java - 如何处理 REST Web 服务中的资源验证？

Question

我正在使用 Spring、Jersey 和 Hibernate (JPA) 在 Java 中构建一个 REST Web 服务。

现在我正在尝试在我的资源中添加对验证的支持。 JSR-303(Bean 验证)自然是一个合适的选择(我使用的是 Hibernate Validator，它是 JSR-303 的引用实现)。不过，我想先巩固一些概念。

在我看来，至少有两种可能的验证:

• 定期验证字段，例如检查属性不为空，检查 String 属性是否是有效的电子邮件，检查 Integer 属性是否大于 10 等。这是按预期工作的。我已经注册了一个 JAX-RS ExceptionMapper，它将 javax.validation.ConstraintViolationException 映射到正确的 HTTP 响应中。
• 数据完整性验证

我将通过一个示例来解释“数据完整性验证”的确切含义。当两个或多个资源之间存在关系时，就会发生这种情况。想象两个资源:一个 Product 和一个 Category。 Product 有 Category。当客户端向服务器发送要创建的Product 的表示(POST HTTP 请求)时，它必须通知产品的Category。当然，客户必须事先知道类别。想象一下在 JSON 中是这样的:

{
   "quantity": "10",
   "state": "PRODUCED",
   "category": {
      "id": "123"
   }
}

嗯，id 为 123 的类别可能不存在。如果我们尝试将其插入数据库，显然我们会得到与外键相关的异常。所以我假设我们必须验证这些问题并向客户端返回正确的消息，就像在常规属性验证中一样。

---

现在，我的主要问题是:

1. 现在我正在通过 JPA 与 Bean Validation 的集成在数据访问级别执行验证。验证应该在序列化过程之前/之后、在数据库操作之前/之后还是两者进行？
2. 如何手动处理数据完整性验证？？ (即明确咨询数据库检查数据完整性)还是我们应该尝试插入它然后捕获数据库(或 DAO)异常？ Bean Validation 和这种验证无关吧？
3. 如果您对 JAX-RS/REST 和 Bean 验证有任何经验，我会很高兴告诉我。使用群组？

这些问题与 Java 有点相关，但我也希望对这些问题有一些新的看法。一些技术独立的。 :)如果您可以为您的 REST Web 服务上的这些问题提供自己的解决方案，那就太好了。

Answer 1

最终解决方案是继承 Jackson 的 JacksonJaxbJsonProvider它实现了 JAX-RS MessageBodyReader和 MessageBodyWriter .我受到了惊人的 dropwizard's approach 的启发.在这个提供程序中，我们需要以某种方式注入(inject)一个 Validator 实例(我使用 Spring 进行注入(inject)，使用 Hibernate Validator 进行 JSR-303 实现)。如果您使用 Hibernate ORM，请不要忘记禁用实体验证，否则您将验证同一个实体两次。不过，这可能是我们想要的。

那么，在这个子类中 MessageBodyReader ，我验证对象并抛出自定义 InvalidEntityException来自 validator 的错误。我还创建了一个 JAX-RS ExceptionMapper<InvalidEntityException>映射每个 InvalidEntityException进入正确的 HTTP 响应。在我的例子中，我返回了一个错误请求和一个包含错误描述的 JSON 对象。

请注意，此 MessageBodyReader 检查 @Valid和 @Validated注释。这意味着它正确地支持组。这很重要，因为我们可能不想在整个应用程序中进行相同类型的验证。一个例子是当我们想要进行部分更新(PUT)时。或者，例如，一个 id 属性在 POST 请求中必须为空，但在其他任何地方都非空。

数据完整性验证尚未完全处理。但我计划捕获数据库异常并将它们转换为我自己的域异常(例如 DataIntegrityException)，因为它似乎更高效且与我松散耦合。

---

更新:

从 JAX-RS 2 开始，推荐的方法是使用它的 Bean Validation 支持。在这里查看:https://jersey.java.net/documentation/latest/bean-validation.html