springboot使用validation-api对入参进行校验

springboot使用validation-api对入参进行校验

前言：在实际开发中，我们不能完全相信前端给我们的参数是否符合预期或规范，为了避免恶意入参，引发系统或数据安全问题，需要对前端传过来的参数进行校验。例如字符串长度校验，空值校验，手机号校验，邮箱校验，字符串复杂性校验等等。

springboot提供了validation-api，对入参校验做了封装，方便使用。

1. 引入依赖

		<!-- 入参校验 validation-api -->
		<dependency>
			<groupId>javax.validation</groupId>
			<artifactId>validation-api</artifactId>
		</dependency>

2. 创建入参实体类dto

使用validation-api校验注解标注入参dto

@Data
@ToString
public class UserInfoDto {
    @NotNull(message = "userId不能为空")    // 非空
    private String userId;
    @NotBlank(message = "账号不能为空")    // 非空字符串
    private String account;
    @Email(message = "邮箱格式不正确")      // 邮箱格式
    private String email;
    @Length(min = 2, max = 20, message = "昵称长度不能低于2个字符且不能高于20个字符")      // 字符串长度最小2，最大20
    @NotNull(message = "昵称不能为空")
    private String nickname;
    @Range(min = 0, max = 130, message = "年龄区间为0-130岁")      // 数值最小0，最大130
    private Integer age;
    @Past(message = "生日不能是未来时间")      // 日期必须是过去的日期
    private Date birthday;
}

注意点

非常重要的一点是：**以上注解是独立的，@Email不会去验证Email是否为空，就是说即便添加了@Email、@Lenght、@Range等等注解，它只是在前端传来的参数中，带有被该注解修饰的参数才去做校验。**例如前端给的json为{"userId":"123","account":"456","nickname":"zhangsan"}，那么也是可以通过以上校验的，不会报校验不通过。

3. 接口类

在controller接收参数时还需要标注@Validated注解

@RestController
@RequestMapping("userinfo")
@Validated
public class UserInfoController {

    @PostMapping("add1")
    public String addUserInfo1(@Validated @RequestBody UserInfoDto userInfoDto){
        System.out.println(userInfoDto);
        return "添加成功";
    }

    @PostMapping("add2")
    public String addUserInfo2(@Validated UserInfoDto userInfoDto){
        System.out.println(userInfoDto);
        return "添加成功";
    }

    @PostMapping("add3")
    public String addUserInfo2(@Email String email){
        System.out.println(email);
        return "添加成功";
    }
}

注意点：类上的@Validated注解是配合RequestParam上的@Email（也包含其他如@NotNull，@Length等注解）使用的，如果仅对RequestBody参数做验证，则直接在RequestBody前加@Validated即可（配合以上接口代码理解）

4. 异常处理类

以上代码对入参做了校验，结果是参数不符合直接报错，将异常返回给前端，例如

在实际开发肯定是不合适的，我们需要对异常进行捕获，返回前端能识别的异常信息。就需要用到Springboot提供的全局异常捕获处理机制。创建异常处理类：

@ControllerAdvice
public class ValidateHandler {

    /**
     * 异常处理方法，符合ExceptionHandler.value的异常，会执行其处理方法，
     * 处理的是RequestBody校验的异常
     * @param e 捕获的异常
     * @return 返回前端的数据
     */
    @ExceptionHandler(value = org.springframework.validation.BindException.class)
    @ResponseBody
    public String handleBindException(Exception e) {
        org.springframework.validation.BindException ex = (org.springframework.validation.BindException) e;
        String collect = ex.getAllErrors().stream()
                .map(ObjectError::getDefaultMessage)
                .collect(Collectors.joining("; "));
        // 实际开发中一般返回带状态码的Result对象，这里仅做简单演示，自行修改
        return collect;
    }

    /**
     * 处理的是RequestParam校验的异常
     */
    @ExceptionHandler(value = javax.validation.ConstraintViolationException.class)
    @ResponseBody
    public String handleConstraintViolationException(Exception e) {
        javax.validation.ConstraintViolationException ex = (javax.validation.ConstraintViolationException) e;
        String collect = ex.getConstraintViolations().stream()
                .map(ConstraintViolation::getMessage)
                .collect(Collectors.joining("; "));
        return collect;
    }

}

5.最后返回结果