前言

後臺資料的校驗也是開發中比較注重的一點，用來校驗資料的正確性，以免一些非法的資料破壞系統，或者進入資料庫，造成資料汙染，由於資料檢驗可能應用到很多層面，所以系統對資料校驗要求比較嚴格且追求可變性及效率。

瞭解

瞭解一點概念性的東東。
* JSR 303 是 Java 為 Bean 資料合法性校驗提供的標準框架,它已經包含在 JavaEE 6.0 中 。
* Hibernate Validator 是 JSR 303 的一個參考實現，所以它多實現了幾個校驗規則。
* Spring 4.0 擁有自己獨立的資料校驗框架,同時支援 JSR303 標準的校驗框架。
* 在已經標註了 JSR303 註解的表單/命令物件前標註一個@Valid,Spring MVC 框架在將請求引數繫結到該入參物件後,就會呼叫校驗框架根據註解宣告的校驗規則實施校驗
* Spring MVC 是通過對處理方法簽名的規約來儲存校驗結果的:前一個表單/命令物件的校驗結果儲存到隨後的入參中,這個儲存校驗結果的入參必須是 BindingResult 或Errors 型別,這兩個類都位於org.springframework.validation 包中。
* 需校驗的 Bean 物件和其繫結結果物件或錯誤物件時成對出現的,它們之間不允許宣告其他的入參
* Errors 介面提供了獲取錯誤資訊的方法,如 getErrorCount() 或getFieldErrors(String field)
* BindingResult 擴充套件了 Errors 介面。

支援的註解

JSR 提供的校驗註解:

@Null   被的註解元素必須為 null    
@NotNull    被註解的元素必須不為 null    
@AssertTrue     被註解的元素必須為 true    
@AssertFalse    被註解的元素必須為 false    
@Min(value)     被註解的元素必須是一個數字，其值必須大於等於指定的最小值    
@Max(value)     被註解的元素必須是一個數字，其值必須小於等於指定的最大值    
@DecimalMin(value)  被註解的元素必須是一個數字，其值必須大於等於指定的最小值    
@DecimalMax
 
(value)  被註解的元素必須是一個數字，其值必須小於等於指定的最大值    
@Size(max=, min=)   被註解的元素的大小必須在指定的範圍內   集合或陣列 集合或陣列的大小是否在指定範圍內 
@Digits (integer, fraction)     被註解的元素必須是一個數字，驗證是否是符合指定格式的數字，interger指定整數精度，fraction指定小數精度。   
@Past   被註解的元素必須是一個過去的日期    
@Future     被註解的元素必須是一個將來的日期    
@Pattern(regex=,flag=)  被註解的元素必須符合指定的正則表示式
 

Hibernate Validator 提供的校驗註解：

@NotBlank(message =)   驗證字串非null，且長度必須大於0    
@Email  被註釋的元素必須是電子郵箱地址    
@Length(min=,max=)  被註解的值大小必須在指定的範圍內    
@NotEmpty   被註解的字串的必須非空    
@Range(min=,max=,message=)  驗證該值必須在合適的範圍內

可以在需要驗證的屬性上，使用多個驗證方式，它們同時生效。
spring boot web 已經有 hibernate-validation 的依賴，所以不需要再手動新增依賴。

使用

首先我在我的實體類上寫了幾個校驗註解。

public class SysUserEntity implements Serializable {
    private static final long serialVersionUID = 1L;

    //主鍵
    private Long id;
    //使用者名稱
    @NotBlank(message = "使用者名稱不能為空", groups = {AddGroup.class, UpdateGroup.class})
    private String username;
    //密碼
    @NotBlank(message = "密碼不能為空", groups = {AddGroup.class})
    private String password;
    //手機號
    @Pattern(regexp = "^1([345789])\\d{9}$",message = "手機號碼格式錯誤")
    @NotBlank(message = "手機號碼不能為空")
    private String mobile;
    //郵箱
    @Email(message = "郵箱格式不正確")
    private String email;
    //建立者
    private Long createUserId;
    //建立時間
    private Date createDate;
// ignore set and get

使用@Validated進行校驗

首先了解下：
關於@Valid和@Validated的區別聯絡
* @Valid: javax.validation， 是javax，也是就是jsr303中定義的規範註解
* @Validated: org.springframework.validation.annotation， 是spring自己封裝的註解。引數校驗失敗丟擲 org.springframework.validation.BindException 異常。

@Validated 是 @Valid 的一個變種，擴充套件了 @Valid 的功能，支援 group分組校驗 的寫法，所以為了校驗統一，儘量使用 @Validated

在controller自定義一個介面

@PostMapping("/valid")
    public ResponseEntity<String> valid(@Validated @RequestBody SysUserEntity user, BindingResult result) {
        if (result.hasErrors()) {
            return ResponseEntity.status(BAD_REQUEST).body("校驗失敗");
        }
        return ResponseEntity.status(OK).body("校驗成功");
    }

需要注意的有幾點：
* 需要校驗物件的時候，需要加上 spring 的校驗註解 @Validated ，表示我們需要 spring 對它進行校驗，而校驗的資訊會存放到其後的BindingResult中。
* BindingResult 必須和檢驗物件緊鄰，中間不能穿插任何引數，如果有多個校驗物件 @Validated @RequestBody SysUserEntity user, BindingResult result, @Validated @RequestBody SysUserEntity user1, BindingResult result1。

我在前端用 Swagger 進行測試下。
我傳送一個 body，將 手機號輸錯：

{
  "createDate": "",
  "createUserId": 0,
  "email": "[email protected]",
  "id": 0,
  "mobile": "12354354",
  "password": "123",
  "username": "12312"
}

後端除錯下 BindingResult 的結果，發現結果：

只要注意下 errors 屬性，它是校驗所有不符合規則的，是一個數組。

分組校驗

有時候 ，我們在新增和更新的時候校驗效果是不一樣的。例如上面，我在User新增的時候需要判斷密碼是不是為空，但是更新的時候我不做校驗。這個時候就也要用到分組校驗了。

@NotBlank(message = "密碼不能為空", groups = {AddGroup.class})
private String password;

將Contoller中的校驗修改下。

(@Validated({AddGroup.class}) @RequestBody SysUserEntity user, BindingResult result)

上面的意思是隻有分組是AddGroup的校驗才生效，其餘的校驗忽略。

經過我測試，把分組情況分下：
1. 在controller校驗沒加分組的時候，只對實體類的沒有分組的註解有效。
2. 在controller校驗加分組的時候，只對實體類的當前分組的註解有效，沒有註解的也無效。
3. 當校驗有兩個分組的時候@Validated({AddGroup.class, UpdateGroup.class})，滿足當前兩個分組其中任意一個都可以校驗，兩個註解同時一起出現，也沒問題，而且檢驗不通過的資訊不會重複。

自定義校驗

有時候系統提供給我們的校驗註解，並不夠用，我們可以自定義校驗，來滿足我們的業務需求。

例如：現在我們有一個需求，需要檢測一條資訊的敏感詞彙，如sb ……文明人，舉個栗子 ……

自定義校驗註解

// 註解可以用在哪些地方
@Target({METHOD, FIELD, ANNOTATION_TYPE, CONSTRUCTOR, PARAMETER})
@Retention(RUNTIME)
@Documented
// 指定校驗規則實現類
@Constraint(validatedBy = {NotHaveSBValidator.class})
public @interface NotHaveSB {
    //預設錯誤訊息
    String message() default "不能包含字元sb";
    //分組
    Class<?>[] groups() default {};
    //負載
    Class<? extends Payload>[] payload() default {};
    //指定多個時使用
    @Target({FIELD, METHOD, PARAMETER, ANNOTATION_TYPE})
    @Retention(RUNTIME)
    @Documented
    @interface List {
        NotHaveSB[] value();
    }

}

規則校驗實現類

// 可以指定檢驗型別，這裡選擇的是 String
public class NotHaveSBValidator implements ConstraintValidator<NotHaveSB, String> {
    @Override
    public void initialize(NotHaveSB notHaveSB) {

    }

    /**
     *
     * @param s 待檢驗物件
     * @param constraintValidatorContext 檢驗上下文，可以設定檢驗的錯誤資訊
     * @return false 代表檢驗失敗
     */
    @Override
    public boolean isValid(String s, ConstraintValidatorContext constraintValidatorContext) {
        return !StringUtils.isNotBlank(s) || !s.toLowerCase().contains("sb");
    }
}

所有的驗證者都需要實現ConstraintValidator介面，它的介面也很形象，包含一個初始化事件方法，和一個判斷是否合法的方法。

測試一下喂

現在我的使用者類上，也沒什麼多餘的欄位拿出來測試，暫時把 password 欄位拿來測試吧。

//@NotBlank(message = "密碼不能為空", groups = AddGroup.class)
    @NotHaveSB
    private String password;

手動校驗

這個是我最終想要的處理方式。
由於現在都是前後端分離開發的，校驗失敗的時候，丟擲自定義的異常，然後統一處理這些異常，最後將相關的錯誤提示資訊返回給前端處理。

新建一個驗證工具類

public class ValidatorUtils {
    private static Validator validator;

    static {
        validator = Validation.buildDefaultValidatorFactory().getValidator();
    }

    /**
     * 手動校驗物件
     *
     * @param object 待校驗物件
     * @param groups 待校驗的組
     * @throws KCException 校驗不通過，則丟擲 KCException 異常
     */
    public static void validateEntity(Object object, Class<?>... groups)
            throws KCException {
        Set<ConstraintViolation<Object>> constraintViolations = validator.validate(object, groups);
        if (!constraintViolations.isEmpty()) {
            String msg = constraintViolations.parallelStream()
                    .map(ConstraintViolation::getMessage)
                    .collect(Collectors.joining("，"));
            throw new KCException(msg);
        }
    }
}

它主要做的事情就是驗證我們的待驗證物件，驗證不同通過的時候，丟擲自定義異常，在後臺統一處理異常就可以了。

在業務中直接呼叫就可以了，有分組新增分組就行：

@PostMapping("/valid1")
    public ResponseEntity<String> customValid(@RequestBody SysUserEntity user) {
        ValidatorUtils.validateEntity(user);
        return ResponseEntity.status(OK).body("校驗成功");
    }

最後測試一下，檢視返回結果是否符合預期：

手動校驗的補充

決定還是採用註解的形式進行編碼，本來想用處理方法引數的裝配進行檢驗，寫好了發現和 @responseBody 不能同時使用，然後發現還是可以使用 @Validated 直接校驗，丟擲異常， 進行捕捉異常統一處理。

    @PostMapping()
    @ApiOperation("新增")
    public ResponseEntity insert(@Validated SysUserAddForm user) 

在全域性異常處理裡面加上 處理繫結引數異常 org.springframework.validation.BindException：

    /**
     * 引數檢驗違反約束（資料校驗）
     * @param e BindException
     * @return error message
     */
    @org.springframework.web.bind.annotation.ExceptionHandler(BindException.class)
    public ResponseEntity<String> handleConstraintViolationException(BindException e) {
        LOGGER.debug(e.getMessage(), e);
        return ResponseEntity.status(BAD_REQUEST).body(
                e.getBindingResult()
                        .getAllErrors()
                        .stream()
                        .map(DefaultMessageSourceResolvable::getDefaultMessage)
                        .collect(Collectors.joining(",")));
    }