数据对象安全校验(oval框架)
来源:互联网 发布:cygwin与linux区别 编辑:程序博客网 时间:2024/05/22 15:53
很多时候我们都是忽略了对象数据的合法性,以为简单通过前台的js验证下是否正确就可以了,这后果比较让人但疼,下面举例个简单的例子,页面需要用户提交个简介,用户
这个时候可以写脚本在这个内容里,你说你在js有校验合法性,但是你要明白,现在的抓包工具是可以等你提交的时候,拦截住请求,然后通过编辑器修改了提交的值来绕过前台的js
验证,这样就造成了数据的不合法,所以如果数据安全要求高的,必须在后台再次验证合法性,下面我讲下选择的这个对象校验框架---oval
OVal 是一个可扩展的Java对象数据验证框架,验证的规则可以通过配置文件、Annotation、POJOs 进行设定。可以使用纯 Java 语言、JavaScript 、Groovy 、BeanShell 等进行规则的编写。网上资料是很少,所以自己学习的时候碰壁比较多
oval框架可以支持xml,注解配置,我个人倾向于xml配置,因为不想看到一个实体类的字段上写了n多的注解,所以下面我说下如何使用这个框架,灰常简单,暴力,灵活,不需要与页面的表单层打交道
先看看如何单独使用,比较简单
- public static void main(String[] args) {
- try {
- XMLConfigurer configurer = new XMLConfigurer(new File("valid-oval.xml"));
- Validator validator = new Validator(configurer);
- List<ConstraintViolation> violations = validator.validate(new Object());
- for (ConstraintViolation violation : violations) {
- System.out.println(violation.getMessage());
- }
- } catch (IOException e) {
- e.printStackTrace();
- }
- }
- <?xml version="1.0" ?>
- <oval
- xmlns="http://oval.sf.net/oval-configuration"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://oval.sf.net/oval-configuration http://oval.sourceforge.net/oval-configuration.xsd">
-
- <constraintSet id="testPattern">
- <notNull />
- <matchPattern message="只允许纯数字组合">
- <pattern pattern="[0-9]+" flags="0" />
- </matchPattern>
- </constraintSet>
-
- <class type="com.silvery.project.cms.model.Authority" overwrite="false" applyFieldConstraintsToSetter="true">
-
- <field name="name">
- <maxSize max="5" message="最多允许{max}个字符" />
- <assertConstraintSet id="testPattern" />
- </field>
-
- <field name="content">
- <assertConstraintSet id="testPattern" />
- </field>
-
- </class>
-
-
- </oval>
下面再看看如何与spring结合配置
先声明一个validator校验器
- <description>OVAL数据校验器配置</description>
-
- <bean id="validator" class="net.sf.oval.Validator">
- <constructor-arg>
- <list>
- <bean class="net.sf.oval.configuration.xml.XMLConfigurer">
- <constructor-arg type="java.io.InputStream" value="classpath:valid-oval.xml" />
- </bean>
- </list>
- </constructor-arg>
- </bean>
然后类里面直接注入validator即可
- @Autowired(required = false)
- protected Validator validator;
- if (!validModel) {
- return viewResult.setFormValid(true);
- }
- Validator validator = getValidator();
- if (validator != null) {
- List<ConstraintViolation> violations = getValidator().validate(obj);
- if (!isNull(violations)) {
- viewResult.setFormValid(false);
- viewResult.setFormErrors(validErrorToList(violations));
- } else {
- viewResult.setFormValid(true);
- }
- }
- return viewResult;
下面再看看如何使用注解的方式,虽然这个更方便,但是我觉得还是xml配置比较好管理
- private static class TestEntity
- {
- @Min(1960)
- private int year = 1977;
-
- @Range(min=1, max=12)
- private int month = 2;
-
- @ValidateWithMethod(methodName = "isValidDay", parameterType = int.class)
- private int day = 31;
-
- private boolean isValidDay(int day)
- {
- GregorianCalendar cal = new GregorianCalendar();
- cal.setLenient(false);
- cal.set(GregorianCalendar.YEAR, year);
- cal.set(GregorianCalendar.MONTH, month - 1);
- cal.set(GregorianCalendar.DATE, day);
- try {
- cal.getTimeInMillis(); // throws IllegalArgumentException
- } catch (IllegalArgumentException e) {
- return false;
- }
- return true;
- }
- }
RE: http://blog.csdn.net/shadowsick/article/details/40345019
0 0
