偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Node 如何在 Controller 層進行數(shù)據(jù)校驗

作者:山月行
開發(fā) 前端
幽默風趣的后端程序員一般自嘲為 CURD Boy。CURD, 也就是對某一存儲資源的增刪改查,這完全是面向數(shù)據(jù)編程啊。

幽默風趣的后端程序員一般自嘲為 CURD Boy。CURD, 也就是對某一存儲資源的增刪改查,這完全是面向數(shù)據(jù)編程啊。

真好呀,面向數(shù)據(jù)編程,往往會對業(yè)務理解地更加透徹,從而寫出更高質量的代碼,造出更少的 BUG。既然是面向數(shù)據(jù)編程那更需要避免臟數(shù)據(jù)的出現(xiàn),加強數(shù)據(jù)校驗。否則,難道要相信前端的數(shù)據(jù)校驗嗎,畢竟前端數(shù)據(jù)校驗直達用戶,是為了 UI 層更友好的用戶反饋。

數(shù)據(jù)校驗層

后端由于重業(yè)務邏輯以及待處理各種數(shù)據(jù),以致于分成各種各樣的層級,以我經歷過的后端項目就有分為 Controller、Service、Model、Helper、Entity 等各種命名的層,五花八門。但這里肯定有一個層稱為 Controller,站在后端最上層直接接收客戶端傳輸數(shù)據(jù)。

由于 Controller 層是服務器端中與客戶端數(shù)據(jù)交互的最頂層,秉承著 Fail Fast的原則,肩負著數(shù)據(jù)過濾器的功能,對于不合法數(shù)據(jù)直接打回去,如同秦瓊與尉遲恭門神般威嚴。

數(shù)據(jù)校驗同時衍生了一個半文檔化的副產品,你只需要看一眼數(shù)據(jù)校驗層,便知道要傳哪些字段,都是些什么格式。

以下都是常見的數(shù)據(jù)校驗,本文講述如何對它們進行校驗:

  • required/optional
  • 基本的數(shù)據(jù)校驗,如 number、string、timestamp 及值需要滿足的條件
  • 復雜的數(shù)據(jù)校驗,如 IP、手機號、郵箱與域名
    1. const body = { 
    2.   id, 
    3.   name, 
    4.   mobilePhone, 
    5.   email 

山月接觸過一個沒有數(shù)據(jù)校驗層的后端項目,if/else 充斥在各種層級,萬分痛苦,分分鐘向重構。

JSON Schema

JSON Schema 基于 JSON 進行數(shù)據(jù)校驗格式,并附有一份規(guī)范 json-schema.org[1],目前 (2020-08) 最新版本是 7.0。各種服務器編程語言都對規(guī)范進行了實現(xiàn),如 go、java、php 等,當然偉大的 javascript 也有,如不溫不火的 ajv[2]。

以下是校驗用戶信息的一個 Schema,可見語法復雜與繁瑣:

  2.   "$schema": "http://json-schema.org/draft-04/schema#", 
  3.   "title": "User", 
  4.   "description": "用戶信息", 
  5.   "type": "object", 
  6.   "properties": { 
  7.     "id": { 
  8.       "description": "用戶 ID", 
  9.       "type": "integer" 
  10.     }, 
  11.     "name": { 
  12.       "description": "用戶姓名", 
  13.       "type": "string" 
  14.     }, 
  15.     "email": { 
  16.       "description": "用戶郵箱", 
  17.       "type": "string", 
  18.       "format": "email", 
  19.       "maxLength": 20 
  20.     }, 
  21.     "mobilePhone": { 
  22.       "description": "用戶手機號", 
  23.       "type": "string", 
  24.       "pattern": "^(?:(?:\+|00)86)?1[3-9]\d{9}$", 
  25.       "maxLength": 15 
  26.     } 
  27.   }, 
  28.   "required": ["id", "name"] 

對于復雜的數(shù)據(jù)類型校驗,JSON Schema 內置了以下 Format,方便快捷校驗:

  • Dates and times
  • Email addresses
  • Hostnames
  • IP Addresses
  • Resource identifiers
  • URI template
  • JSON Pointer
  • Regular Expressions

對于不在內置 Format 中的手機號,使用 ajv.addFormat 可手動添加 Format:

  1. ajv.addFormat('mobilePhone', (str) => /^(?:(?:\+|00)86)?1[3-9]\d{9}$/.test(str)); 

Joijoi

自稱最強大的 JS 校驗庫,在 github 也斬獲了一萬六顆星星。相比 JSON Schema 而言,它的語法更加簡潔并且功能強大。

The most powerful data validation library for JS

完成相同的校驗,僅需要更少的代碼,并能夠完成更加強大的校驗。以下僅做示例,更多示例請前往文檔。

  1. const schema = Joi.object({ 
  2.   id: Joi.number().required(), 
  3.   name: Joi.number().required(), 
  4.   email: Joi.string().email({ minDomainSegments: 2, tlds: { allow: ['com', 'net'] } }), 
  5.   mobilePhone: Joi.string().pattern(/^(?:(?:\+|00)86)?1[3-9]\d{9}$/), 
  6.  
  7.   password: Joi.string().pattern(/^[a-zA-Z0-9]{3,30}$/), 
  8.   // 與 password 相同的校驗 
  9.   repeatPassword: Joi.ref('password'), 
  10. }) 
  11.   // 密碼與重復密碼需要同時發(fā)送 
  12.   .with('password', 'repeat_password'); 
  13.   // 郵箱與手機號提供一個即可 
  14.   .xor('email', 'mobilePhone') 

數(shù)據(jù)校驗與路由層集成

由于數(shù)據(jù)直接從路由傳遞,因此 koajs 官方基于 joi 實現(xiàn)了一個 joi-router[4],前置數(shù)據(jù)校驗到路由層,對前端傳遞來的 query、body 與 params 進行校驗。

joi-router 也同時基于 co-body 對前端傳輸?shù)母鞣N content-type 進行解析及限制。如限制為 application/json,也可在一定程度上防止 CSRF 攻擊。

  1. const router = require('koa-joi-router'); 
  2. const public = router(); 
  3.  
  4. public.route({ 
  5.   method: 'post', 
  6.   path: '/signup', 
  7.   validate: { 
  8.     header: joiObject, 
  9.     query: joiObject, 
  10.     params: joiObject, 
  11.     body: joiObject, 
  12.     maxBody: '64kb', 
  13.     output: { '400-600': { body: joiObject } }, 
  14.     type: 'json', 
  15.     failure: 400, 
  16.     continueOnError: false 
  17.   }, 
  18.   pre: async (ctx, next) => { 
  19.     await checkAuth(ctx); 
  20.     return next(); 
  21.   }, 
  22.   handler: async (ctx) => { 
  23.     await createUser(ctx.request.body); 
  24.     ctx.status = 201
  25.   }, 
  26. }); 

正則表達式與安全正則表達式

山月在一次排查性能問題時發(fā)現(xiàn),一條 API 竟在數(shù)據(jù)校驗層耗時過久,這是我未曾想到的。而問題根源在于不安全的正則表達式,那什么叫做不安全的正則表達式呢?

比如下邊這個能把 CPU 跑掛的正則表達式就是一個定時炸彈,回溯次數(shù)進入了指數(shù)爆炸般的增長。

  1. const safe = require('safe-regex') 
  2. const re = /(x+x+)+y/ 
  3.  
  4. // 能跑死 CPU 的一個正則 
  5. re.test('xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx') 
  6.  
  7. // 使用 safe-regex 判斷正則是否安全 
  8. safe(re)   // false 

數(shù)據(jù)校驗,針對的大多是字符串校驗,也會充斥著各種各樣的正則表達式,保證正則表達式的安全相當緊要。safe-regex[6] 能夠發(fā)現(xiàn)哪些不安全的正則表達式。

總結

  • Controller 層需要進行統(tǒng)一的數(shù)據(jù)校驗,可以采用 JSON Schema (Node 實現(xiàn) ajv) 與 Joi
  • JSON Schema 有官方規(guī)范及各個語言的實現(xiàn),但語法繁瑣,可使用校驗功能更為強大的 Joi
  • 進行字符串校驗時,注意不安全的正則引起的性能問題

 

責任編輯:趙寧寧 來源: 全棧成長之路
Node Controller數(shù)據(jù)校驗
相關推薦

2023-10-18 18:38:44

數(shù)據(jù)校驗業(yè)務

2025-02-10 10:29:32

2011-07-05 09:56:02

服務器虛擬化數(shù)據(jù)存儲

2021-06-11 06:00:37

蘋果Mac數(shù)據(jù)遷移

2019-09-27 12:44:03

數(shù)據(jù)建模企業(yè)數(shù)據(jù)存儲

2022-11-02 14:45:24

Python數(shù)據(jù)分析工具

2024-03-26 08:17:00

Controller參數(shù)校驗

2022-04-15 10:36:11

數(shù)據(jù)治理企業(yè)

2019-01-15 14:21:13

Python數(shù)據(jù)分析數(shù)據(jù)

2021-12-10 15:03:20

數(shù)字化轉型企業(yè)技術

2024-07-30 08:00:00

Kubernetes數(shù)據(jù)庫

2011-05-25 00:00:00

數(shù)據(jù)庫設計

2010-03-17 18:21:54

Java多線程靜態(tài)數(shù)據(jù)

2024-10-28 12:57:36

Pandas數(shù)據(jù)清洗

2011-03-09 14:18:37

SQL數(shù)據(jù)累加

2017-10-31 11:55:46

sklearn數(shù)據(jù)挖掘自動化

2023-05-05 19:16:22

Python數(shù)據(jù)清洗

2019-12-11 14:27:39

數(shù)據(jù)庫集群Kubernetes

2010-02-02 10:04:58

2022-05-25 15:33:27

區(qū)塊鏈加密貨幣
點贊
收藏

51CTO技術棧公眾號