw MethodArgumentNotValidException,{}",e);
       return ResponseEntity.status(HttpStatus.BAD_REQUEST)
                .body(ExceptionResponseVO.error(NEError.INVALID_PARAMETER,                e.getBindingResult().getFieldError().getDefaultMessage()));
    }

    @ExceptionHandler(Exception.class)
    public ResponseEntity methodArguments(Exception e){
        log.warn("throw exception,{}",e);
        return ResponseEntity.badRequest().body(e.getMessage());
    }
}

b.级联校验

如果一个对象内部包含另一个对象作为属性，属性上加 @Valid，可以验证作为属性的对象内部的验证

@Data
public class User2 {
    @NotBlank(message = "姓名不能为空")
    private String name;
    @Max(value = 50,message = "年龄不能为空")
    private Integer age;
    @Valid
    @NotNull(message = "商品不能为空")
    private Goods goods;
}

@Data
public class Goods{
    @NotBlank(message = "商品名称不能为空")
    private String goodsName;
    @NotNull(message = "商品价格不能为空")
    private Double goodsPrice;
}

如果级联校验内元素的属性校验未通过，抛出
MethodArgumentNotValidException异常，注意在全局异常处理器捕获该异常并处理

//级联校验
 @PostMapping("cascade")
public String cascade(@Valid @RequestBody User2 user2){
     return "OK";
 }

c.容器元素校验

用来校验实体对象内集合中的元素，在容器泛型前加注解，可实现对容器单个元素的校验；如下：

@Data
public class User3 {
    @NotBlank(message = "姓名不能为空")
    private String name;
    @Max(value = 50,message = "年龄不能为空")
    private Integer age;

    @Valid
    @NotEmpty(message = "商品列表不能为空")
    private List<@NotNull(message = "商品不能为空") Goods> goodsList;
}

如果容器元素校验未通过，抛出异常
MethodArgumentNotValidException（与级联校验抛出的一样）

//容器元素校验
@PostMapping("container")
public String container(@Valid @RequestBody User3 user3){
    return "OK";
}

d.方法的校验

JSR 303标准定义接口ExecutableValidator，用来校验方法参数，Hibernate Validator实现了该接口（ValidatorImpl.class），不仅对Object的属性进行校验，还可以对方法参数、返回值、构造函数参数等进行校验；Spring 在此基础上进行了扩展，添加了
MethodValidationPostProcessor拦截器，通过AOP实现对方法的校验；此时抛出的异常是
javax.validation.ConstraintViolationException

注意 ：必须在Controller上面加上注解@Validated，否则校验规则无效

@RestController
@RequestMapping("validator")
@Validated
public class ValidatorController {
    @GetMapping("demo1")
    public String test1(@Range(min = 1,max = 999,message = "起始笔数超过区间范围")@RequestParam int pageIndex, @Range(min = 1,max = 999,message = "查询笔数超过区间范围"）@RequestParam int pageSize){
        return "ok";
    }
}

除了校验Controller方法外，也可校验Service（必须是单例的bean，否则不生效，因为方法参数校验逻辑底层用AOP来实现）等方法，用法如下：

@Service
@Validated
public class UserService {
    //校验方法参数
    public String queryUserName(@NotNull(message = "用户参数不能为空") User user){
        return user.getName();
    }

    //校验方法返回值
    @NotNull(message = "用户信息不存在")
    public User queryUser(User user){
        return null;
    }
}

e.分组校验的实现

分组

同一个校验规则，不可能适用于所有的业务场景，对每一个业务场景去编写一个校验规则，又显得特别冗余。实际上我们可以用到Hibernate-Validator的分组功能，达到对不同场景做出不同的校验逻辑，减少DTO对象的创建。

比如一个User对象，新增的时候不需要检验id（系统生成），修改的时候需要检验id属性，要想复用Class，就可以使用Hibernate Validator的分组。

实例代码：

@Data
public class UserGroup {
    @NotNull(message = "id不能为空",groups = UpdateUser.class)
    private Integer id;
    @NotBlank(message = "姓名不能为空",groups = AddUser.class)
    private String name;
    @NotNull(message = "年龄不能为空",groups = AddUser.class)
    private Integer age;

    public interface AddUser{}
    public interface UpdateUser{}
}

添加用户：在需要校验的对象前面加@Validated注解（不能使用@Valid注解），并配置分组class，此时AddUser的分组校验规则生效。

    //分组校验:添加用户
    @PostMapping("addUser")
    public String addUser(@Validated(UserGroup.AddUser.class) UserGroup userGroup){
        return "OK";
    }

修改用户：配置UpdateUser分组

    //分组校验:修改用户
    @PostMapping("updateUser")
    public String updateUser(@Validated(UserGroup.UpdateUser.class) UserGroup userGroup){
        return "OK";
    }

使用分组能极大的复用需要验证的Class信息，而不是按业务重复编写冗余的类。

注意：如果指定了校验组，则该属性将不再属于默认的校验组Default.class，则在省略校验组参数的情况下，将不会校验自定义校验组的属性。

组序列

除了按组指定是否验证之外，还可以指定组的验证顺序，前面组验证不通过的，后面组不进行验证；其中@GroupSequence提供组序列的形式进行顺序式校验，即先校验@Save分组的，如果校验不通过就不进行后续的校验分组了。我认为顺序化的校验，场景更多的是在业务处理类，例如联动的属性验证，值的有效性很大程度上不能从代码的枚举或常量类中来校验。

实例代码：

@Data
public class UserDTO {
    @NotNull(message = "id不能为空",groups = {UpdateUser.class})
    private Integer id;
    @NotBlank(message = "姓名不能为空",groups = {AddUser.class})
    private String name;
    @NotNull(message = "年龄不能为空",groups = {AddUser.class})
    private Integer age;
    @NotNull(message = "版本不能为空")//不配置goups，默认就是Default分组
    private Integer version;

    @GroupSequence({AddUser.class, UpdateUser.class, Default.class})
    public interface AddUpdateGroup{}
    public interface AddUser{}
    public interface UpdateUser{}
}

首先校验AddUser分组的注解，如果AddUser校验不通过，就不会去校验UpdateUser和Default的分组

@PostMapping("user")
public String saveUser(@Validated(UserDTO.AddUpdateGroup.class) UserDTO userDTO){
    userMapper.addUser(userDTO);
    return "ok";
}

5.自定义constraint

一般情况，自定义验证可以解决很多问题；某些业务场景下又需要做一些特别的参数校验，此时，我们可以实现validator的接口，自定义验证器。

创建自定义注解@Sex，该注解是放在字段上的，也可以根据业务场景放在方法或者Class上面）用于判断性别是否符合约束

@Target({ ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = SexConstraintValidator.class)
public @interface Sex {

    String message() default "性别参数有误";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default { };
}

创建自定义验证器

public class SexConstraintValidator
        implements ConstraintValidator<Sex,String> {
    /**
     * 性别约束逻辑
     * @param value
     * @param constraintValidatorContext
     * @return
     */
    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext) {
        //如果value为null,那么该校验规则不生效;可搭配@NotNull注解使用,更加灵活
        if(value == null){
            return true;
        }
        return "男".equals(value) || "女".equals(value);
    }
}

要验证的DTO对象

@Data
public class UserDTO {
    @NotNull(message = "id不能为空")
    private Integer id;
    @NotBlank(message = "姓名不能为空")
    private String name;
    @NotNull(message = "年龄不能为空")
    private Integer age;
    @NotNull(message = "版本不能为空")
    private Integer version;
    @Sex
    private String sex;
}

在UserDTO对象前加@Valid注解，可实现对性别字段的合法性校验，sex只能传入“男“或“女”。

这只是一个小例子，大家可以根据业务场景自定义参数校验器，例如敏感词校验、预防sql注入、js脚本攻击等等，都可以用自定义校验器来完成。