关于node.js:Node-在-Controller-层如何进行数据校验

41次阅读

共计 3252 个字符,预计需要花费 9 分钟才能阅读完成。

本文收录于 GitHub 山月行博客: shfshanyue/blog,内含我在理论工作中碰到的问题、对于业务的思考及在全栈方向上的学习

  • 前端工程化系列
  • Node 进阶系列

风趣有趣的后端程序员个别自嘲为 CURD Boy。CURD, 也就是对某一存储资源的增删改查,这齐全是面向数据编程啊。

真好呀,面向数据编程,往往会对业务了解地更加透彻,从而写出更高质量的代码,造出更少的 BUG。既然是面向数据编程那更须要防止脏数据的呈现,增强数据校验。否则,难道要置信前端的数据校验吗,毕竟前端数据校验中转用户,是为了 UI 层更敌对的用户反馈。

数据校验层

后端因为重业务逻辑以及待处理各种数据,以致于分成各种各样的层级,以我经验过的后端我的项目就有分为 ControllerServiceModelHelperEntity 等各种命名的层,形形色色。但这里必定有一个层称为 Controller,站在后端最上层间接接管客户端传输数据。

因为 Controller 层是服务器端中与客户端数据交互的最顶层,秉承着 Fail Fast 的准则,肩负着数据过滤器的性能,对于不非法数据间接打回去,如同秦琼与尉迟恭门神般森严。

数据校验同时衍生了一个半文档化的副产品,你只须要看一眼数据校验层,便晓得要传哪些字段,都是些什么格局。

以下都是常见的数据校验,本文讲述如何对它们进行校验:

  1. required/optional
  2. 根本的数据校验,如 number、string、timestamp 及值须要满足的条件
  3. 简单的数据校验,如 IP、手机号、邮箱与域名
const body = {
  id,
  name,
  mobilePhone,
  email
}

山月接触过一个没有数据校验层的后端我的项目,if/else 充斥在各种层级,万分苦楚,分分钟向重构。

JSON Schema

JSON Schema 基于 JSON 进行数据校验格局,并附有一份标准 json-schema.org,目前 (2020-08) 最新版本是 7.0。各种服务器编程语言都对标准进行了实现,如 gojavaphp 等,当然平凡的 javascript 也有,如不温不火的 ajv。

以下是校验用户信息的一个 Schema,可见语法简单与繁琐:

{
  "$schema": "http://json-schema.org/draft-04/schema#",
  "title": "User",
  "description": "用户信息",
  "type": "object",
  "properties": {
    "id": {
      "description": "用户 ID",
      "type": "integer"
    },
    "name": {
      "description": "用户姓名",
      "type": "string"
    },
    "email": {
      "description": "用户邮箱",
      "type": "string",
      "format": "email",
      "maxLength": 20
    },
    "mobilePhone": {
      "description": "用户手机号",
      "type": "string",
      "pattern": "^(?:(?:\+|00)86)?1[3-9]\d{9}$",
      "maxLength": 15
    }
  },
  "required": ["id", "name"]
}

对于简单的数据类型校验,JSON Schema 内置了以下 Format,方便快捷校验

  • Dates and times
  • Email addresses
  • Hostnames
  • IP Addresses
  • Resource identifiers
  • URI template
  • JSON Pointer
  • Regular Expressions

对于不在内置 Format 中的手机号,应用 ajv.addFormat 可手动增加 Format

ajv.addFormat('mobilePhone', (str) => /^(?:(?:\+|00)86)?1[3-9]\d{9}$/.test(str));

Joi

joi 自称最弱小的 JS 校验库,在 github 也斩获了一万六颗星星。相比 JSON Schema 而言,它的语法更加简洁并且功能强大。

The most powerful data validation library for JS

实现雷同的校验,仅须要更少的代码,并可能实现更加弱小的校验。以下仅做示例,更多示例请返回文档。

const schema = Joi.object({id: Joi.number().required(),
  name: Joi.number().required(),
  email: Joi.string().email({ minDomainSegments: 2, tlds: { allow: ['com', 'net'] } }),
  mobilePhone: Joi.string().pattern(/^(?:(?:\+|00)86)?1[3-9]\d{9}$/),

  password: Joi.string().pattern(/^[a-zA-Z0-9]{3,30}$/),
  // 与 password 雷同的校验
  repeatPassword: Joi.ref('password'),
})
  // 明码与反复明码须要同时发送
  .with('password', 'repeat_password');
  // 邮箱与手机号提供一个即可
  .xor('email', 'mobilePhone')

数据校验与路由层集成

因为数据间接从路由传递,因而 koajs 官网基于 joi 实现了一个 joi-router,前置数据校验到路由层,对前端传递来的 querybodyparams 进行校验。

joi-router 也同时基于 co-body 对前端传输的各种 content-type 进行解析及限度。如限度为 application/json,也可在肯定水平上避免 CSRF 攻打。

const router = require('koa-joi-router');
const public = router();

public.route({
  method: 'post',
  path: '/signup',
  validate: {
    header: joiObject,
    query: joiObject,
    params: joiObject,
    body: joiObject,
    maxBody: '64kb',
    output: {'400-600': { body: joiObject} },
    type: 'json',
    failure: 400,
    continueOnError: false
  },
  pre: async (ctx, next) => {await checkAuth(ctx);
    return next();},
  handler: async (ctx) => {await createUser(ctx.request.body);
    ctx.status = 201;
  },
});

正则表达式与平安正则表达式

山月在一次排查性能问题时发现,一条 API 竟在数据校验层耗时过久,这是我未曾想到的。而问题本源在于不平安的正则表达式,那什么叫做不平安的正则表达式呢?

比方下边这个能把 CPU 跑挂的正则表达式就是一个定时炸弹,回溯次数进入了指数爆炸般的增长。

能够参考文章 浅析 ReDos 原理与实际

const safe = require('safe-regex')
const re = /(x+x+)+y/

// 能跑死 CPU 的一个正则
re.test('xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx')

// 应用 safe-regex 判断正则是否平安
safe(re)   // false

数据校验,针对的大多是字符串校验,也会充斥着各种各样的正则表达式,保障正则表达式的平安相当紧要。safe-regex 可能发现哪些不平安的正则表达式。

总结

  1. Controller 层须要进行对立的数据校验,能够采纳 JSON Schema (Node 实现 ajv) 与 Joi
  2. JSON Schema 有官网标准及各个语言的实现,但语法繁琐,可应用校验性能更为弱小的 Joi
  3. 进行字符串校验时,留神不平安的正则引起的性能问题

正文完
 0