Springboot-Validate-全局Exception记录

SpringBoot参数校验
最新推荐文章于 2025-10-16 10:51:45 发布
原创 最新推荐文章于 2025-10-16 10:51:45 发布 · 514 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #python #spring boot #django

本文介绍SpringBoot中如何使用内置的hibernate-validation进行参数校验,包括常用注解及其用法,异常处理机制,以及如何自定义校验规则。

SpringBoot在内部通过集成hibernate-validation,可以直接使用。项目中我们需要经常的去判断前端传递到后端的数据是否正确,这个时候需要些大量的if语句,代码相对比较中。这个时候validation就发挥了很大的作用。

Bean Validation 中内置的 验证规则:

注解      作用
@Valid  被注释的元素是一个对象,需要检查此对象的所有字段值
@Null   被注释的元素必须为 null
@NotNull    被注释的元素必须不为 null
@AssertTrue 被注释的元素必须为 true
@AssertFalse    被注释的元素必须为 false
@Min(value) 被注释的元素必须是一个数字,其值必须大于等于指定的最小值
@Max(value) 被注释的元素必须是一个数字,其值必须小于等于指定的最大值
@DecimalMin(value)  被注释的元素必须是一个数字,其值必须大于等于指定的最小值
@DecimalMax(value)  被注释的元素必须是一个数字,其值必须小于等于指定的最大值
@Size(max, min) 被注释的元素的大小必须在指定的范围内
@Digits (integer, fraction) 被注释的元素必须是一个数字,其值必须在可接受的范围内
@Past   被注释的元素必须是一个过去的日期
@Future 被注释的元素必须是一个将来的日期
@Pattern(value) 被注释的元素必须符合指定的正则表达式

Hibernate Validator 验证规则:

注解  作用
@Email  被注释的元素必须是电子邮箱地址
@Length(min=, max=) 被注释的字符串的大小必须在指定的范围内
@NotEmpty   被注释的字符串的必须非空
@Range(min=, max=)  被注释的元素必须在合适的范围内
@NotBlank   被注释的字符串的必须非空
@URL(protocol=, host=,    port=,  regexp=, flags=)  被注释的字符串必须是一个有效的url
@CreditCardNumber   被注释的字符串必须通过Luhn校验算法, 银行卡,信用卡等号码一般都用Luhn 计算合法性
@ScriptAssert (lang=, script=, alias=)  要有Java Scripting API 即JSR 223

注意区分:

注解   作用
@NotNull    任何对象的value不能为null
@NotEmpty   集合对象的元素不为0,即集合不为空,也可以用于字符串不为null
@NotBlank   只能用于字符串不为null,并且字符串trim()以后length要大于0
此处使用spring内置的Validate:

pom:

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
 </dependency>

其内置了:

<dependency>
    <groupId>org.hibernate</groupId>
    <artifactId>hibernate-validator</artifactId>
</dependency>
<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
</dependency>

使用:
1.请求方法中的请求参数上直接添加验证规则 如:@NotNull ,这里需要注意的是在该类上面需要添加@Validated。千万不要忘记,不然不会生效。

/**
 *
 *@NotBlank @NotNull 如果在请求的方法上 直接使用 需要在该类上添加
 * @Validated 注解 否则 该验证注解不生效
 *
 * 如果在请求对象中的属性上使用校验 注解 需要在方法请求参数中 该对象之前使用 @Validated 对象 对象名
 *
 */
@RestController
//非对象接收的参数 在类上需要添加该注解
@Validated
public class UserController {
    private static final Logger log = LoggerFactory.getLogger(UserController.class);
    @RequestMapping("/getUserInfo")
    public RestResultWrapper getUserInfo(@NotBlank(message = "地址不能为空!") @RequestParam(name = "address") String Address){
        User user=new User();
        user.setAddress("ssssssss");
        user.setAge(20);
        user.setBianhao(58588);
        user.setName("天狗食日");
        return new RestResultWrapper(user,0,"成功");
    }
 
}

2.嵌套使用验证规则。如在实体类中的属性上使用验证规则。并且此时需要在请求实体类旁边添加@Validated

@Data
public class UserRequest {

   @NotNull(message = "姓名不能为空")
   private String name;

   //{user.name.notblank} 从 ValidationMessages.properties 获取到的
   @NotNull(message = "{user.name.notblank}")
   @Range(max = 150, min = 1, message = "年龄范围应该在1-150内。")
   private Integer age;

   @NotNull(message = "编号不能为空")
   private Integer bianhao;

   @NotNull(message = "地址不能为空")
   private String address;

}
@RestController
public class ValidateController {


   /**
    * 结果是空的
    * @param userRequest
    * @return
    */
   @RequestMapping("/getUserOne")
   public RestResultWrapper getUserOne(@Validated UserRequest userRequest){
       User user=new User();
       user.setAddress("ssssssss");
       user.setAge(20);
       user.setBianhao(58588);
       user.setName("天狗食日");
       return new RestResultWrapper(user,0,"成功");
   }
}

异常处理:
验证不通过的时候一般使用全局异常进行处理。设计到三个类:
ConstraintViolationException(方法参数校验异常)如实体类中的@Size注解配置和数据库中该字段的长度不统一等问题
MethodArgumentNotValidException(Bean 校验异常)
BindException (参数绑定异常)
请求时候不加任何参数:BindException

package com.springboot.validate.springbootvalidateexception.exception;
 
 
import com.springboot.validate.springbootvalidateexception.constant.RestResultWrapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.util.CollectionUtils;
import org.springframework.validation.BindException;
import org.springframework.validation.FieldError;
import org.springframework.validation.ObjectError;
import org.springframework.web.HttpRequestMethodNotSupportedException;
import org.springframework.web.bind.MethodArgumentNotValidException;
import org.springframework.web.bind.MissingServletRequestParameterException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestControllerAdvice;
 
import javax.servlet.http.HttpServletRequest;
import javax.validation.ConstraintViolationException;
import java.text.SimpleDateFormat;
import java.util.*;
import java.util.stream.Collectors;
 
/**
 * 全局异常处理 无法处理filter抛出的异常
 */
@RestControllerAdvice
public class OnlineGlobalException {
 
    private static Logger logger = LoggerFactory.getLogger(OnlineGlobalException.class);
 
    /**
     * 方法参数校验异常 Validate
     * @param request
     * @param ex
     * @return
     */
    @ExceptionHandler(ConstraintViolationException.class)
    @ResponseBody
    public RestResultWrapper handleValidationException(HttpServletRequest request, ConstraintViolationException ex) {
        logger.error("异常:" + request.getRequestURI(), ex);
        String collect = ex.getConstraintViolations().stream().filter(Objects::nonNull)
                .map(cv -> cv == null ? "null" : cv.getPropertyPath() + ": " + cv.getMessage())
                .collect(Collectors.joining(", "));
        RestResultWrapper<String> restResultWrapper = new RestResultWrapper();
        logger.info("请求参数异常",collect);
        restResultWrapper.setCode(HttpStatus.BAD_REQUEST.value());
        restResultWrapper.setMessage(ex.getMessage());
        return restResultWrapper;
    }
 
    /**
     * Bean 校验异常 Validate
     * @param request
     * @param exception
     * @return
     */
    @ExceptionHandler(value = MethodArgumentNotValidException.class) //400
    @ResponseBody
    public RestResultWrapper methodArgumentValidationHandler(HttpServletRequest request, MethodArgumentNotValidException exception){
        logger.info("异常:" + request.getRequestURI(), exception);
        logger.info("请求参数错误!{}",getExceptionDetail(exception),"参数数据:"+showParams(request));
        RestResultWrapper<String> restResultWrapper = new RestResultWrapper();
        restResultWrapper.setCode(HttpStatus.BAD_REQUEST.value());
        if (exception.getBindingResult() != null && !CollectionUtils.isEmpty(exception.getBindingResult().getAllErrors())) {
            restResultWrapper.setMessage(exception.getBindingResult().getAllErrors().get(0).getDefaultMessage());
        } else {
            restResultWrapper.setMessage(exception.getMessage());
        }
        return restResultWrapper;
    }
 
    /**
     * 绑定异常
     * @param request
     * @param pe
     * @return
     */
    @ExceptionHandler(BindException.class)
    @ResponseBody
    public RestResultWrapper bindException(HttpServletRequest request, BindException pe) {
        logger.error("异常:" + request.getRequestURI(), pe);
        RestResultWrapper<String> restResultWrapper = new RestResultWrapper();
        Map map=new HashMap();
        if(pe.getBindingResult()!=null){
            List<ObjectError> allErrors = pe.getBindingResult().getAllErrors();
            allErrors.stream().filter(Objects::nonNull).forEach(objectError -> {
                map.put("请求路径:"+request.getRequestURI()+"--请求参数:"+(((FieldError) ((FieldError) allErrors.get(0))).getField().toString()),objectError.getDefaultMessage());
            });
        }
        restResultWrapper.setCode(HttpStatus.BAD_REQUEST.value());
        restResultWrapper.setMessage("请求参数绑定失败");
        restResultWrapper.setResult(map.toString());
        return restResultWrapper;
    }
 
 
    /**
     * 访问接口参数不全
     * @param request
     * @param pe
     * @return
     */
    @ExceptionHandler(MissingServletRequestParameterException.class)
    @ResponseBody
    public RestResultWrapper missingServletRequestParameterException(HttpServletRequest request, MissingServletRequestParameterException pe) {
        logger.error("异常:" + request.getRequestURI(), pe);
        RestResultWrapper<String> restResultWrapper = new RestResultWrapper();
        restResultWrapper.setCode(HttpStatus.BAD_REQUEST.value());
        restResultWrapper.setMessage("该请求路径:"+request.getRequestURI()+"下的请求参数不全:"+pe.getMessage());
        return restResultWrapper;
    }
 
    /**
     * HttpRequestMethodNotSupportedException
     * @param request
     * @param pe
     * @return
     */
    @ExceptionHandler(HttpRequestMethodNotSupportedException.class)
    @ResponseBody
    public RestResultWrapper httpRequestMethodNotSupportedException(HttpServletRequest request, HttpRequestMethodNotSupportedException pe) {
        logger.error("异常:" + request.getRequestURI(), pe);
        RestResultWrapper<String> restResultWrapper = new RestResultWrapper();
        restResultWrapper.setCode(HttpStatus.BAD_REQUEST.value());
        restResultWrapper.setMessage("请求方式不正确");
        return restResultWrapper;
    }
 
 
    /**
     * 其他异常
     * @param request
     * @param pe
     * @return
     */
    @ExceptionHandler(Exception.class)
    @ResponseBody
    public RestResultWrapper otherException(HttpServletRequest request, Exception pe) {
        logger.error("异常:" + request.getRequestURI(), pe);
        RestResultWrapper<String> restResultWrapper = new RestResultWrapper();
        restResultWrapper.setCode(HttpStatus.BAD_REQUEST.value());
        restResultWrapper.setMessage(getExceptionDetail(pe));
        return restResultWrapper;
    }
 
    /**
     * 异常详情
     * @param e
     * @return
     */
    private String getExceptionDetail(Exception e) {
        StringBuilder stringBuffer = new StringBuilder(e.toString() + "\n");
        StackTraceElement[] messages = e.getStackTrace();
        Arrays.stream(messages).filter(Objects::nonNull).forEach(stackTraceElement -> {
            stringBuffer.append(stackTraceElement.toString() + "\n");
        });
        return stringBuffer.toString();
    }
 
    /**
     * 请求参数
     * @param request
     * @return
     */
    public  String showParams(HttpServletRequest request) {
        Map<String,Object> map = new HashMap<String,Object>();
        StringBuilder stringBuilder=new StringBuilder();
        Enumeration paramNames = request.getParameterNames();
        stringBuilder.append("----------------参数开始-------------------");
        stringBuilder.append(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date()));
        if(Objects.nonNull(paramNames)){
            while (paramNames.hasMoreElements()) {
                String paramName = (String) paramNames.nextElement();
                String[] paramValues = request.getParameterValues(paramName);
                if (paramValues.length >0) {
                    String paramValue = paramValues[0];
                    if (paramValue.length() != 0) {
                        stringBuilder.append("参数名:").append(paramName).append("参数值:").append(paramValue);
                    }
                }
            }
        }
        stringBuilder.append("----------------参数结束-------------------");
        return stringBuilder.toString();
    }
 
 
}

验证请求参数还可以通过自定义注解:

如:

手机号码:

@ConstraintComposition(CompositionType.OR)
//模式
@Pattern(regexp = "1[3|4|5|7|8|6][0-9]\\d{8}")
@Null
@Length(min = 0, max = 16)
@Documented
@Constraint(validatedBy = {})
@Target({ ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Retention(RUNTIME)
@ReportAsSingleViolation
public @interface PhoneVerification {
    String message() default "手机号校验错误";
 
    //分组
    Class<?>[] groups() default {};
 
    //负载
    Class<? extends Payload>[] payload() default {};
}
身份证:

@Target( { METHOD, FIELD, ANNOTATION_TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = CardValidate.Validator.class)
@Documented
public @interface CardValidate {
    String message() default "invalid phone number";
 
    //分组
    Class<?>[] groups() default {};
 
    //负载
    Class<? extends Payload>[] payload() default {};
 
    class Validator implements ConstraintValidator<CardValidate, String> {
        @Override
        public boolean isValid(String carid, ConstraintValidatorContext arg1){
            if(!StringUtils.isEmpty(carid)){
                //RegexValidateUtils.checkCard(carid)
                //TODO 验证逻辑
                return true;
            }else{
                return true;
            }
        }
    }
}

分组校验:https://www.cnkirito.moe/spring-validation/

@Validated和@Valid区别:https://blog.youkuaiyun.com/qq_27680317/article/details/79970590

@Validated和@Valid在嵌套验证功能上的区别:

@Validated:用在方法入参上无法单独提供嵌套验证功能。不能用在成员属性(字段)上,也无法提示框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。

     @Valid:用在方法入参上无法单独提供嵌套验证功能。能够用在成员属性(字段)上,提示验证框架进行嵌套验证。能配合嵌套验证注解@Valid进行嵌套验证。

代码参考:https://github.com/timeday/springboot-validateexception
————————————————
版权声明:本文为优快云博主「喝醉的咕咕鸟」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.youkuaiyun.com/weixin_43549578/article/details/90242559

【异常】Flyway提示报错FlywayValidateException: Validate failed: Migrations have failed validation
本本本添哥
03-14 2454
导致生成的checksum改了,因此在校验历史版本的时候,出现了问题,因此下面的记录执行失败。按照校验的提示,将以下值,直接修改更新错误的checksum值即可。原来脚本写的好好的,我手欠去修改了,
springboot入门(全局 异常拦截)
03-01
springboot入门 全局 异常拦截 学习代码
Spring Boot电商项目24:商品分类模块三:使用【@Valid注解】校验入参;(重点是:处理MethodArgumentNotValidException异常的信息,构建API统一返回对象)
小枯林的博客
02-24 3245
说明: (1)为什么写本篇博客?:在【Spring Boot电商项目23:商品分类模块二:【增加目录分类】接口;(接收请求中的、放在body中的参数时候,使用了@RequestBody;)】中,Controller处接收参数的时候,需要校验下参数是否为空;在这篇博客中,我们采用笨笨的方式去校验; ...
SpringSpring Boot 中 @Valid 与全局异常处理器的联系详解
最新发布
savemeill的博客
10-16 918
Valid 参数校验↓校验失败抛出 MethodArgumentNotValidException↓异常上抛至 DispatcherServlet↓Spring MVC 寻找 @ExceptionHandler 处理方法↓匹配到 GlobalExceptionHandler 中的处理逻辑↓返回统一格式的 ResponseResult JSON 响应一句话总结:@Valid 负责“发现错误”,@RestControllerAdvice 负责“优雅处理错误”。@Valid。
SpringBoot中Mapper方法绑定出错/org.apache.ibatis.binding.BindException:Invalid bound statement(not found)解决
花花的小脑瓜的博客
04-25 1273
SpringBoot中Mapper方法绑定出错时怎么解决方案 1.背景 前几天在写SpringBoot项目,由于用的是最简单的增删改查,而且是最基本的controller调service层,service调mapper层,然后有映射文件mapper.xml就没有写一个测试一个,最后写完了才测试。就突然报错如图错误: 2.问题分析 报错信息大概就是说controller层调service接口时,service中的Mapper方法在mapper.xml中找不到对应的方法,也就是所说的没有绑定上。知道报错信息了就
SpringBoot项目中抛出ValidationException有红线问题
h1239757443的博客
07-05 790
问题:service层的接口、实现类以及controller中的方法均含有该异常红线。 解决:由于JDK版本过高导致的,需要在pom.xml中配置依赖: <dependency> <groupId>javax.xml.bind</groupId> <artifactId>jaxb-api</artifactId> <version>2.3.0</version
springboot-请求入参验证
没啥简介
01-03 1441
springboot-请求入参验证1. JSR-303验证规则2.使用@Validated验证入参3.自定义验证规则3.1 自定义验证注解@WorkOverTime3.2 自定义验证器WorkOverTimeValidator4.统一处理验证失败结果 Spring Boot 支持 JSR-303 、 Bean 验证框架 , 默认实现用的是 Hibernate validator。在Spring MVC 中,只需要使用@Valid 注解标注在方法参数上, Spring Boot 即可对参数对象进行校验 ,
SpringBoot -- 整合Shiro实现用户登录认证
Layduo
11-12 1174
前言:前段时间在搭建公司框架安全验证的时候,就想到之前web最火的shiro框架,所以就在空闲时间学习并总结一些搭建流程和解析,这里给大家出个简单的教程说明吧。 shiro的基本介绍这里就不再说了,可以自行百度相关的shiro教程,对于第一次接触shiro的小伙伴,博主推荐你可以先阅读该篇文章Shiro,对shiro进行初步的了解,以及它的核心原理。 一、什么是shiro? shiro是ap...
阿里P8亲自讲解:SpringBoot-表单验证-统一异常处理-自定义验证信息源
wdjnb的博客
12-27 436
1. 简介 我们都知道前台的验证只是为了满足界面的友好性、客户体验性等等。但是如果仅靠前端进行数据合法性校验,是远远不够的。因为非法用户可能会直接从客户端获取到请求地址进行非法请求,所以后台的校验是必须的;特别是应用如果不允许输入空值,对数据的合法性有要求的情况下。 2. 开撸 2.1 项目结构 结构说明: ├── java │ └── com │ └── ldx │ └── valid │ ├── ValidApplica
springboot @Validate注解与@ExceptionHandler注解原理分析
fatesunlove的博客
06-10 900
在接口编写时,我们常常需要对输入参数做校验,并返回校验结果。以往需要自己在每个接口调用检验方法,并且调用校验结果生成方法。spingboot有很方便的处理方式,即@Validate注解,该注解功能很多,详见@Validated注解详解,分组校验,嵌套校验,@Valid和@Validated 区别,Spring Boot @Validated_昌杰的攻城狮之路的博客-优快云博客_@validated注解技术栈:spring boot2.3.3.RELEASEhibernate-validator文末附项目源
springboot实战学习笔记(4)(Spring Validation参数校验框架、全局异常处理器)
岁岁岁平安的博客
09-18 1481
本篇博客主要是关于用户模块的"注册“的后端接口测试的"参数校验问题"。其中主要提到了手动校验参数、利用参数校验框架(Spring Validation)校验参数、以及参数校验失败时的异常消息返回处理(全局异常处理器:"GlobalExceptionHandler")等等.....
Springboot全局异常处理
王林的博客
09-06 343
Springboot全局异常处理 一、前提 已经搭建好springboot环境,并正确运行!!! 若没有搭建可以参考: 二、新建 RetJson类 @Data @ToString @ApiModel(value = "返回信息类", description = "基础返回类") public class RetJson<T> { @ApiModelProperty(value = "状态码") private Integer code; @ApiModelPropert
SpringBoot中的异常处理与参数校验
一个程序员的成长
04-21 1502
兄弟们好,这次来跟老铁交流两个问题,异常和参数校验,在说参数校验之前我们先来说异常处理吧,因为后面参数的校验会牵扯到异常处理这块的内容。 异常处理 说到异常处理,我不知道大家有没有写过或者遇到过如下的写法。 public void saveUser() { try { // 所有的业务内容,目测几百行 }catch (Exception e) { ...
SpringBoot 中使用 @Valid 注解 + Exception 全局处理器优雅处理参数验证
zzhongcy的专栏
06-03 1712
网上这篇文章详细介绍了@Valid的使用,这里记录一下。 note: Sprintboot 2.3.0的spring-boot-starter默认不包含@Valid,需要加依赖包: The spring-boot-starter-validation is not a transitive dependency of spring-boot-starter-web and spring-boot-starter-webflux anymore. Add this dependency for val
SpringBoot使用@Valid注解+Exception全局处理器优雅处理参数验证
huang714的专栏
04-15 1327
自定义个异常类,方便我们处理 GET 请求(GET 请求参数中一般是没有实体对象的,所以不能使用 @Valid),当请求验证失败时,手动抛出自定义异常,交由全局异常处理。
laravel 中 api接口 使用 FormRequest 验证时,返回json格式的 validate错误信息
q412539429的博客
02-21 1746
然而,这是前端的页面(PC页面),我们现在要说的 API接口 解决办法,同样是关注 App\Exceptions\Handler.php 这个文件是laravel的错误处理的地方 同样是要修改类中的 render() 方法 思路是 当validator验证出错的时候 laravel 抛出的是一个 validateException 类,并且laravel接口路由的前缀是 “api/”,那么我...
spring使用validation参数及全局异常检测
littleschemer的博客
08-11 1426
Spring框架对Java Bean Validation API提供了很好的支持,允许你很容易地在Spring应用程序中进行数据验证。通过Validation结合全局异常拦截器,可以非常优雅实现对请求参数进行验证,并对异常进行二次转义,使之符合客户端响应标准。
springboot 导入接口 csrf validate fail
08-12
<think>首先,用户的问题是:“Spring Boot 导入接口时出现 CSRF 验证失败 如何解决”。这是基于引用的内容,引用[1]到[4]讨论了Spring Security中的CSRF问题、配置和错误处理。 关键点是CSRF验证失败,错误如引用[1]所述:HTTP Status 403 - Invalid CSRF Token 'null' was found。 我需要提供一个结构清晰的解决方案,帮助用户逐步解决问题。回答应该真实可靠,基于提供的引用。 步骤分解: 1. **理解问题**:CSRF(Cross-Site Request Forgery)保护是Spring Security默认启用的。它要求所有修改状态的请求(如POST、PUT、DELETE)必须包含一个有效的CSRF令牌。否则,会返回403错误。 2. **常见原因**:如引用[1]和[3]所述,错误通常是由于请求中没有提供CSRF令牌,或者令牌无效。 3. **解决方案**:基于引用,我可以建议以下步骤: - **禁用CSRF保护**:如果不需要CSRF保护(例如,在API开发中),可以禁用。但这不是推荐的安全实践。 - **正确提供CSRF令牌**:在表单或请求中包含CSRF令牌。 - **配置Spring Security**:如引用[2]和[3]所示,可以通过配置HttpSecurity来处理CSRF。 - **错误处理**:引用[4]讨论了登录成功和失败的处理,但可以扩展到CSRF错误。 具体解决方案: - **禁用CSRF**:在configure方法中,添加`.csrf().disable()`。但警告用户这可能不安全。 - **启用CSRF并提供令牌**:在表单中,使用Thymeleaf或类似模板引擎自动添加CSRF令牌。例如,在HTML表单中添加`<input type="hidden" name="_csrf" th:value="${_csrf.token}"/>`。 - **对于非表单请求(如API)**:使用JavaScript或类似方式获取令牌并添加到请求头中。 - **配置错误处理**:如引用[4],可以自定义CSRF错误处理。 结构回答: - 先解释问题。 - 逐步提供解决方案。 - 包括代码示例。 - 添加相关问题,如系统指令要求。 系统指令要求: - 使用中文回答。 - 行内数学表达式用$...$,但这里可能不需要数学表达式。 - 独立公式用$$...$$,但可能不适用。 - 生成相关问题。 - 引用末尾添加标识,如[^1]。 相关问题生成: - 基于主题,如: 1. 如何自定义CSRF令牌存储? 2. Spring Security中CSRF保护的最佳实践是什么? 3. 如何处理API中的CSRF问题? 最终回答结构: 1. 介绍问题。 2. 提供解决方案步骤。 3. 代码示例。 4. 相关问题。</think>### Spring Boot 导入接口时出现CSRF验证失败的解决方案 在Spring Boot应用中整合Spring Security时,CSRF(跨站请求伪造)保护是默认启用的安全机制。当您尝试导入接口(如POST请求)时,如果请求中缺少有效的CSRF令牌,系统会返回HTTP 403错误,提示类似“Invalid CSRF Token 'null' was found”的问题[^1]。这通常发生在表单提交或API调用中,因为Spring Security要求所有非幂等请求(如POST、PUT、DELETE)必须包含CSRF令牌以验证请求来源的合法性。以下是结构化的解决方案,帮助您逐步排查和修复问题。 --- ### 步骤1: 理解问题根源 - **CSRF验证原理**: Spring Security为每个会话生成一个唯一的CSRF令牌(存储在`_csrf`属性中)。客户端必须在请求(表单字段或请求头)中提供此令牌,否则请求会被拒绝[^1]。 - **常见原因**: - 表单未包含CSRF令牌字段(例如,HTML表单中缺少`<input type="hidden" name="_csrf" ...>`)。 - 非浏览器请求(如Postman或API调用)未添加CSRF令牌到请求头。 - Spring Security配置未正确处理CSRF(如未启用全局方法安全注解)[^2][^3]。 --- ### 步骤2: 实施解决方案(根据场景选择) #### 方案A: 在表单中正确添加CSRF令牌(推荐用于Web页面) 如果导入接口涉及HTML表单,确保模板引擎(如Thymeleaf)自动注入CSRF令牌: - **示例代码(Thymeleaf表单)**: ```html <form action="/import" method="post"> <!-- 其他表单字段 --> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <button type="submit">导入数据</button> </form> ``` - Thymeleaf会自动处理`${_csrf.token}`,无需额外配置[^1][^3]。 #### 方案B: 在非表单请求(如API)中添加CSRF令牌 对于工具(如Postman)或前端框架(如React/Angular),需手动添加令牌到请求头: - **获取令牌**: 先发送GET请求到登录页面或安全端点,从响应Cookie或HTML中提取`XSRF-TOKEN`。 - **添加令牌**: 在POST请求头中设置: - 请求头: `X-CSRF-TOKEN: <token_value>` - 或参数: `_csrf: <token_value>` - **示例(JavaScript Fetch API)**: ```javascript fetch('/import', { method: 'POST', headers: { 'X-CSRF-TOKEN': getCookie('XSRF-TOKEN') // 从Cookie获取 }, body: JSON.stringify(data) }); ``` #### 方案C: 调整Spring Security配置 如果以上无效,修改安全配置类(继承`WebSecurityConfigurerAdapter`): - **禁用CSRF(不推荐,仅用于测试或内部API)**: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() // 禁用CSRF保护 .authorizeRequests() .antMatchers("/import").permitAll() // 允许导入接口 .anyRequest().authenticated(); } ``` - **警告**: 禁用CSRF会降低安全性,仅适用于无需防范跨站攻击的场景[^3]。 - **启用CSRF并自定义处理(推荐)**: ```java @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法级安全[^2] public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() // 启用CSRF .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) // 令牌存储到Cookie .and() .authorizeRequests() .antMatchers(HttpMethod.POST, "/import").authenticated() // 保护导入接口 .and() .exceptionHandling() .authenticationEntryPoint((request, response, e) -> response.sendError(HttpStatus.FORBIDDEN.value(), "CSRF验证失败")); // 自定义错误响应[^4] } } ``` - **关键点**: - `CookieCsrfTokenRepository`让令牌通过Cookie自动传递,简化前端处理。 - 自定义错误处理(`exceptionHandling()`)可返回更友好的错误消息,避免403页面[^4]。 --- ### 步骤3: 测试与验证 1. **本地测试**: 使用Postman模拟POST请求: - 添加请求头: `X-CSRF-TOKEN: <从登录响应获取的令牌>`。 - 检查响应状态码应为200而非403。 2. **日志检查**: 启动应用时查看日志,确认`WebSecurityConfig`配置已加载。 3. **常见陷阱**: - 确保`@EnableGlobalMethodSecurity`已启用(引用[2]),否则方法级安全注解无效。 - 如果使用`@PreAuthorize`等注解,需在接口方法上添加权限控制[^2]。 > **注意**: 如果问题持续,检查Spring Boot版本兼容性(Spring Security 5.x+默认启用CSRF)。完整代码示例可参考Spring官方文档或引用[1][^3]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值