SpringMVC-JSR303和拦截器

1.JSR303

1.1.什么是JSR303

JSR是Java Specification Requests的缩写，意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR，以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。 JSR-303 是JAVA EE 6 中的一项子规范，叫做Bean Validation，Hibernate Validator 是 Bean Validation 的参考实现 . Hibernate Validator 提供了 JSR 303 规范中所有内置 constraint（约束） 的实现，除此之外还有一些附加的 constraint。

验证数据是一项常见任务，它发生在从表示层到持久层的所有应用程序层中。通常在每一层都实现相同的验证逻辑，这既耗时又容易出错。为了避免重复这些验证，开发人员经常将验证逻辑直接捆绑到域模型中，将域类与验证代码混在一起，而验证代码实际上是关于类本身的元数据。

1.2.为什么要使用JSR303

前端不是已经校验过数据了吗？为什么我们还要做校验呢，直接用不就好了？草率了，假如说前端代码校验没写好又或者是对于会一点编程的人来说，直接绕过前端发请求（通过类似Postman这样的测试工具进行非常数据请求），把一些错误的参数传过来，你后端代码不就危险了嘛。

所以我们一般都是前端一套校验，后端在一套校验，这样安全性就能够大大得到提升了。

1.3.常用注解

 @Validated与@Valid区别

@Validated：

　　 Spring提供的
　　 支持分组校验
　　 可以用在类型、方法和方法参数上。但是不能用在成员属性（字段）上
　　 由于无法加在成员属性（字段）上，所以无法单独完成级联校验，需要配合@Valid

@Valid：

　　 JDK提供的（标准JSR-303规范）
　　 不支持分组校验
　　 可以用在方法、构造函数、方法参数和成员属性（字段）上
　　 可以加在成员属性（字段）上，能够独自完成级联校验

1.4.快速入门

1.4.1.导入依赖

<!-- JSR303 -->
<hibernate.validator.version>6.0.7.Final</hibernate.validator.version>

<!-- JSR303 -->
<dependency>
    <groupId>org.hibernate</groupId>
    <artifactId>hibernate-validator</artifactId>
    <version>${hibernate.validator.version}</version>
</dependency>

1.4.2.配置校验规则

@ToString
public class Book {
    private Integer bookId;

    @NotBlank(message = "书本名称不能为空")
    private String bookName;

    private String bookNamePinyin;

    @NotNull(message = "书本价格不能为空")
    @Range(min = 50,max = 200,message = "价格介于50到200之间")
    private Float bookPrice;

    private String bookType;

    ...
}

1.4.3.入门案例

在请求处理方法中，使用@Validated或@Valid注解要验证的对象，并根据BindingResult判断校验是否通过；

@RequestMapping("/addBook")
public String addBook(@Validated Book book, 
                      BindingResult bindingResult, 
                      Model model){
    //判断是否验证通过
    if(bindingResult.hasErrors()){
        //验证失败
        bindingResult.getFieldErrors().forEach(it->{
            model.addAttribute(it.getField(),it.getDefaultMessage());
        });
        return "book/addBook";
    }else {
        //验证通过
    }
}

在前端页面中展示验证错误信息：

<form action="${ctx}/book/addBook" method="post">
    书本名称：<input type="text" name="bookName" />${bookName}<br/>
    书本类型：<input type="text" name="bookType" /><br/>
    书本价格：<input type="text" name="bookPrice" />${bookPrice}<br/>
    <input type="submit" value="提交"/>
</form>

1.4.4.分组校验

定义分组校验规则

public class Book implements Serializable {
    // 书本验证分组
    public static interface ValidateGroups {
        //新增
        interface add {}
        //删除
        interface del {}
    }
    ...
}

在指定属性添加分组校验规则

@NotNull(message = "书本编号不能为空",groups ={ ValidateGroups.del.class})
private Integer bookId;

@NotBlank(message = "书本名称不能为空",groups ={ ValidateGroups.add.class})
private String bookName;

private String bookNamePinyin;

@NotNull(message = "书本价格不能为空",groups ={ ValidateGroups.add.class})
@Range(min = 50,max = 200,message = "价格介于50到200之间",groups ={ ValidateGroups.add.class})
private Float bookPrice;

在请求方法中启用分组规则校验

@RequestMapping("/addBook")
public String addBook(@Validated(value={Book.ValidateGroups.del.class}) Book book, BindingResult bindingResult, Model model){
    ...
}

2.拦截器

2.1.什么是拦截器

SpringMVC的处理器拦截器,类似于Servlet开发中的过滤器Filter，用于对处理器进行预处理和后处理。依赖于web框架，在实现上基于Java的反射机制，属于面向切面编程（AOP）的一种运用。由于拦截器是基于web框架的调用，因此可以使用Spring的依赖注入（DI）进行一些业务操作，同时一个拦截器实例在一个controller生命周期之内可以多次调用。

2.2.拦截器与过滤器

什么是过滤器（Filter）

依赖于servlet容器。在实现上基于函数回调，可以对几乎所有请求进行过滤，但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作，比如：在过滤器中修改字符编码；在过滤器中修改HttpServletRequest的一些参数，包括：过滤低俗文字、危险字符等。

拦截器与过滤器的区别

　　 过滤器(filter)1.filter属于Servlet技术，只要是web工程都可以使用2.filter主要由于对所有请求过滤3.filter的执行时机早于Interceptor

　　 拦截器(interceptor)1.interceptor属于SpringMVC技术，必须要有SpringMVC环境才可以使用2.interceptor通常由于对处理器Controller进行拦截3.interceptor只能拦截dispatcherServlet处理的请求

2.3.应用场景

　　 日志记录**：记录请求信息的日志，以便进行信息监控、信息统计、计算PV（Page View）等。
　　权限检查**：如登录检测，进入处理器检测是否登录，如果没有直接返回到登录页面；
　　性能监控**：有时候系统在某段时间莫名其妙的慢，可以通过拦截器在进入处理器之前记录开始时间，在处理完后记录结束时间，从而得到该请求的处理时间（如果有反向代理，如apache可以自动记录）；
　　通用行为**：读取cookie得到用户信息并将用户对象放入请求，从而方便后续流程使用，还有如提取Locale、Theme信息等，只要是多个Controller中的处理方法都需要的，我们就可以使用拦截器实现。

2.4.快速入门

2.4.1.入门案例

　　创建自定义拦截器

@Slf4j
public class BookInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        log.info("【BookInterceptor】中的preHandler方法...");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        log.info("【BookInterceptor】中的postHandle方法...");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        log.info("【BookInterceptor】中的afterCompletion方法...");
    }
}

　　配置自定义拦截器

<!--6.拦截器-->
<mvc:interceptors>
   <!-- 1) 入门案例演示 -->
  <bean class="com.zking.ssm.interceptor.BookInterceptor"/>
</mvc:interceptors>

启动项目，打开浏览器访问请求地址，测试拦截器的拦截效果。

2.4.2.拦截器工作原理

preHandle：用于对拦截到的请求进行预处理，方法接收布尔(true,false)类型的返回值，返回true：放行，false：不放行。

执行时机：在处理器方法执行前执行

方法参数

 postHandle：用于对拦截到的请求进行后处理，可以在方法中对模型数据和视图进行修改

执行时机：在处理器的方法执行后，视图渲染之前

方法参数

 afterCompletion：用于在整个流程完成之后进行最后的处理，如果请求流程中有异常，可以在方法中获取对象

执行时机：视图渲染完成后(整个流程结束之后)

方法参数

 2.5.拦截器链

如果多个拦截器能够对相同的请求进行拦截，则多个拦截器会形成一个拦截器链，主要理解拦截器链中各个拦截器的执行顺序。拦截器链中多个拦截器的执行顺序，根拦截器的配置顺序有关，先配置的先执行。

<!--6.拦截器-->
<mvc:interceptors>
<!--2) 多拦截器（拦截器链）-->
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <bean class="com.zking.ssm.interceptor.CustomInterceptor"/>
    </mvc:interceptor>
    <mvc:interceptor>
        <mvc:mapping path="/book/**"/>
        <bean class="com.zking.ssm.interceptor.BookInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>

2.6.用户登录权限控制

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求路径
        String url = request.getRequestURI();
        System.out.println(url);
        //判断是否是跳转登录页面的请求 放行
        if(url.indexOf("/home/index.html")>0)
            return true;
        //判断是否是用户登录 放行
        if(url.indexOf("/user/userLogin")>0)
            return true;
        //获取session
        HttpSession session = request.getSession();
        //获取session中的用户对象
        String user = (String) session.getAttribute("username");
        //判断session中的用户对象是否存在，存在放行，不存在跳转登录页面
        if(user!=null)
            return true;
        request.setAttribute("msg","您还没有登录，请登录！");
        request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request,response);
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}