对于任何一个应用而言,客户端做的数据有效性验证都不是安全有效的,而数据验证又是一个企业级项目架构上最为基础的功能模块,这时候就要求我们在服务端接收到数据的时候也对数据的有效性进行验证。为什么这么说呢?往往我们在编写程序的时候都会感觉后台的验证无关紧要,毕竟客户端已经做过验证了,后端没必要在浪费资源对数据进行验证了,但恰恰是这种思维最为容易被别人钻空子。毕竟只要有点开发经验的都知道,我们完全可以模拟 HTTP 请求到后台地址,模拟请求过程中发送一些涉及系统安全的数据到后台,后果可想而知....
验证分两种:对封装的Bean进行验证 或者 对方法简单参数的验证。
说明:SpringBoot 中使用了 Hibernate-validate 校验框架作为支持
一、引入依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-validation</artifactId> </dependency> <!-- 这两个springboot包里面都包含hibernate-validator包,只要引入一个即可 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>
二、hibernate-validator常用注解
- @Valid:被注释的元素是一个对象,需要检查此对象的所有字段值
- @Validated :是@Valid 的一次封装,是Spring提供的校验机制使用。@Valid不提供分组功能@Null 被注释的元素必须为 null
- @NotNull:被注释的元素必须不为 null
- @Pattern(value) :被注释的元素必须符合指定的正则表达式
- @Size(min, max) :集合元素的数量必须在min和max之间
- @CreditCardNumber(ignoreNonDigitCharacters=): 字符串必须是信用卡号,按照美国的标准验证
- @Email: 字符串必须是Email地址
- @Length(min, max) :检查字符串的长度
- @NotBlank : 只能用于字符串不为null,并且字符串trim()以后length要大于0
- @NotEmpty : 字符串不能为null, 集合必须有元素
- @Range(min, max) :数字必须大于min, 小于max
- @SafeHtml(whitelistType=,additionalTags=) :字符串必须是安全的html, classpath中要有jsoup包
- @URL(protocol=,host=, port=, regexp=, flags=) : 字符串必须是合法的URL
- @AssertTrue :被注释的元素必须为 true
- @AssertFalse :被注释的元素必须为 false
- @DecimalMax(value=, inclusive=) :值必须小于等于(inclusive=true)/小于(inclusive=false)属性指定的值,也可以注释在字符串类型的属性上。
- @DecimalMin(value=, inclusive=) :值必须大于等于(inclusive=true)/小于(inclusive=false)属性指定的值,也可以注释在字符串类型的属性上。
- @Digits (integer, fraction) :数字格式检查。integer指定整数部分的最大长度,fraction指定小数部分的最大长度
- @Future : 时间必须是未来的
- @Past : 时间必须是过去的
- @Max(value=) : 值必须小于等于value指定的值。不能注解在字符串类型属性上。
- @Min(value=) : 值必须小于等于value指定的值。不能注解在字符串类型属性上。
- @ScriptAssert(lang=, script=, alias=) : 要有Java Scripting API 即JSR 223("Scripting for the JavaTM Platform")的实现
三、@Valid和@Validated的区别
@Valid是使用Hibernate validation的时候。
@Validated是使用Spring Validator校验机制(在spring-context依赖下)。
java的JSR303声明了@Valid这类接口,而Hibernate-validator对其进行了实现,@Validation对@Valid进行了二次封装,在使用上并没有区别,但在分组、注解位置、嵌套验证等功能上有所不同。
1. 注解位置上
@Validated:用在类型、方法和方法参数上。但不能用于成员属性(field)。
@Valid:可以用在方法、构造函数、方法参数和成员属性(field)上。
如果@Validated注解在成员属性上,则会报 不适用于field错误。
2. 分组校验
@Validated:提供分组功能,可以在参数验证时,根据不同的分组采用不同的验证机制。
@Valid:没有分组功能。