JSR303与拦截器的使用
一,JSR303
1.认识JSR303
JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。 JSR-303 是JAVA EE 6 中的一项子规范,叫做Bean Validation,Hibernate Validator 是 Bean Validation 的参考实现 . Hibernate Validator 提供了 JSR 303 规范中所有内置 constraint(约束) 的实现,除此之外还有一些附加的 constraint。
验证数据是一项常见任务,它发生在从表示层到持久层的所有应用程序层中。通常在每一层都实现相同的验证逻辑,这既耗时又容易出错。为了避免重复这些验证,开发人员经常将验证逻辑直接捆绑到域模型中,将域类与验证代码混在一起,而验证代码实际上是关于类本身的元数据。
2.为什么要使用JSR303
前端不是已经校验过数据了吗?为什么我们还要做校验呢,直接用不就好了?草率了,假如说前端代码校验没写好又或者是对于会一点编程的人来说,直接绕过前端发请求(通过类似Postman这样的测试工具进行非常数据请求),把一些错误的参数传过来,你后端代码不就危险了嘛。
所以我们一般都是前端一套校验,后端在一套校验,这样安全性就能够大大得到提升了。
3.常用注解
| 注解 | 说明 |
|---|---|
| @Null | 用于验证对象为null |
| @NotNull | 用于对象不能为null,无法查检长度为0的字符串 |
| @NotBlank | 只用于String类型上,不能为null且trim()之后的size>0 |
| @NotEmpty | 用于集合类、String类不能为null,且size>0。但是带有空格的字符串校验不出来 |
| @Size | 用于对象(Array,Collection,Map,String)长度是否在给定的范围之内 |
| @Length | 用于String对象的大小必须在指定的范围内 |
| @Pattern | 用于String对象是否符合正则表达式的规则 |
| 用于String对象是否符合邮箱格式 | |
| @Min | 用于Number和String对象是否大等于指定的值 |
| @Max | 用于Number和String对象是否小等于指定的值 |
| @AssertTrue | 用于Boolean对象是否为true |
| @AssertFalse | 用于Boolean对象是否为false |
4.@Validated与@Valid区别
@Validated:
Spring提供的
支持分组校验
可以用在类型、方法和方法参数上。但是不能用在成员属性(字段)上
由于无法加在成员属性(字段)上,所以无法单独完成级联校验,需要配合@Valid
@Valid:
JDK提供的(标准JSR-303规范)
不支持分组校验
可以用在方法、构造函数、方法参数和成员属性(字段)上
可以加在成员属性(字段)上,能够独自完成级联校验
5.使用JSR303
1.导入pom.xml依赖
6.0.7.Final
org.hibernate
hibernate-validator
${hibernate.validator.version}
2.配置校验
package com.xzs.model;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.hibernate.validator.constraints.NotBlank;
import javax.validation.constraints.NotNull;
@Data//相当于set get toString方法
@AllArgsConstructor //有参构造器
@NoArgsConstructor
public class Clazz {
@NotNull(message = "班级编号不能为空")
// @Size(max = 100,min = 10,message = "大小必须在10至100之间")
protected Integer cid;
@NotBlank(message = "班级名不能为空")
protected String cname;
@NotBlank(message = "班级教员老师不能为空")
protected String cteacher;
private String pic="暂无图片";
}3.校验方法
@RequestMapping("/valiAdd")
public String valiAdd(@Validated Clazz clazz, BindingResult result, HttpServletRequest req){
// 如果服务端验证不通过,有错误
if(result.hasErrors()){
// 服务端验证了实体类的多个属性,多个属性都没有验证通过
List fieldErrors = result.getFieldErrors();
Map map = new HashMap<>();
for (FieldError fieldError : fieldErrors) {
// 将多个属性的验证失败信息输送到控制台
System.out.println(fieldError.getField() + ":" + fieldError.getDefaultMessage());
map.put(fieldError.getField(),fieldError.getDefaultMessage());
}
req.setAttribute("errorMap",map);
}else {
this.clazzBiz.insertSelective(clazz);
return "redirect:list";
}
return "clz/edit";
} 前端
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
用户编辑、新增公共页面
结果:
2.拦截器
2.1.什么是拦截器
SpringMVC的处理器拦截器,类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。依赖于web框架,在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个 controller生命周期之内可以多次调用。
2.2.拦截器与过滤器
什么是过滤器(Filter)
依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等
总之,拦截器是一种在请求处理过程中对请求进行拦截和处理的组件,可以用于实现一些预处理、后处理、请求拦截和过滤等功能。它提供了一种灵活的机制,可以对请求进行统一的处理和控制。
拦截器与过滤器的区别
过滤器(filter)
1.filter属于Servlet技术,只要是web工程都可以使用
2.filter主要由于对所有请求过滤
3.filter的执行时机早于Interceptor
拦截器(interceptor)
1.interceptor属于SpringMVC技术,必须要有SpringMVC环境才可以使用
2.interceptor通常由于对处理器Controller进行拦截
3.interceptor只能拦截dispatcherServlet处理的请求
2.3 拦截器的应用场景及作用
权限验证:拦截器可以用于验证用户的权限,例如检查用户是否登录、是否具有访问某个资源的权限等。通过拦截请求并进行权限验证,可以保护系统的安全性和数据的完整性。日志记录:拦截器可以用于记录请求和响应的日志信息,包括请求的URL、请求参数、处理时间、响应结果等。通过记录日志,可以方便地进行系统的监控、故障排查和性能优化。
参数预处理:拦截器可以对请求参数进行预处理,例如对参数进行验证、转换、修正等操作。这样可以确保请求参数的有效性和一致性,减少错误和异常的发生。
异常处理:拦截器可以用于统一处理请求过程中出现的异常。通过拦截异常并进行统一的处理,可以提供友好的错误提示页面或返回特定的错误信息,提高系统的容错性和用户体验。
缓存控制:拦截器可以用于控制缓存的使用,例如根据请求的URL、参数等条件判断是否使用缓存,以及缓存的过期时间等。通过拦截请求并进行缓存控制,可以提高系统的性能和响应速度。
请求重定向:拦截器可以根据一定的条件对请求进行重定向,将请求转发到其他的URL或处理器进行处理。通过拦截请求并进行重定向,可以实现请求的转发、路由和流程控制。
统一处理:拦截器可以用于实现一些统一的处理逻辑,例如对请求进行统一的编码转换、字符集设置、响应头设置等。通过拦截请求并进行统一处理,可以提高系统的一致性和可维护性。
拦截器在Web开发中的应用非常广泛,它可以对请求进行拦截、处理和修改,实现权限验证、日志记录、参数预处理、异常处理、缓存控制、请求重定向和统一处理等功能。通过使用拦截器,可以提高系统的安全性、稳定性、性能和可维护性。
创建并使用拦截器
拦截器的工作流程
如图所示
package com.xzs.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class OneInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("【OneInterceptor】:preHandle...");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("【OneInterceptor】:postHandle...");
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("【OneInterceptor】:afterCompletion...");
}
}配置拦截器
测试
在发送请求中,可以看到得到的结果
以上是未拦截成功的结果如何拦截
将这一段代码的ture改为false则拦截成功
拦截成功后这不在执行下面的代码
多拦截器
package com.xzs.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class TwoInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("【TwoInterceptor】:preHandle...");
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("【TwoInterceptor】:postHandle...");
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("【TwoInterceptor】:afterCompletion...");
}
}配置
可以看出当我再次测试时进行了多次拦截
登录拦截案例
登陆拦截器
package com.xzs.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("【implements】:preHandle...");
StringBuffer url = request.getRequestURL();
if (url.indexOf("/login") > 0 || url.indexOf("/logout") > 0){
// 如果是 登录、退出 中的一种
return true;
}
// 代表不是登录,也不是退出
// 除了登录、退出,其他操作都需要判断是否 session 登录成功过
String uname = (String) request.getSession().getAttribute("uname");
if (uname == null || "".equals(uname)){
response.sendRedirect("/page/login");
return false;
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}前端编写
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
登录界面
登录界面
登录操作控制层
package com.xzs.web;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
@Controller
public class LoginController {
@RequestMapping("/login")
public String login(HttpServletRequest req){
String uname = req.getParameter("uname");
HttpSession session = req.getSession();
if ("zs".equals(uname)){
session.setAttribute("uname",uname);
}
return "redirect:/clz/list";
}
@RequestMapping("/logout")
public String logout(HttpServletRequest req){
req.getSession().invalidate();
return "redirect:/clz/list";
}
}测试
不输入zs
输入张三 
退出
