@InitBinder

查看 Reactive 栈中的等效内容

@Controller@ControllerAdvice 类可以包含 @InitBinder 方法,以初始化 WebDataBinder 实例,这些实例反过来可以

  • 将请求参数绑定到模型对象。

  • 将请求值从字符串转换为对象属性类型。

  • 在渲染 HTML 表单时将模型对象属性格式化为字符串。

@Controller 中,DataBinder 的定制设置局部应用于该控制器内,甚至可以通过注解按名称引用特定的模型属性。在 @ControllerAdvice 中,定制设置可以应用于所有或部分控制器。

您可以在 DataBinder 中注册 PropertyEditorConverterFormatter 组件用于类型转换。或者,您可以使用 MVC 配置 在全局共享的 FormattingConversionService 中注册 ConverterFormatter 组件。

@InitBinder 方法可以拥有许多与 @RequestMapping 方法相同的参数,但值得注意的是 @ModelAttribute 除外。通常,这类方法有一个 WebDataBinder 参数(用于注册)和一个 void 返回值,例如

  • Java

  • Kotlin

@Controller
public class FormController {

	@InitBinder (1)
	public void initBinder(WebDataBinder binder) {
		SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd");
		dateFormat.setLenient(false);
		binder.registerCustomEditor(Date.class, new CustomDateEditor(dateFormat, false));
	}

	// ...
}
1 定义一个 @InitBinder 方法。 
@Controller
class FormController {

	@InitBinder (1)
	fun initBinder(binder: WebDataBinder) {
		val dateFormat = SimpleDateFormat("yyyy-MM-dd")
		dateFormat.isLenient = false
		binder.registerCustomEditor(Date::class.java, CustomDateEditor(dateFormat, false))
	}

	// ...
}
1 定义一个 @InitBinder 方法。

或者,当您通过共享的 FormattingConversionService 使用基于 Formatter 的设置时,可以重用相同的方法并注册特定控制器的 Formatter 实现,如下例所示

  • Java

  • Kotlin

@Controller
public class FormController {

	@InitBinder (1)
	protected void initBinder(WebDataBinder binder) {
		binder.addCustomFormatter(new DateFormatter("yyyy-MM-dd"));
	}

	// ...
}
1 在自定义格式化器上定义 @InitBinder 方法。 
@Controller
class FormController {

	@InitBinder (1)
	protected fun initBinder(binder: WebDataBinder) {
		binder.addCustomFormatter(DateFormatter("yyyy-MM-dd"))
	}

	// ...
}
1 在自定义格式化器上定义 @InitBinder 方法。

模型设计

查看 Reactive 栈中的等效内容

Web 请求的数据绑定涉及将请求参数绑定到模型对象。默认情况下,请求参数可以绑定到模型对象的任何公共属性,这意味着恶意客户端可以为模型对象图中存在但未预期设置的属性提供额外的值。这就是为什么模型对象设计需要仔细考虑。

模型对象及其嵌套对象图有时也称为命令对象(command object)表单支持对象(form-backing object)POJO(Plain Old Java Object)

一个好的实践是使用专用的模型对象,而不是暴露您的领域模型(如 JPA 或 Hibernate 实体)用于 Web 数据绑定。例如,在一个用于更改电子邮件地址的表单上,创建一个 ChangeEmailForm 模型对象,它只声明输入所需的属性

public class ChangeEmailForm {

	private String oldEmailAddress;
	private String newEmailAddress;

	public void setOldEmailAddress(String oldEmailAddress) {
		this.oldEmailAddress = oldEmailAddress;
	}

	public String getOldEmailAddress() {
		return this.oldEmailAddress;
	}

	public void setNewEmailAddress(String newEmailAddress) {
		this.newEmailAddress = newEmailAddress;
	}

	public String getNewEmailAddress() {
		return this.newEmailAddress;
	}

}

另一个好的实践是应用构造函数绑定,它只使用构造函数参数所需的请求参数,任何其他输入都被忽略。这与属性绑定形成对比,属性绑定默认会绑定所有具有匹配属性的请求参数。

如果专用模型对象和构造函数绑定都不够用,并且您必须使用属性绑定,我们强烈建议在 WebDataBinder 上注册 allowedFields 模式(区分大小写),以防止意外属性被设置。例如

@Controller
public class ChangeEmailController {

	@InitBinder
	void initBinder(WebDataBinder binder) {
		binder.setAllowedFields("oldEmailAddress", "newEmailAddress");
	}

	// @RequestMapping methods, etc.

}

您还可以注册 disallowedFields 模式(不区分大小写)。但是,“允许”配置优先于“不允许”配置,因为它更明确且不易出错。

默认情况下,构造函数绑定和属性绑定都使用。如果您只想使用构造函数绑定,可以通过 @InitBinder 方法在控制器内部局部设置,或者通过 @ControllerAdvice 全局设置 WebDataBinder 上的 declarativeBinding 标志。开启此标志确保仅使用构造函数绑定,并且除非配置了 allowedFields 模式,否则不使用属性绑定。例如

@Controller
public class MyController {

	@InitBinder
	void initBinder(WebDataBinder binder) {
		binder.setDeclarativeBinding(true);
	}

	// @RequestMapping methods, etc.

}