[发明专利]一种用于应用请求接口的字段校验框架和接口校验方法

说明书

本发明公开了一种用于应用请求接口的字段校验框架和接口校验方法，涉及计算机领域，字段校验框架包括依赖库层、校验框架组件层和应用请求接口层，依赖库层基于开源技术，提供字段校验框架的基础技术设施；校验框架组件层用于接收配置文件和注解，支持校验逻辑与业务代码解耦，配置解析，根据注解判断接口是否需要校验，解析配置文件，实例化校验规则，根据校验规则进行校验；应用请求接口层用于提供接口服务。在应用的资源管理中设置配置文件，集中管理校验规则，在应用业务接口添加注解，指示业务是否需要校验，将校验逻辑与业务代码的解耦，实现了校验规则的统一管理，提高校验灵活性和校验能力。

技术领域

本发明涉及计算机技术领域，尤其是涉及一种用于应用请求接口的字段校验框架和接口校验方法。

背景技术

对于任何一个应用系统而言，总会向外部或者内部提供诸多的接口，这些接口就是应用系统的服务能力。为了保护应用系统能够正常工作，我们除了对这些接口进行一些技术层面的安全防护之外，安全防护包括网络防火墙、IP黑白名单检测、流量控制、XSS过滤、SQL脚本注入防护等，还需要在业务层面上，对接口的请求参数进行规范校验，判断它们是否符合业务上的要求，从而在真正进入交易处理逻辑前，阻挡那些业务上非法的流量。

如图1所示，流量通过互联网进入时，首先经过防火墙，防火墙是网络安全设备，通过配置一些流量规则，使得只有满足条件的流量才有机会进入防火墙后面的设备，并且防火墙普遍具备识别一些非法攻击流量（如DDOS攻击）的能力。当流量通过防火墙之后，通常来说会有一些负载均衡设备，以nignx为例，它是软负载均衡，能够对目标服务器进行反向代理，并且能够在代理配置上添加IP黑白名单的功能。最后，流量进入应用服务器，现代编程语言往往通过一些开发框架提供现成的XSS过滤、防SQL脚本注入的能力，也就是说应用自身提供了一些技术层面上的安全防护。同时，应用需要对请求参数进行业务校验，一些业务上非法的请求参数将被阻挡，业务校验有且仅有可能在应用系统中执行，因为只有应用才知道应用层数据的具体业务规则。

对于请求参数的业务校验，当前比较普遍的做法是借助于一些开源的校验库，这些校验库普遍通过注解的方式，标注请求参数字段的校验规则，然后提供API对其进行校验。

然而，上述的现有技术方案存在灵活性不够、对集合类型的字段校验支持不够、校验规则无法统一管理的缺点：

（1）灵活性不够：对于面向对象的编程语言，如Java，如果多个接口的请求校验参数引用了同一个对象，但是不同接口对该对象的业务校验规则不同，举个例子，新增接口不要求有主键ID，而更新接口要求有主键ID，开源校验库提供的注解往往无法根据不同接口进行条件判断，导致需要手动校验或者创建两个一模一样的类。

（2）对集合类型的字段校验支持不够：对于接口中的一些集合类型的字段，例如Java中的List、Map等，开源校验库也往往只提供一些通用的校验方式，比如集合对象是否为空。但实际业务中校验集合可能有更为复杂的规则，比如需要校验集合大小是否超出限制、集合中每一个元素是否满足指定的业务规则、Map的key是否满足固定规则等。

（3）校验规则无法统一管理：校验规则散落在各个实体类中，如果我们查找某个接口的请求参数校验规则，需要先查找到此接口的请求参数类名，然后再查找到具体的实体类。

因此，实现对校验的统一管理，提高校验能力是目前亟待解决的问题。

发明内容

本发明的目的是提供一种用于应用请求接口的字段校验框架和接口校验方法，基于开源技术提供基础技术设施，在应用的资源管理中设置配置文件，集中管理校验规则，在应用业务接口添加注解，指示业务是否需要校验，将校验逻辑与业务代码的解耦，实现了校验规则的统一管理，提高校验能力。

第一方面，本发明的上述发明目的通过以下技术方案得以实现：