前言

后台数据的校验也是开发中比较注重的一点，用来校验数据的正确性，以免一些非法的数据破坏系统，或者进入数据库，造成数据污染，由于数据检验可能应用到很多层面，所以系统对数据校验要求比较严格且追求可变性及效率。

了解

了解一点概念性的东东。
* JSR 303 是 Java 为 Bean 数据合法性校验提供的标准框架,它已经包含在 JavaEE 6.0 中 。
* Hibernate Validator 是 JSR 303 的一个参考实现，所以它多实现了几个校验规则。
* Spring 4.0 拥有自己独立的数据校验框架,同时支持 JSR303 标准的校验框架。
* 在已经标注了 JSR303 注解的表单/命令对象前标注一个@Valid,Spring MVC 框架在将请求参数绑定到该入参对象后,就会调用校验框架根据注解声明的校验规则实施校验
* Spring MVC 是通过对处理方法签名的规约来保存校验结果的:前一个表单/命令对象的校验结果保存到随后的入参中,这个保存校验结果的入参必须是 BindingResult 或Errors 类型,这两个类都位于org.springframework.validation 包中。
* 需校验的 Bean 对象和其绑定结果对象或错误对象时成对出现的,它们之间不允许声明其他的入参
* Errors 接口提供了获取错误信息的方法,如 getErrorCount() 或getFieldErrors(String field)
* BindingResult 扩展了 Errors 接口。

支持的注解

JSR 提供的校验注解:

@Null   被的注解元素必须为 null
@NotNull    被注解的元素必须不为 null
@AssertTrue     被注解的元素必须为 true
@AssertFalse    被注解的元素必须为 false
@Min(value)     被注解的元素必须是一个数字，其值必须大于等于指定的最小值
@Max(value)     被注解的元素必须是一个数字，其值必须小于等于指定的最大值
@DecimalMin(value)  被注解的元素必须是一个数字，其值必须大于等于指定的最小值
@DecimalMax(value)  被注解的元素必须是一个数字，其值必须小于等于指定的最大值
@Size(max=, min=)   被注解的元素的大小必须在指定的范围内   集合或数组 集合或数组的大小是否在指定范围内
@Digits (integer, fraction)     被注解的元素必须是一个数字，验证是否是符合指定格式的数字，interger指定整数精度，fraction指定小数精度。
@Past   被注解的元素必须是一个过去的日期
@Future     被注解的元素必须是一个将来的日期
@Pattern(regex=,flag=)  被注解的元素必须符合指定的正则表达式

Hibernate Validator 提供的校验注解：

@NotBlank(message =)   验证字符串非null，且长度必须大于0
@Email  被注释的元素必须是电子邮箱地址
@Length(min=,max=)  被注解的值大小必须在指定的范围内
@NotEmpty   被注解的字符串的必须非空
@Range(min=,max=,message=)  验证该值必须在合适的范围内

可以在需要验证的属性上，使用多个验证方式，它们同时生效。
spring boot web 已经有 hibernate-validation 的依赖，所以不需要再手动添加依赖。

使用

首先我在我的实体类上写了几个校验注解。

public class SysUserEntity implements Serializable {private static final long serialVersionUID = 1L;//主键private Long id;//用户名@NotBlank(message = "用户名不能为空", groups = {AddGroup.class, UpdateGroup.class})private String username;//密码@NotBlank(message = "密码不能为空", groups = {AddGroup.class})private String password;//手机号@Pattern(regexp = "^1([345789])\\d{9}$",message = "手机号码格式错误")@NotBlank(message = "手机号码不能为空")private String mobile;//邮箱@Email(message = "邮箱格式不正确")private String email;//创建者private Long createUserId;//创建时间private Date createDate;
// ignore set and get

使用@Validated进行校验

首先了解下：
关于@Valid和@Validated的区别联系
* @Valid: javax.validation， 是javax，也是就是jsr303中定义的规范注解
* @Validated: org.springframework.validation.annotation， 是spring自己封装的注解。参数校验失败抛出 org.springframework.validation.BindException 异常。

@Validated 是 @Valid 的一个变种，扩展了 @Valid 的功能，支持 group分组校验 的写法，所以为了校验统一，尽量使用 @Validated

在controller自定义一个接口

@PostMapping("/valid")public ResponseEntity<String> valid(@Validated @RequestBody SysUserEntity user, BindingResult result) {if (result.hasErrors()) {return ResponseEntity.status(BAD_REQUEST).body("校验失败");}return ResponseEntity.status(OK).body("校验成功");}

需要注意的有几点：
* 需要校验对象的时候，需要加上 spring 的校验注解 @Validated ，表示我们需要 spring 对它进行校验，而校验的信息会存放到其后的BindingResult中。
* BindingResult 必须和检验对象紧邻，中间不能穿插任何参数，如果有多个校验对象 @Validated @RequestBody SysUserEntity user, BindingResult result, @Validated @RequestBody SysUserEntity user1, BindingResult result1。

我在前端用 Swagger 进行测试下。
我发送一个 body，将 手机号输错：

{"createDate": "","createUserId": 0,"email": "k@wuwii.com","id": 0,"mobile": "12354354","password": "123","username": "12312"
}

后端调试下 BindingResult 的结果，发现结果：

只要注意下 errors 属性，它是校验所有不符合规则的，是一个数组。

分组校验

有时候 ，我们在新增和更新的时候校验效果是不一样的。例如上面，我在User新增的时候需要判断密码是不是为空，但是更新的时候我不做校验。这个时候就也要用到分组校验了。

@NotBlank(message = "密码不能为空", groups = {AddGroup.class})
private String password;

将Contoller中的校验修改下。

(@Validated({AddGroup.class}) @RequestBody SysUserEntity user, BindingResult result)

上面的意思是只有分组是AddGroup的校验才生效，其余的校验忽略。

经过我测试，把分组情况分下：
1. 在controller校验没加分组的时候，只对实体类的没有分组的注解有效。
2. 在controller校验加分组的时候，只对实体类的当前分组的注解有效，没有注解的也无效。
3. 当校验有两个分组的时候@Validated({AddGroup.class, UpdateGroup.class})，满足当前两个分组其中任意一个都可以校验，两个注解同时一起出现，也没问题，而且检验不通过的信息不会重复。

自定义校验

有时候系统提供给我们的校验注解，并不够用，我们可以自定义校验，来满足我们的业务需求。

例如：现在我们有一个需求，需要检测一条信息的敏感词汇，如sb ……文明人，举个栗子 ……

自定义校验注解

// 注解可以用在哪些地方
@Target({METHOD, FIELD, ANNOTATION_TYPE, CONSTRUCTOR, PARAMETER})
@Retention(RUNTIME)
@Documented
// 指定校验规则实现类
@Constraint(validatedBy = {NotHaveSBValidator.class})
public @interface NotHaveSB {//默认错误消息String message() default "不能包含字符sb";//分组Class<?>[] groups() default {};//负载Class<? extends Payload>[] payload() default {};//指定多个时使用@Target({FIELD, METHOD, PARAMETER, ANNOTATION_TYPE})@Retention(RUNTIME)@Documented@interface List {NotHaveSB[] value();}}

规则校验实现类

// 可以指定检验类型，这里选择的是 String
public class NotHaveSBValidator implements ConstraintValidator<NotHaveSB, String> {@Overridepublic void initialize(NotHaveSB notHaveSB) {}/**** @param s 待检验对象* @param constraintValidatorContext 检验上下文，可以设置检验的错误信息* @return false 代表检验失败*/@Overridepublic boolean isValid(String s, ConstraintValidatorContext constraintValidatorContext) {return !StringUtils.isNotBlank(s) || !s.toLowerCase().contains("sb");}
}

所有的验证者都需要实现ConstraintValidator接口，它的接口也很形象，包含一个初始化事件方法，和一个判断是否合法的方法。

测试一下喂

现在我的用户类上，也没什么多余的字段拿出来测试，暂时把 password 字段拿来测试吧。

//@NotBlank(message = "密码不能为空", groups = AddGroup.class)@NotHaveSBprivate String password;

手动校验

这个是我最终想要的处理方式。
由于现在都是前后端分离开发的，校验失败的时候，抛出自定义的异常，然后统一处理这些异常，最后将相关的错误提示信息返回给前端处理。

新建一个验证工具类

public class ValidatorUtils {private static Validator validator;static {validator = Validation.buildDefaultValidatorFactory().getValidator();}/*** 手动校验对象** @param object 待校验对象* @param groups 待校验的组* @throws KCException 校验不通过，则抛出 KCException 异常*/public static void validateEntity(Object object, Class<?>... groups)throws KCException {Set<ConstraintViolation<Object>> constraintViolations = validator.validate(object, groups);if (!constraintViolations.isEmpty()) {String msg = constraintViolations.parallelStream().map(ConstraintViolation::getMessage).collect(Collectors.joining("，"));throw new KCException(msg);}}
}

它主要做的事情就是验证我们的待验证对象，验证不同通过的时候，抛出自定义异常，在后台统一处理异常就可以了。

在业务中直接调用就可以了，有分组添加分组就行：

@PostMapping("/valid1")public ResponseEntity<String> customValid(@RequestBody SysUserEntity user) {ValidatorUtils.validateEntity(user);return ResponseEntity.status(OK).body("校验成功");}

最后测试一下，查看返回结果是否符合预期：

手动校验的补充

决定还是采用注解的形式进行编码，本来想用处理方法参数的装配进行检验，写好了发现和 @responseBody 不能同时使用，然后发现还是可以使用 @Validated 直接校验，抛出异常， 进行捕捉异常统一处理。

    @PostMapping()@ApiOperation("新增")public ResponseEntity insert(@Validated SysUserAddForm user) 

在全局异常处理里面加上 处理绑定参数异常 org.springframework.validation.BindException：

    /*** 参数检验违反约束（数据校验）* @param e BindException* @return error message*/@org.springframework.web.bind.annotation.ExceptionHandler(BindException.class)public ResponseEntity<String> handleConstraintViolationException(BindException e) {LOGGER.debug(e.getMessage(), e);return ResponseEntity.status(BAD_REQUEST).body(e.getBindingResult().getAllErrors().stream().map(DefaultMessageSourceResolvable::getDefaultMessage).collect(Collectors.joining(",")));}