项目中,通常使用较多的是前端的校验,比如页面中js校验以及form表单使用bootstrap校验。然而对于安全要求较高点建议在服务端进行校验。
服务端校验:
- 控制层controller:校验页面请求的参数的合法性。在服务端控制层controller校验,不区分客户端类型。
- 业务层service(使用较多):主要校验关键业务参数,仅限于service接口中使用的参数。
- 持久层dao:一般是不校验的。
环境集成
1、添加jar包:
此处使用hibernate-validator实现(版本:hibernate-validator-4.3.0.Final-dist.zip),将如下jar包添加到classpath(WEB-INF/lib下即可):
- dist/lib/required/validation-api-1.0.0.GA.jar JSR-303规范API包
- dist/hibernate-validator-4.3.0.Final.jar Hibernate 参考实现
2、在spring配置总添加对JSR-303验证框架的支持
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
<!-- 校验错误信息配置文件 -->
< bean id = "messageSource"
class = "org.springframework.context.support.ReloadableResourceBundleMessageSource" >
<!-- 资源文件名-->
< property name = "basenames" >
< list >
< value >classpath:CustomValidationMessages</ value >
</ list >
</ property >
<!-- 资源文件编码格式 -->
< property name = "fileEncodings" value = "utf-8" />
<!-- 对资源文件内容缓存时间,单位秒 -->
< property name = "cacheSeconds" value = "120" />
</ bean >
|
1
2
3
4
5
6
7
8
|
<!-- 校验器 -->
< bean id = "validator"
class = "org.springframework.validation.beanvalidation.LocalValidatorFactoryBean" >
<!-- hibernate校验器-->
< property name = "providerClass" value = "org.hibernate.validator.HibernateValidator" />
<!-- 指定校验使用的资源文件,在文件中配置校验错误信息,如果不指定则默认使用classpath下的ValidationMessages.properties -->
< property name = "validationMessageSource" ref = "messageSource" />
</ bean >
|
自动注册validator
1
2
|
< mvc:annotation-driven conversion-service = "conversionService" validator = "validator" >
</ mvc:annotation-driven >
|
例子说明
例子一:
1
2
3
4
5
|
import javax.validation.constraints.NotNull;
public class UserModel {
@NotNull (message= "{username.not.empty}" )
private String username;
}
|
通过@NotNull指定此username字段不允许为空,当验证失败时将从之前指定的messageSource中获取“username.not.empty”对于的错误信息,此处只有通过“{错误消息键值}”格式指定的才能从messageSource获取。
1
2
3
4
5
6
7
8
9
10
11
|
@Controller
public class HelloWorldController {
@RequestMapping ( "/validate/hello" )
public String validate( @Valid @ModelAttribute ( "user" ) UserModel user, Errors errors) {
if (errors.hasErrors()) {
return "validate/error" ;
}
return "redirect:/success" ;
}
}
|
通过在命令对象上注解@Valid来告诉Spring MVC此命令对象在绑定完毕后需要进行JSR-303验证,如果验证失败会将错误信息添加到errors错误对象中。
验证失败后需要展示的页面(/WEB-INF/jsp/error.jsp)
1
2
3
4
5
6
|
<%@ page language= "java" contentType= "text/html; charset=UTF-8" pageEncoding= "UTF-8" %>
<% @taglib prefix= "form" uri= "http://www.springframework.org/tags/form" %>
<form:form commandName= "user" >
<form:errors path= "*" cssStyle= "color:red" ></form:errors><br/>
</form:form>
|
在浏览器地址栏中输入http://localhost:8080/validate/hello,即没有username数据,请求后将直接到验证失败界面并显示错误消息“用户名不能为空”,如果请求时带上“?username=zhang”将重定向到成功页面。
例子二:
1
2
3
4
5
6
7
8
9
10
|
public class Items {
private Integer id;
@Size (min= 1 ,max= 20 ,message= "{items.name.length.error}" )
private String name;
@NotNull (message= "{items.createtime.isNULL}" )
private Date createtime;
省略set()和get()...
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
public String editItemsSubmit(Model model, @Validated Items items,
BindingResult bindingResult) throws Exception {
if (bindingResult.hasErrors()){
List<ObjectError> allErrors = bindingResult.getAllErrors();
for (ObjectError objectError:allErrors) {
System.out.println(objectError.getDefaultMessage());
}
//可以直接使用model将提交pojo回显到页面
model.addAttribute( "items" ,items);
// 出错重新到商品修改页面
return "items/editItems" ;
}
return "success" ;
}
|
1
2
3
4
5
6
7
8
9
|
< table width = "100%" border = 1 >
< tr >
< td >商品名称</ td >
< td >< form:input type = "text" path = "items.name" value = "${items.name }" /></ td >< form:errors path = "items.name" />
</ tr >
< tr >
< td >商品生产日期</ td >
< td >< input type = "text" name = "createtime" value = "<fmt:formatDate value=" ${items.createtime}" pattern = "yyyy-MM-dd HH:mm:ss" />"/></ td >
</ tr >
|
然后jsp页面还是之前的页面,并能显示输入不合法的并通过<form:errors path="items.name"/>显示出来,这样明显更加简单。
当我们配置了messageSource Bean时,默认将为验证的对象自动生成如下错误消息键:
- 验证错误注解简单类名.验证对象名.字段名
- 验证错误注解简单类名.字段名
- 验证错误注解简单类名.字段类型全限定类名
- 验证错误注解简单类名
使用的优先级是:从高到低,即最前边的具有最高的优先级,而且以上所有默认的错误消息键优先级高于自定义的错误消息键。
如测试用例
public String pattern(@Valid @ModelAttribute(“model”) PatternModel model, Errors errors)
将自动产生如下错误消息键:
- Pattern.model.value=验证错误注解简单类名.验证对象名.字段名
- Pattern.value=验证错误注解简单类名.字段名
- Pattern.Java.lang.String=验证错误注解简单类名.字段类型全限定类名
- Pattern=验证错误注解简单类名
内置的验证约束注解如下表所示(摘自hibernate validator reference):
验证注解 | 验证的数据类型 | 说明 |
---|---|---|
@AssertFalse | Boolean,boolean | 验证注解的元素值是false |
@AssertTrue | Boolean,boolean | 验证注解的元素值是true |
@NotNull | 任意类型 | 验证注解的元素值不是null |
@Null | 任意类型 | 验证注解的元素值是null |
@Min(value=值) | BigDecimal,BigInteger, byte, short, int, long,等任何Number或CharSequence(存储的是数字)子类型 | 验证注解的元素值大于等于@Min指定的value值 |
@Max(value=值) | 和@Min要求一样 | 验证注解的元素值小于等于@Max指定的value值 |
@DecimalMin(value=值) | 和@Min要求一样 | 验证注解的元素值大于等于@ DecimalMin指定的value值 |
@DecimalMax(value=值) | 和@Min要求一样 | 验证注解的元素值小于等于@ DecimalMax指定的value值 |
@Digits(integer=整数位数, fraction=小数位数) | 和@Min要求一样 | 验证注解的元素值的整数位数和小数位数上限 |
@Size(min=下限, max=上限) | 字符串、Collection、Map、数组等 | 验证注解的元素值的在min和max(包含)指定区间之内,如字符长度、集合大小 |
@Past | java.util.Date, java.util.Calendar; Joda Time类库的日期类型 | 验证注解的元素值(日期类型)比当前时间早 |
@Future | 与@Past要求一样 | 验证注解的元素值(日期类型)比当前时间晚 |
@NotBlank | CharSequence子类型 | 验证注解的元素值不为空(不为null、去除首位空格后长度为0),不同于@NotEmpty,@NotBlank只应用于字符串且在比较时会去除字符串的首位空格 |
@Length(min=下限, max=上限) | CharSequence子类型 | 验证注解的元素值长度在min和max区间内 |
@NotEmpty | CharSequence子类型、Collection、Map、数组 | 验证注解的元素值不为null且不为空(字符串长度不为0、集合大小不为0) |
@Range(min=最小值, max=最大值) | BigDecimal,BigInteger,CharSequence, byte, short, int, long等原子类型和包装类型 | 验证注解的元素值在最小值和最大值之间 |
@Email(regexp=正则表达式,flag=标志的模式) | CharSequence子类型(如String) | 验证注解的元素值是Email,也可以通过regexp和flag指定自定义的email格式 |
@Pattern(regexp=正则表达式,flag=标志的模式) | String,任何CharSequence的子类型 | 验证注解的元素值与指定的正则表达式匹配 |
@Valid | 任何非原子类型 | 指定递归验证关联的对象;如用户对象中有个地址对象属性,如果想在验证用户对象时一起验证地址对象的话,在地址对象上加@Valid注解即可级联验证 |
此处只列出Hibernate Validator提供的大部分验证约束注解,请参考hibernate validator官方文档了解其他验证约束注解和进行自定义的验证约束注解定义。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持服务器之家。
原文链接:http://blog.csdn.net/bear_wr/article/details/52367928