有參數(shù)傳遞的地方都少不了參數(shù)校驗(yàn),在web開發(fā)中前端的參數(shù)校驗(yàn)是為了用戶體驗(yàn),后端的參數(shù)校驗(yàn)是為了安全,下面這篇文章主要給大家介紹了關(guān)于Spring?Boot項(xiàng)目傳參校驗(yàn)的最佳實(shí)踐,需要的朋友可以參考下

場景還原

簡單業(yè)務(wù)場景模擬：

假如你現(xiàn)在在做一個(gè)成績錄入系統(tǒng)，你愉快地用Spring Boot框架寫了一個(gè)后臺接口，用于接收前臺瀏覽器傳過來的 Student對象，并插入后臺數(shù)據(jù)庫。

我們將傳入的 Student對象定義為：

public class Student {
    private String name;    // 姓名
    private Integer score;  // 考試分?jǐn)?shù)（滿分100分）
    private String mobile;  // 電話號碼（11位）
}

然后寫一個(gè)Post請求的后臺接口，來接收網(wǎng)頁端傳過來的 Student對象：

@RestController
public class TestController {

    @Autowired
    private StudentService studentService;

    @PostMapping("/add")
    public String addStudent( @RequestBody Student student ) {
        studentService.addStudent( student ); // 將student對象存入數(shù)據(jù)庫
        return "SUCCESS";
    }
}

此時(shí)我想你一定看出來了上面這段代碼的漏洞，因?yàn)槲覀儾]有對傳入的 Student對象做任何數(shù)據(jù)校驗(yàn)，比如：

Student對象里三個(gè)字段的某一個(gè)忘傳了，為 null怎么辦？Student的 score分?jǐn)?shù)，假如寫錯(cuò)了，寫成 101分怎么辦？Student的 mobile11位手機(jī)號碼，假如填錯(cuò)了，多寫了一位怎么辦？...等等

這些數(shù)據(jù)雖然在前端頁面一般會做校驗(yàn)，但我們作為一個(gè)嚴(yán)謹(jǐn)且良心的后端開發(fā)工程師，我們肯定要對傳入的每一項(xiàng)數(shù)據(jù)做嚴(yán)格的校驗(yàn)，所以我們應(yīng)該怎么寫？

@PostMapping("/add")
public String addStudent( @RequestBody Student student ) {
    if( student == null )
        return "傳入的Student對象為null，請傳值";
    if( student.getName()==null || "".equals(student.getName()) )
        return "傳入的學(xué)生姓名為空，請傳值";
    if( student.getScore()==null )
        return "傳入的學(xué)生成績?yōu)閚ull，請傳值";
    if( (student.getScore()<0) || (student.getScore()>100) )
        return "傳入的學(xué)生成績有誤，分?jǐn)?shù)應(yīng)該在0~100之間";
    if( student.getMobile()==null || "".equals(student.getMobile()) )
        return "傳入的學(xué)生電話號碼為空，請傳值";
    if( student.getMobile().length()!=11 )
        return "傳入的學(xué)生電話號碼長度有誤，應(yīng)為11位";
    studentService.addStudent( student ); // 將student對象存入MySQL數(shù)據(jù)庫
    return "SUCCESS";
}

寫是寫完了，就是感覺手有點(diǎn)酸，并且心有點(diǎn)累，這個(gè) Student對象倒還好，畢竟內(nèi)部僅3個(gè)字段，假如一個(gè)復(fù)雜的對象有30個(gè)字段怎么辦？簡直不敢想象！

神注解加持

其實(shí)Spring框架很早版本開始，就通過注解的方式，來方便地為我們提供了各項(xiàng)交互數(shù)據(jù)的校驗(yàn)工作，比如上面的例子，我們只需要在傳入的 Student實(shí)體類的字段中加入對應(yīng)注解即可方便的解決問題：

public class Student {
    @NotNull(message = "傳入的姓名為null，請傳值")
    @NotEmpty(message = "傳入的姓名為空字符串，請傳值")
    private String name;    // 姓名

    @NotNull(message = "傳入的分?jǐn)?shù)為null，請傳值")
    @Min(value = 0,message = "傳入的學(xué)生成績有誤，分?jǐn)?shù)應(yīng)該在0~100之間")
    @Max(value = 100,message = "傳入的學(xué)生成績有誤，分?jǐn)?shù)應(yīng)該在0~100之間")
    private Integer score;  // 分?jǐn)?shù)

    @NotNull(message = "傳入的電話為null，請傳值")
    @NotEmpty(message = "傳入的電話為空字符串，請傳值")
    @Length(min = 11, max = 11, message = "傳入的電話號碼長度有誤，必須為11位")
    private String mobile;  // 電話號碼
}

當(dāng)然，于此同時(shí)，我們還需要在對象入口處，加上注解 @Valid來開啟對傳入 Student對象的驗(yàn)證工作：

@PostMapping("/add")
public String addStudent( @RequestBody  @Valid Student student ) {
    // 棒棒噠！原先各種繁雜的參數(shù)校驗(yàn)工作統(tǒng)統(tǒng)都省了！一行代碼不用寫
    studentService.addStudent( student ); // 將student對象存入MySQL數(shù)據(jù)庫
    return "SUCCESS";
}

這時(shí)候，如果某個(gè)字段傳入錯(cuò)誤，比如我傳數(shù)據(jù)的時(shí)候，將學(xué)生的成績誤傳為 101分，則接口返回結(jié)果便會提示出錯(cuò)誤詳情：

當(dāng)然，關(guān)于這個(gè)事情的原理，既然用到了注解，無非用的也就是Java里的各種反射等知識來實(shí)現(xiàn)的，感興趣的小伙伴可以借此機(jī)會研究一下！

數(shù)據(jù)異常統(tǒng)一攔截

上面利用注解的方式做統(tǒng)一數(shù)據(jù)校驗(yàn)感覺十分美好，但唯一美中不足的就是返回的結(jié)果太過繁雜，不一定使我們需要的格式，我們需要做統(tǒng)一處理，比如：我只想將具體參數(shù)校驗(yàn)的錯(cuò)誤提示信息給摳出來返回給前端即可。

為此，我們?yōu)轫?xiàng)目配置全局統(tǒng)一異常攔截器來格式化所有數(shù)據(jù)校驗(yàn)的返回結(jié)果。

@ControllerAdvice
@ResponseBody
public class GlobalExceptionInterceptor {
  @ExceptionHandler(value = Exception.class)
  public String exceptionHandler(HttpServletRequest request, Exception e) {
    String failMsg = null;
    if (e instanceof MethodArgumentNotValidException) {
      // 拿到參數(shù)校驗(yàn)具體異常信息提示
      failMsg = ((MethodArgumentNotValidException) e).getBindingResult().getFieldError().getDefaultMessage();
    }
    return failMsg; // 直接吐回給前端
  }
}

如上面代碼所示，我們全局統(tǒng)一攔截了參數(shù)校驗(yàn)異常 MethodArgumentNotValidException，并僅僅只拿到對應(yīng)異常的詳細(xì) Message信息吐給前端，此時(shí)返回給前端的數(shù)據(jù)就清楚得多：