1 简述
Spring Boot 支持 JSR-303、Bean 验证框架,默认实现使用 Hibernate validator。只要在需要验证的参数上加上 @Validated 注解,Spring Boot 便会对参数进行验证,并把验证结果放在 BindingResult 中。
本文目的:
对 JSR-303 规定的验证注解进行简单了解使用;
开发定制的 Field 验证注解与对应的验证器;
编写类注解完成用户注册时保证两个密码一致的需求;
2 JSR-303
JSR-303 是 Java 的标准验证框架,已有的实现为 Hibernate validator。JSR-303 定义了一系列注解用来验证 Bean 的属性。
2.1 空检查
- @Null 验证对象是否为空
- @NotNull 验证对象不为空
- @NotBlank 验证字符串不为空或不是空字符串
- @NotEmpty 验证对象不为Null,或者集合不为空
2.2 长度检查
- @Size 验证对象长度,支持字符串,集合
- @Length 验证字符串大小(于 org.hibernate.validator.constraints 包中)
2.3 数值检查
- @Min 验证数字是否大于等于指定值
- @Max 验证数字是否小于等于指定值
- @Digits 验证数字是否符合指定的格式
- @Range 验证数字是否在指定的范围内
- @Negative 验证数字是否为负数
- @NegativeOrZero 验证数字是否小于等于0
- @Positive 验证数字是否为正数
- @PositiveOrZero验证数字是否大于等于0
- @DecimalMin 验证数字是否大于指定值
- @DecimalMax 验证数字是否小于等于指定值
注:@DecimalMax 跟 @Max 有相同的功能,区别在于 @DecimalMax 能接受 CharSequence 作为额外验证目标,这意味着它能处理大于 Long.MAX_VALUE 的字符串形式的目标,但这一特性也给编码埋下了隐患,如抛出 NumberFormatException 或者 IllegalArgumentException(xx does not represent a valid BigDecimal format);@DecimalMin 跟 @Min 的异同同上。
2.4 时间检查
- @Future 检查时间是否晚于现在
- @FutureOrPresent 检查时间是否非早于现在
- @Past 检查时间是否早于现在
- @PastOrPresent 检查时间是否非晚于现在
2.5 其他
- @Email 检查是否一个合法的邮箱地址
- @Pattern 检查是否符合指定的正则规则
3 在 MVC 中使用 @Validated
3.1 简单入门
3.1.1 编写
以下是一个包含了验证注解的 JavaBean
1 public class UserForm {
2 @NotNull
3 Long id;
4 @Size(min = 3, max = 8)
5 String name;
6 @Email
7 String email;
8 }通常,一个 JavaBean 在不同的业务逻辑会有不同的验证逻辑,对于更新的时候,id 必须不为 null,但增加的时候,id 必须是 null。
JSR-303 定义了 group 的概念,每个校验注解都必须支持。校验注解可以指定一个或者多个 group ,当Spring Boot校验对象的时候,需要指定上下文(interface),只有 group 匹配的时候,校验注解才能生效,因此上边的内容可以改为
1 public class UserForm {
2 public interface Add {
3 }
4
5 public interface Update {
6 }
7
8 @Null(groups = Add.class)
9 @NotNull(groups = Update.class)
10 Long id;
11
12 @Size(min = 3, max = 8, groups = {Add.class, Update.class})
13 String name;
14
15 @Email(groups = {Add.class, Update.class})
16 String email;
17 }上边的注解注解表示:
当上下文为 Add.class 时,@Null,@Length,@Email 生效;
当上下文为 Update.class时,@NotNull,@Length,@Email 生效;
在 Controller 中使用验证:
1 /**
2 * @author pancc
3 * @version 1.0
4 * @date 2019/11/2 16:52
5 */
6 @Controller
7 public class UserFormController {
8 private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();
9
10 @ResponseBody
11 @PostMapping("/add")
12 public String add(@Validated(UserForm.Add.class) UserForm userForm, BindingResult result) {
13 Map<String, String> errors = new HashMap<>(1);
14 if (result.hasErrors()) {
15 result.getAllErrors().forEach(objectError -> {
16 if (objectError instanceof FieldError) {
17 FieldError fieldError = ((FieldError) objectError);
18 errors.putIfAbsent(fieldError.getField(), fieldError.getDefaultMessage());
19 }
20 });
21 try {
22 return OBJECT_MAPPER.writeValueAsString(errors);
23 } catch (JsonProcessingException e) {
24 return "server errors";
25 }
26 } else {
27 return "success";
28 }
29 }
30 }上边的 Controller 将 HTTP 参数映射到 UserForm 中,并指定上下文为 Add.class,该参数使用了 @Validated 注解,将触发 Spring 的校验并将校验结果放在 BindingResult 对象中;
并且该方法在校验失败时将错误的 Field 名跟提示信息放在 Map 中返回;
3.1.2 测试
对3.1.1 中的代码进行测试,
测试例子1
测试例子2
测试例子3
3.1.3 完整的代码
1 /**
2 * @author pancc
3 * @version 1.0
4 * @date 2019/11/2 16:52
5 */
6 @Controller
7 public class UserFormController {
8 private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();
9
10 @ResponseBody
11 @PostMapping("/add")
12 public String add(@Validated(UserForm.Add.class) UserForm userForm, BindingResult result) {
13 Map<String, String> errors = collectErrors(result);
14 if (errors.size() != 0) {
15 try {
16 return OBJECT_MAPPER.writeValueAsString(errors);
17 } catch (JsonProcessingException e) {
18 return "server error";
19 }
20 }
21 return "success";
22 }
23
24 @ResponseBody
25 @PostMapping("/update")
26 public String update(@Validated(UserForm.Update.class) UserForm userForm, BindingResult result) {
27 Map<String, String> errors = collectErrors(result);
28 if (errors.size() != 0) {
29 try {
30 return OBJECT_MAPPER.writeValueAsString(errors);
31 } catch (JsonProcessingException e) {
32 return "server error";
33 }
34 }
35 return "success";
36 }
37
38
39
40
41 private Map<String, String> collectErrors(BindingResult result) {
42 Map<String, String> errors = new HashMap<>(1);
43 if (result.hasErrors()) {
44 result.getAllErrors().forEach(objectError -> {
45 if (objectError instanceof FieldError) {
46 FieldError fieldError = ((FieldError) objectError);
47 errors.putIfAbsent(fieldError.getField(), fieldError.getDefaultMessage());
48 }
49 });
50 }
51 return errors;
52 }
53 }
3.2 自定义验证
当 JSR-303 提供的校验注解不足时,就需要我们手动作参数验证或者自定义一个校验注解,比如我们需要禁止使用特定的字符串;
需要编写 @NotSpecificStringValue
1 /**
2 * @author pancc
3 * @date 2019/11/1 17:10
4 */
5
6 @Target({ElementType.TYPE, ElementType.ANNOTATION_TYPE})
7 @Retention(RetentionPolicy.RUNTIME)
8 @Constraint(validatedBy = {NotSpecificStringValueValidator.class})
9 @Documented
10 public @interface NotSpecificStringValue {
11 String message() default "{constraint.notSpecificStringValue.message}";
12
13 Class<?>[] groups() default {};
14
15 Class<? extends Payload>[] payload() default {};
16
17 String value();
18
19 @Target({ElementType.TYPE, ElementType.ANNOTATION_TYPE})
20 @Retention(RetentionPolicy.RUNTIME)
21 @Documented
22 @interface List {
23 NotSpecificStringValue[] value();
24 }
25 }与其验证类 NotSpecificStringValueValidator
1 /**
2 * @author pancc
3 * @version 1.0
4 * @date 2019/11/2 17:11
5 */
6 public class NotSpecificStringValueValidator implements ConstraintValidator<NotSpecificStringValue, String> {
7
8 /**
9 * 禁止使用的字符串
10 */
11 private String forbiddenValue;
12
13 @Override
14 public void initialize(NotSpecificStringValue constraintAnnotation) {
15 forbiddenValue = constraintAnnotation.value().toLowerCase();
16 }
17
18 @Override
19 public boolean isValid(String target, ConstraintValidatorContext context) {
20 return forbiddenValue != null && !forbiddenValue.contentEquals(target.toLowerCase());
21 }
22 }自此,我们可以修改原先的测试实体定义:
1 @NotSpecificStringValue(value = "admin",message = "不允许使用用户名:{value} ", groups = {Add.class, Update.class})
2 @Length(min = 3, max = 8, groups = {Add.class, Update.class})
3 String name;并做测试:
3.3 探索与发现
在使用中,发现 @Size 的 默认信息定义为 :
String message() default "{javax.validation.constraints.Size.message}";
在 hibernate-validator-6.0.17.Final.jar 包中,我们发现了配置文件 ValidationMessages_zh_CN.properties,javax.validation.constraints.Size.message 对应的值为 \u4e2a\u6570\u5fc5\u987b\u5728{min}\u548c{max}\u4e4b\u95f4 经,编码发现值为 长度需要在{min}和{max}之间,查阅 @Size 源码,发现 {min} 对应源码属性 min 的值,{max} 对应源码属性 max的值。
因此在 3.2 中,我们自定义信息块为:
message = "不允许使用用户名:{value} "
从而能够动态的打印提示信息(禁止的用户名);
此外,我们可以在 Validationmessages.properties 或者 Validationmessages_zh_cn.properties 文件(_zh_cn 代表中国本地化),并添加一行:constraint.notSpecificStringValue.message = 不允许使用用户名:{value},并需改测试实体类定义:
1 @NotSpecificStringValue(value = "admin", groups = {Add.class, Update.class})
2 @Length(min = 3, max = 8, groups = {Add.class, Update.class})
3 String name;效果与 3.2 中测试一致;
同样的,我们也可以设置 javax.validation.constraints.Size.message 的值,这样子就会覆盖Hibernate validator 默认的值;
另,参见 org.hibernate.validator.messageinterpolation.AbstractMessageInterpolator#DEFAULT_VALIDATION_MESSAGES
3.3 类层次校验注解
3.3.1 需求及编写
回到我们的主题上,我们最终需要编写一个验证注解,实现功能:检查用户注册时使用的密码跟确认密码是否一致。
在前面,我们使用和编写的都是 Filed 层次的验证注解,然而却很难实现跨字段验证。
一个最高效的解决方法是:实现一个 Class 层次的注解,并且依靠反射获得对应的两个字段的值。依照这个思路,我们编写的代码如下:
注解类 @FieldMatch
1 /**
2 * 验证两个字段的值是否相等,常见于注册时输入两个密码
3 *
4 * @author pancc
5 * @version 1.0
6 * @date 2019/11/2 17:40
7 */
8 @Target({TYPE, ANNOTATION_TYPE})
9 @Retention(RUNTIME)
10 @Constraint(validatedBy = FieldMatchValidator.class)
11 @Documented
12 public @interface FieldMatch {
13 String message() default "{constraints.fieldmatch.message}";
14
15 Class<?>[] groups() default {};
16
17 Class<? extends Payload>[] payload() default {};
18
19 /**
20 * 需要验证的第一字段的字段名<code>String password</code> 中的 <code>password</code>
21 *
22 * @return 第一字段的字段名
23 */
24 String first();
25 /**
26 * 需要验证的第二字段的字段名<code>String confirmPassword</code> 中的 <code>confirmPassword</code>
27 *
28 * @return 第一字段的字段名
29 */
30 String second();
31
32
33 @Target({TYPE, ANNOTATION_TYPE})
34 @Retention(RUNTIME)
35 @Documented
36 @interface List {
37 FieldMatch[] value();
38 }
39 }验证器 FieldMatchValidator
1 /**
2 * {@link FieldMatch} 验证器
3 *
4 * @author pancc
5 * @version 1.0
6 * @date 2019/11/2 14:50
7 */
8 public class FieldMatchValidator implements ConstraintValidator<FieldMatch, Object> {
9
10 private String firstFieldName;
11 private String secondFieldName;
12
13 @Override
14 public void initialize(final FieldMatch constraintAnnotation) {
15 firstFieldName = constraintAnnotation.first();
16 secondFieldName = constraintAnnotation.second();
17 }
18
19 @Override
20 public boolean isValid(final Object src, final ConstraintValidatorContext context) {
21 BeanWrapperImpl wrapper = new BeanWrapperImpl(src);
22 Object firstObj = wrapper.getPropertyValue(firstFieldName);
23 System.out.println("firstObj = " + firstObj);
24 Object secondObj = wrapper.getPropertyValue(secondFieldName);
25 System.out.println("secondObj = " + secondObj);
26
27 return firstObj != null && firstObj.equals(secondObj);
28 }
29 }3.3.2 测试
3.3.2.1 单注解测试
我们的测试类需要做一些修改,这次,验证注解在类上
1 /**
2 * @author pancc
3 * @version 1.0
4 * @date 2019/11/2 14:49
5 */
6 @FieldMatch(first = "password", second = "confirmPassword", groups = UserForm.Add.class)
7 @Data
8 public class UserForm {
9 public interface Add {
10 }
11
12 public interface Update {
13 }
14
15 @Null(groups = Add.class)
16 @NotNull(groups = Update.class)
17 Long id;
18
19 @NotSpecificStringValue(value = "admin", groups = {Add.class, Update.class})
20 @Size(min = 3, max = 8, groups = {Add.class, Update.class})
21 String name;
22
23 @Email(groups = {Add.class, Update.class})
24 String email;
25
26
27 String password;
28
29 String confirmPassword;
30
31
32 }需要注意的是,在 3.1.3 的基础上,我们的 collectErrors 方法需要一些改进,让它能够收集类上的错误。改进后的方法:
1 private Map<String, String> collectErrors(BindingResult result) {
2 Map<String, String> errors = new HashMap<>(1);
3 if (result.hasErrors()) {
4 result.getAllErrors().forEach(objectError -> {
5 if (objectError instanceof FieldError) {
6 //Field 上的 FieldError 类型错误
7 FieldError fieldError = ((FieldError) objectError);
8 errors.putIfAbsent(fieldError.getField(), fieldError.getDefaultMessage());
9 } else {
10 //Class 上的 ViolationFieldError 类型错误
11 errors.putIfAbsent(objectError.getObjectName(), objectError.getDefaultMessage());
12 }
13 });
14 }
15 return errors;
16 }现在进行可以进行测试了(不要忘记按照 3.3 在 properties 文件添加键值对):
这里有一点需要额外注意的是,该类层次错误在 map 中的 key 为驼峰化实体名,而 Field 类注解可以获得 Field 名,因此一个完整的错误示例应该是这样的:
3.3.2.2 多注解(List)测试与坑
你可能注意到我们的定制验证注解有如下代码:
1 @Target({TYPE, ANNOTATION_TYPE})
2 @Retention(RUNTIME)
3 @Documented
4 @interface List {
5 FieldMatch[] value();
6 }这意味着我们可以同时使用多个 @FieldMatch 注解,这时我们对测试类修改如下
1 /**
2 * @author pancc
3 * @version 1.0
4 * @date 2019/11/2 14:49
5 */
6 @FieldMatch.List({
7 @FieldMatch(first = "password", second = "confirmPassword",
8 message = "两次输入的密码必须相同",
9 groups = UserForm.Add.class),
10 @FieldMatch(first = "address", second = "confirmAddress",
11 message = "两次输入的地址必须相同",
12 groups = UserForm.Add.class)
13 })
14 @Data
15 public class UserForm {
16 public interface Add {
17 }
18
19 public interface Update {
20 }
21
22 @Null(groups = Add.class)
23 @NotNull(groups = Update.class)
24 Long id;
25
26 @NotSpecificStringValue(value = "admin", groups = {Add.class, Update.class})
27 @Size(min = 3, max = 8, groups = {Add.class, Update.class})
28 String name;
29
30 @Email(groups = {Add.class, Update.class})
31 String email;
32
33 String password;
34 String confirmPassword;
35
36 String address;
37 String confirmAddress;
38 }有个坑,在 3.3.2.1 或者之前的代码中,我们使用了 Map 对象来存放 键-值对错误,然而在这里如果 List 中的两个 @FieldMatch 都发生验证错误时,只会存在一种错误,由于验证的执行顺序不定,结果是只有任意一个错误能映射到 Map 中;因此我们将使用能够存放多个值的 MultiMap,一种可靠的实现存在于 guava 包中,因此我们将引入 guava 的 MVN 依赖:
在 pom.xml 中引入 guava
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>28.1-jre</version>
</dependency>
修改 Controller 中的逻辑代码,使用 MultiMap 代替 HashMap
1 /**
2 * @author pancc
3 * @version 1.0
4 * @date 2019/11/2 16:52
5 */
6 @Controller
7 public class UserFormController {
8 private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();
9
10 @ResponseBody
11 @PostMapping("/add")
12 public String add(@Validated(UserForm.Add.class) UserForm form, BindingResult result) {
13 ListMultimap<String, String> errors = collectErrors(result);
14 if (errors.size() != 0) {
15 /* return errors.toString();*/
16 try {
17 return OBJECT_MAPPER.writeValueAsString(errors.asMap());
18 } catch (JsonProcessingException e) {
19 return "server error";
20 }
21
22 }
23 return "success";
24 }
25
26 @ResponseBody
27 @PostMapping("/update")
28 public String update(@Validated(UserForm.Update.class) UserForm form, BindingResult result) {
29 ListMultimap<String, String> errors = collectErrors(result);
30 if (errors.size() != 0) {
31 /* return errors.toString();*/
32 try {
33 return OBJECT_MAPPER.writeValueAsString(errors.asMap());
34 } catch (JsonProcessingException e) {
35 return "server error";
36 }
37
38 }
39 return "success";
40 }
41
42
43 private ListMultimap<String, String> collectErrors(BindingResult result) {
44 /*Map<String, String> errors = new HashMap<>(1);*/
45 ListMultimap<String, String> errors = LinkedListMultimap.create();
46
47 if (result.hasErrors()) {
48 result.getAllErrors().forEach(objectError -> {
49 if (objectError instanceof FieldError) {
50 //Field 上的 FieldError 类型错误
51 FieldError fieldError = ((FieldError) objectError);
52 errors.put(fieldError.getField(), fieldError.getDefaultMessage());
53 } else {
54 //Class 上的 ViolationFieldError 类型错误
55 errors.put(objectError.getObjectName(), objectError.getDefaultMessage());
56 }
57 });
58 }
59 return errors;
60 }
61 }这时候进行测试,便可以完整地返回错误信息:
3.3.3 类注解的改进与使用
在上边的测试中,我们在每次使用时都需要手动写 Message,现在让我们改造 @FieldMatch 注解。
第一步,添加 keyWord
第二步,在 FieldMatch.class 或者 properties 文件中,改变 message 的 default 值
修改之后我们的注解类应该是这样子的:
1 /**
2 * 验证两个字段的值是否相等,常见于注册时输入两个密码
3 *
4 * @author pancc
5 * @version 1.0
6 * @date 2019/11/2 17:40
7 */
8 @Target({TYPE, ANNOTATION_TYPE})
9 @Retention(RUNTIME)
10 @Constraint(validatedBy = FieldMatchValidator.class)
11 @Documented
12 public @interface FieldMatch {
13 String message() default " 两次输入的{keyWord}必须相同";
14
15 Class<?>[] groups() default {};
16
17 Class<? extends Payload>[] payload() default {};
18
19 /**
20 * 需要验证的第一字段的字段名<code>String password</code> 中的 <code>password</code>
21 *
22 * @return 第一字段的字段名
23 */
24 String first();
25
26 /**
27 * 需要验证的第二字段的字段名<code>String confirmPassword</code> 中的 <code>confirmPassword</code>
28 *
29 * @return 第一字段的字段名
30 */
31 String second();
32
33 /**
34 * 在 message 中的 keyWord 占位字符串,默认为 "数值"
35 *
36 * @return keyWord 占位字符串
37 */
38 String keyWord() default "数值";
39
40
41 @Target({TYPE, ANNOTATION_TYPE})
42 @Retention(RUNTIME)
43 @Documented
44 @interface List {
45 FieldMatch[] value();
46 }
47 }现在,当我们进行 3.3.2.2 的测试时,使用的验证注解应该是这样子的:
@FieldMatch.List({
@FieldMatch(first = "password", second = "confirmPassword", keyWord = "密码",
groups = UserForm.Add.class),
@FieldMatch(first = "address", second = "confirmAddress", keyWord = "地址",
groups = UserForm.Add.class)})
4 补充
在上边的内容中,为了简洁我们没有对 Controller 返回的内容格式进行限定,如果你检查 header 的话,会发现 content-type: text/plain,因此,在使用中,别忘记在 @PostMapping 中加上 produces = "application/json",告诉浏览器你返回的是 json
