参数校验通常是OpenApi必做的操作,其会对不合法的输入做统一的校验以防止恶意的请求。本文则对参数校验这方面作下简单的分析

spring.factories

读者应该对此文件加以深刻的印象,很多springboot整合第三方插件的方式均是从此配置文件去读取的,本文关注下检验方面的东西。在相应的文件搜索validation关键字,最终定位至ValidationAutoConfiguration类,笔者这就针对此类作主要的分析

ValidationAutoConfiguration

优先看下其头上的注解

@Configuration

@ConditionalOnClass(ExecutableValidator.class)

@ConditionalOnResource(resources = "classpath:META-INF/services/javax.validation.spi.ValidationProvider")

@Import(PrimaryDefaultValidatorPostProcessor.class)

使此类成功被注册的条件有两个,第一是当前环境下存在ExecutableValidator类,第二是当前类环境存在META-INF/services/javax.validation.spi.ValidationProvider文件。

通过查看maven依赖得知,其实springboot在引入starter-web板块便引入了hibernate-validator包,此包便满足了上述的两个要求。

笔者发现其也引入了PrimaryDefaultValidatorPostProcessor类,主要是判断当前的bean工厂是否已经包含了LocalValidatorFactoryBeanValidator对象,不影响大局。即使没有配置,下述的代码也是会注册的

	@Bean

	@Role(BeanDefinition.ROLE_INFRASTRUCTURE)

	@ConditionalOnMissingBean(Validator.class)

	public static LocalValidatorFactoryBean defaultValidator() {

		LocalValidatorFactoryBean factoryBean = new LocalValidatorFactoryBean();

		MessageInterpolatorFactory interpolatorFactory = new MessageInterpolatorFactory();

		factoryBean.setMessageInterpolator(interpolatorFactory.getObject());

		return factoryBean;

	}

	@Bean

	@ConditionalOnMissingBean

	public static MethodValidationPostProcessor methodValidationPostProcessor(

			Environment environment, @Lazy Validator validator) {

		MethodValidationPostProcessor processor = new MethodValidationPostProcessor();

		boolean proxyTargetClass = environment

				.getProperty("spring.aop.proxy-target-class", Boolean.class, true);

		processor.setProxyTargetClass(proxyTargetClass);

		processor.setValidator(validator);

		return processor;

	}

通过查阅代码得知,使用注解式的校验方式是通过添加@Validated注解来实现的,但是其作用于参数上还是类上是有不同的操作逻辑的。笔者将之区分开,方便后续查阅。先附上@Validated注解源码

@Target({ElementType.TYPE, ElementType.METHOD, ElementType.PARAMETER})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface Validated {

	/**

	 * Specify one or more validation groups to apply to the validation step

	 * kicked off by this annotation.

	 * <p>JSR-303 defines validation groups as custom annotations which an application declares

	 * for the sole purpose of using them as type-safe group arguments, as implemented in

	 * {@link org.springframework.validation.beanvalidation.SpringValidatorAdapter}.

	 * <p>Other {@link org.springframework.validation.SmartValidator} implementations may

	 * support class arguments in other ways as well.

	 */

	Class<?>[] value() default {};

}

类级别的校验

@Validated作用于类上,其相关的处理逻辑便是由MethodValidationPostProcessor来实现的,笔者稍微看下关键源码方法afterPropertiesSet()

	@Override

	public void afterPropertiesSet() {

		// 查找对应的类以及祖先类上是否含有@Validated注解

		Pointcut pointcut = new AnnotationMatchingPointcut(this.validatedAnnotationType, true);

		// 创建MethodValidationInterceptor处理类来处理具体的逻辑

		this.advisor = new DefaultPointcutAdvisor(pointcut, createMethodValidationAdvice(this.validator));

	}

上述的配置表明只要某个类上使用了@Validated注解,其相应的方法就会被校验相关的参数。笔者紧接着看下MethodValidationInterceptor#invoke()方法

	@Override

	@SuppressWarnings("unchecked")

	public Object invoke(MethodInvocation invocation) throws Throwable {

		// 读取相应方法上的@Validated的value属性,为空也是没问题的

		Class<?>[] groups = determineValidationGroups(invocation);

		// Standard Bean Validation 1.1 API

		ExecutableValidator execVal = this.validator.forExecutables();

		Method methodToValidate = invocation.getMethod();

		Set<ConstraintViolation<Object>> result;

		try {

			// ①校验参数

			result = execVal.validateParameters(

					invocation.getThis(), methodToValidate, invocation.getArguments(), groups);

		}

		catch (IllegalArgumentException ex) {

			// ②校验对应的桥接方法(兼容jdk1.5+后的泛型用法)的参数

			methodToValidate = BridgeMethodResolver.findBridgedMethod(

					ClassUtils.getMostSpecificMethod(invocation.getMethod(), invocation.getThis().getClass()));

			result = execVal.validateParameters(

					invocation.getThis(), methodToValidate, invocation.getArguments(), groups);

		}

		if (!result.isEmpty()) {

			throw new ConstraintViolationException(result);

		}

		// ③校验对应的返回值

		Object returnValue = invocation.proceed();

		result = execVal.validateReturnValue(invocation.getThis(), methodToValidate, returnValue, groups);

		if (!result.isEmpty()) {

			throw new ConstraintViolationException(result);

		}

		return returnValue;

	}

只要类上使用了@Validated注解,则其下的所有方法都会被校验。

检验规则如下:参数返回值都会被校验,只要某一个没有通过,则会抛出ConstraintViolationException异常以示警告。

具体的参数校验属于hibernate-validator的范畴了,感兴趣的读者可自行分析~

参数级别的校验(推荐)

@Validated注解作用于方法的参数上,其有关的校验则是被springmvc的参数校验器处理的。笔者在ModelAttributeMethodProcessor#resolveArgument()方法中查找到了相应的蛛丝马迹,列出关键的代码

	@Override

	@Nullable

	public final Object resolveArgument(MethodParameter parameter, @Nullable ModelAndViewContainer mavContainer,

			NativeWebRequest webRequest, @Nullable WebDataBinderFactory binderFactory) throws Exception {

		....

		Object attribute = null;

		BindingResult bindingResult = null;

		if (mavContainer.containsAttribute(name)) {

			attribute = mavContainer.getModel().get(name);

		}

		else {

			// Create attribute instance

			try {

				attribute = createAttribute(name, parameter, binderFactory, webRequest);

			}

			catch (BindException ex) {

				.....

			}

		}

		if (bindingResult == null) {

			WebDataBinder binder = binderFactory.createBinder(webRequest, attribute, name);

			if (binder.getTarget() != null) {

				if (!mavContainer.isBindingDisabled(name)) {

					bindRequestParameters(binder, webRequest);

				}

				// 就是这里

				validateIfApplicable(binder, parameter);

				if (binder.getBindingResult().hasErrors() && isBindExceptionRequired(binder, parameter)) {

					throw new BindException(binder.getBindingResult());

				}

			}

			// Value type adaptation, also covering java.util.Optional

			if (!parameter.getParameterType().isInstance(attribute)) {

				attribute = binder.convertIfNecessary(binder.getTarget(), parameter.getParameterType(), parameter);

			}

			bindingResult = binder.getBindingResult();

		}

		....

		return attribute;

	}

我们继续看下其下的validateIfApplicable()方法

	protected void validateIfApplicable(WebDataBinder binder, MethodParameter parameter) {

		// 对参数上含有@Validated注解的进行校验器解析

		Annotation[] annotations = parameter.getParameterAnnotations();

		for (Annotation ann : annotations) {

			Validated validatedAnn = AnnotationUtils.getAnnotation(ann, Validated.class);

                        // 兼容@Valid注解方式

			if (validatedAnn != null || ann.annotationType().getSimpleName().startsWith("Valid")) {

				Object hints = (validatedAnn != null ? validatedAnn.value() : AnnotationUtils.getValue(ann));

				Object[] validationHints = (hints instanceof Object[] ? (Object[]) hints : new Object[] {hints});

				binder.validate(validationHints);

				break;

			}

		}

	}

上述的代码已经很简明概要了,笔者就不展开了。当然如果用户想要在出现异常的时候进行友好的返回,建议参考springboot情操陶冶-web配置(五)的异常机制文章便可迎刃而解

小结

参数的校验一般都是结合spring-context板块内的@Validated注解搭配hibernate的校验器便完成了相应的检测功能。

经过笔者的测试,发现在类上使用@Validated注释基本没啥用,还是会依赖在参数上添加@Validated注解方可生效。

如果大家对此有什么补充欢迎留言,在此希望此篇对大家有所帮助

springboot情操陶冶-web配置(七)的更多相关文章

  1. springboot情操陶冶-web配置(九)

    承接前文springboot情操陶冶-web配置(八),本文在前文的基础上深入了解下WebSecurity类的运作逻辑 WebSecurityConfigurerAdapter 在剖析WebSecur ...

  2. springboot情操陶冶-web配置(四)

    承接前文springboot情操陶冶-web配置(三),本文将在DispatcherServlet应用的基础上谈下websocket的使用 websocket websocket的简单了解可见维基百科 ...

  3. springboot情操陶冶-web配置(二)

    承接前文springboot情操陶冶-web配置(一),在分析mvc的配置之前先了解下其默认的错误界面是如何显示的 404界面 springboot有个比较有趣的配置server.error.whit ...

  4. springboot情操陶冶-web配置(三)

    承接前文springboot情操陶冶-web配置(二),本文将在前文的基础上分析下mvc的相关应用 MVC简单例子 直接编写一个Controller层的代码,返回格式为json package com ...

  5. springboot情操陶冶-web配置(一)

    承接前文springboot情操陶冶-@SpringBootApplication注解解析,在前文讲解的基础上依次看下web方面的相关配置 环境包依赖 在pom.xml文件中引入web依赖,炒鸡简单, ...

  6. springboot情操陶冶-web配置(八)

    本文关注应用的安全方面,涉及校验以及授权方面,以springboot自带的security板块作为讲解的内容 实例 建议用户可直接路由至博主的先前博客spring security整合cas方案.本文 ...

  7. springboot情操陶冶-web配置(六)

    本文则针对数据库的连接配置作下简单的分析,方便笔者理解以及后续的查阅 栗子当先 以我们经常用的mybatis数据库持久框架来操作mysql服务为例 环境依赖 1.JDK v1.8+ 2.springb ...

  8. springboot情操陶冶-web配置(五)

    本文讲讲mvc的异常处理机制,方便查阅以及编写合理的异常响应方式 入口例子 很简单,根据之前的文章,我们只需要复写WebMvcConfigurer接口的异常添加方法即可,如下 1.创建简单的异常处理类 ...

  9. springboot情操陶冶-@SpringBootApplication注解解析

    承接前文springboot情操陶冶-@Configuration注解解析,本文将在前文的基础上对@SpringBootApplication注解作下简单的分析 @SpringBootApplicat ...

随机推荐

  1. JS for循环 if判断、white循环。小练习二

    假设一个简单的ATM机的取款过程是这样的:首先提示用户输入密码(password),最多只能输入三次,超过3次则提示用户“密码错误,请取卡”结束交易.如果用户密码正确,再提示用户输入取款金额(amou ...

  2. python操作git

    GitPython 是一个用于操作 Git 版本库的 python 包,它提供了一系列的对象模型(库 - Repo.树 - Tree.提交 - Commit等),用于操作版本库中的相应对象. 模块安装 ...

  3. vue 使用瞬间

    vue 使用瞬间 一, 图片类 <img :src="data.deptLogo | imgUrl" onerror="this.src='../img/headD ...

  4. vue 源码学习三 vue中如何生成虚拟DOM

    vm._render 生成虚拟dom 我们知道在挂载过程中, $mount 会调用 vm._update和vm._render 方法,vm._updata是负责把VNode渲染成真正的DOM,vm._ ...

  5. Eureka-Client(Golang实现)

    Eureka-Client Golang实现eureka-client 原理 根据Java版本的源码,可以看出client主要是通过REST请求来与server进行通信. Java版本的核心实现:co ...

  6. c++编译错误C2971:"std::array":array_size:包含非静态存储不能用作废类型参数;参见“std::array”的声明

    在Qt5中这段代码编写有两种方式:一个编译成功,一个失败 成功版本: static constexpr size_t block_size = 0x2000;//8KB static constexp ...

  7. iptables安装

    1.安装iptable iptable-service #先检查是否安装了iptables service iptables status #安装iptables yum install -y ipt ...

  8. JetBrains系列IDE快捷键大全(转载)

    编辑 快捷键组合 说明 Ctrl + Space 代码自动完成提示(选择) Alt + Enter 显示意图动作和快速修复 Ctrl + P 参数信息 (在调用方法参数忘记的时候,提示) Ctrl + ...

  9. unittest中的测试固件

    运行下面的两段代码,看看有什么不同? 第一段: import unittest from selenium import webdriver class F2(unittest.TestCase): ...

  10. boa调试

    Cannot access memory at address 0x0 0x400fc7e0 in ?? () 0 0x4014f0dc in wcscasecmp_l () from /lib/li ...