shiro安全框架扩展教程--数据对象安全校验(oval框架)
很多时候我们都是忽略了对象数据的合法性,以为简单通过前台的js验证下是否正确就可以了,这后果比较让人但疼,下面举例个简单的例子,页面需要用户提交个简介,用户
这个时候可以写脚本在这个内容里,你说你在js有校验合法性,但是你要明白,现在的抓包工具是可以等你提交的时候,拦截住请求,然后通过编辑器修改了提交的值来绕过前台的js
验证,这样就造成了数据的不合法,所以如果数据安全要求高的,必须在后台再次验证合法性,下面我讲下选择的这个对象校验框架---oval
OVal 是一个可扩展的Java对象数据验证框架,验证的规则可以通过配置文件、Annotation、POJOs 进行设定。可以使用纯 Java 语言、JavaScript 、Groovy 、BeanShell 等进行规则的编写。网上资料是很少,所以自己学习的时候碰壁比较多
oval框架可以支持xml,注解配置,我个人倾向于xml配置,因为不想看到一个实体类的字段上写了n多的注解,所以下面我说下如何使用这个框架,灰常简单,暴力,灵活,不需要与页面的表单层打交道
先看看如何单独使用,比较简单
public static void main(String[] args) {
try {
XMLConfigurer configurer = new XMLConfigurer(new File("valid-oval.xml"));
Validator validator = new Validator(configurer);
List<ConstraintViolation> violations = validator.validate(new Object());
for (ConstraintViolation violation : violations) {
System.out.println(violation.getMessage());
}
} catch (IOException e) {
e.printStackTrace();
}
}
直接通过validate方法传入你需要校验的对象即可,然后看看valid-oval.xml配置文件该如何写
<?xml version="1.0" ?>
<oval
xmlns="http://oval.sf.net/oval-configuration"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://oval.sf.net/oval-configuration http://oval.sourceforge.net/oval-configuration.xsd">
<constraintSet id="testPattern">
<notNull />
<matchPattern message="只允许纯数字组合">
<pattern pattern="[0-9]+" flags="0" />
</matchPattern>
</constraintSet>
<class type="com.silvery.project.cms.model.Authority" overwrite="false" applyFieldConstraintsToSetter="true">
<field name="name">
<maxSize max="5" message="最多允许{max}个字符" />
<assertConstraintSet id="testPattern" />
</field>
<field name="content">
<assertConstraintSet id="testPattern" />
</field>
</class>
</oval>
有默认的校验实现,有可自定义正则校验,完全可以满足你需要扩展的野心(不得不说有个深坑,我首次下载的是oval-1.84版本,自定义正则死活抛异常,然后换了个1.8的版本马上可以,不知道是不是我的用法有问题,还是bug,有空再仔细研究)
下面再看看如何与spring结合配置
先声明一个validator校验器
<description>OVAL数据校验器配置</description> <bean id="validator" class="net.sf.oval.Validator"> <constructor-arg> <list> <bean class="net.sf.oval.configuration.xml.XMLConfigurer"> <constructor-arg type="java.io.InputStream" value="classpath:valid-oval.xml" /> </bean> </list> </constructor-arg> </bean>
然后类里面直接注入validator即可
@Autowired(required = false) protected Validator validator;
if (!validModel) {
return viewResult.setFormValid(true);
}
Validator validator = getValidator();
if (validator != null) {
List<ConstraintViolation> violations = getValidator().validate(obj);
if (!isNull(violations)) {
viewResult.setFormValid(false);
viewResult.setFormErrors(validErrorToList(violations));
} else {
viewResult.setFormValid(true);
}
}
return viewResult;
下面再看看如何使用注解的方式,虽然这个更方便,但是我觉得还是xml配置比较好管理
private static class TestEntity
{
@Min(1960)
private int year = 1977;
@Range(min=1, max=12)
private int month = 2;
@ValidateWithMethod(methodName = "isValidDay", parameterType = int.class)
private int day = 31;
private boolean isValidDay(int day)
{
GregorianCalendar cal = new GregorianCalendar();
cal.setLenient(false);
cal.set(GregorianCalendar.YEAR, year);
cal.set(GregorianCalendar.MONTH, month - 1);
cal.set(GregorianCalendar.DATE, day);
try {
cal.getTimeInMillis(); // throws IllegalArgumentException
} catch (IllegalArgumentException e) {
return false;
}
return true;
}
}
这是别人的demo,我就懒得写了, 我写这个资料应该算是比较完整的了,希望对大家有帮助,还有比较多的功能,大家可以看下官方的api