如何獲取@PathVariable的值
一、地址:**/{id}
|
1
2
3
4
|
@RequestMapping(value = "/del/{id}", method = RequestMethod.GET)public void del(HttpServletRequest request, @PathVariable("id") Long id){ System.out.println(id);} |
二、方式
1、直接通過(guò)@PathVariable注解獲取
|
1
2
3
4
|
@RequestMapping(value = "/del/{id}", method = RequestMethod.GET)public void del(HttpServletRequest request, @PathVariable("id") Long id){ System.out.println(id);} |
2、通用@PathVariable注解批量獲取, 只有注解的參數(shù)才能得到
|
1
2
3
4
5
6
|
@RequestMapping(value = "/del/{id}", method = RequestMethod.GET) public void del(HttpServletRequest request, @PathVariable("id") Long id){ NativeWebRequest webRequest = new ServletWebRequest(request); Map<String, Object> map = (Map<String, Object>) webRequest.getAttribute(View.PATH_VARIABLES, RequestAttributes.SCOPE_REQUEST); System.out.println(map.get("id")); } |
3、批量獲取,不需要任何注解
|
1
2
3
4
5
6
|
@RequestMapping(value = "/del/{id}", method = RequestMethod.GET) public void del(HttpServletRequest request){ NativeWebRequest webRequest = new ServletWebRequest(request); Map<String, String> map = (Map<String, String>) webRequest.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE, RequestAttributes.SCOPE_REQUEST); System.out.println(map.get("id")); } |
springmvc 使用@PathVariable時(shí),應(yīng)該注意點(diǎn)什么?
近來(lái)在做庫(kù)存調(diào)劑系統(tǒng)時(shí),我從前臺(tái)到后臺(tái)的傳值方式,主要包括:1個(gè),用@PathVariable或者@RequestParam從路徑取;大于一個(gè),用于更新或者添加操作的,我用的是表單實(shí)體傳到后臺(tái);大于一個(gè),用于查詢的,我用的@RequestBody(好吧,我承認(rèn)這個(gè)只是我覺(jué)得好玩,但沒(méi)有多少人愿意在后臺(tái)一行又一行的寫(xiě):String test=request.getParameter("test");吧?????)
現(xiàn)在,主要就是想說(shuō)一個(gè)從路徑取值的“坑”,而重中之重,就想說(shuō)一下我更偏愛(ài)的@PathVariable(別問(wèn)我為什么,/{param}/fn.do,簡(jiǎn)單啊)
一、使用@PathVariable的轉(zhuǎn)變過(guò)程
首先:
在盤(pán)古開(kāi)天辟地時(shí),就是一切還很混沌時(shí),姑娘我連用@PathVariable取值都沒(méi)有取過(guò)來(lái),還蒙圈蒙了一小會(huì)兒,完全不明白發(fā)生了什么,因?yàn)槲铱粗业恼Z(yǔ)法和格式,哪兒哪兒都對(duì),但就是沒(méi)有傳過(guò)來(lái)值。我一想我原來(lái)寫(xiě)/{param}/fn.do這種方式傳值的時(shí)候,也沒(méi)有問(wèn)題呀,怎么今天是見(jiàn)鬼了???? 蒙圈完了之后,就發(fā)現(xiàn)端倪了。
請(qǐng)看看我怎么寫(xiě)的哈:
|
1
2
3
4
5
|
@RequestMapping("/dealerStock/swapOrder/{orderID}/cancelAuditThisOrder.do")public @ResponseBody String cancelAuditThisOrder(@PathVariable("OrderID") String strOrderID)){......} |
然后的然后,我就一直沒(méi)有請(qǐng)求到這個(gè)方法,更別談什么有沒(méi)有取到值的問(wèn)題!后來(lái)解決的時(shí)候,真想一掌拍自己腦門(mén)上!
然后:
當(dāng)代碼規(guī)范審查通過(guò)后,也經(jīng)過(guò)了測(cè)試部的一級(jí)功能業(yè)務(wù)測(cè)試以及業(yè)務(wù)部的二級(jí)業(yè)務(wù)流程測(cè)試。文檔之類的,都準(zhǔn)備好了(我還能再說(shuō)什么呢,無(wú)聲的兩個(gè)呵 呵) 正要布上去生產(chǎn)線的時(shí)候,老大再次審查了一遍代碼,審查到最后也沒(méi)個(gè)啥結(jié)果,但是,突然間看到那個(gè)@PathVariable就問(wèn)了我兩個(gè)問(wèn)題:
- 一、如果我的ID是不連續(xù)的,這種方法還能好使嗎?比如說(shuō):HC 782981;
- 二、是不是只要我拿到這個(gè)請(qǐng)求路徑,而我隨便推測(cè)一個(gè)ID號(hào),就能避過(guò)用戶操作別人的數(shù)據(jù)?
姑娘我再次被雷擊倒,無(wú)言以對(duì),馬上實(shí)際驗(yàn)證。結(jié)果:Yes! 你說(shuō)第一個(gè)的結(jié)果是Yes,這個(gè)我很滿意,但第二個(gè)是Yes,就很想哭了。 測(cè)試出結(jié)果后,就請(qǐng)命去干掉這個(gè)問(wèn)題了。
我的第一步嘗試:
添加method=RequestMethod.post,也就是說(shuō)用戶不能輸入U(xiǎn)rl地址以get的形式獲取數(shù)據(jù),只能通過(guò)系統(tǒng)內(nèi)部請(qǐng)求。
- 組長(zhǎng):你自己說(shuō),就算咱們改成了Post請(qǐng)求,你能不能訪問(wèn)到?
- 姑娘:我能,就自己寫(xiě)一個(gè)按鈕,再用post請(qǐng)求就行了。如果用戶里面有懂點(diǎn)程序編碼的,輕而易舉就能破掉。我再去改
- 組長(zhǎng):其實(shí),我們只能防君子,哪個(gè)系統(tǒng)都有漏洞,沒(méi)有絕對(duì)的權(quán)限控制和安全,但咱們盡量的給做好。
我的第二步嘗試:
在第二步嘗試前,我想了一會(huì)兒。我發(fā)現(xiàn)這個(gè)事件有以下幾個(gè)突破口:
- 一、像訂單編號(hào)這個(gè)敏感的數(shù)據(jù),能不能做到不被推測(cè)出來(lái)?
- 二、用戶是根據(jù)訪問(wèn)路徑,然后加上一個(gè)ID號(hào)去請(qǐng)求,如果用戶拿不到訪問(wèn)路徑呢?
- 三、要點(diǎn)就是用戶只能操作自己的數(shù)據(jù),我可以在敏感操作的時(shí)候,同時(shí)校驗(yàn)當(dāng)前用戶。
- 四、既然都是@PathVariable這種方式帶來(lái)的一些問(wèn)題,那我可以把相應(yīng)的方法,換掉這種傳值方式。
- 五、用戶看到的是一個(gè)請(qǐng)求方法路徑,我可不可以在路徑中加入隨機(jī)密碼鹽,進(jìn)一步的控制關(guān)鍵操作的訪問(wèn)。
好吧,為了方便迅速,我直接把這種傳值方式給改了。當(dāng)然也沒(méi)有改完,時(shí)間關(guān)系,像一些本來(lái)就屬于公開(kāi)數(shù)據(jù)的內(nèi)容,還是沒(méi)改。
我的第三步嘗試:
在第二步的時(shí)候,就已經(jīng)改完代碼了。然后,我覺(jué)得我是一個(gè)很較真的人。忙里偷閑,我把我在第二步嘗試中想到了幾個(gè)點(diǎn),都寫(xiě)代碼測(cè)了測(cè)。最先測(cè)出來(lái)的是第三種(同時(shí)檢驗(yàn)當(dāng)前用戶,也就簡(jiǎn)單類似于where orderID=? and userID=? ) 其次,還測(cè)了測(cè)那個(gè)密碼鹽值,也確實(shí)能夠控制住,但是,想了想系統(tǒng)的性質(zhì)和資源的最終走向,沒(méi)改。然后,去禁止用戶打開(kāi)開(kāi)發(fā)者工具或者查看源代碼,然而,這根本不是我能控制住的。我也最多就是能控制住快捷鍵打開(kāi),但人家還有鼠標(biāo)啊??????瀏覽器提供的功能,不是我想干掉就干掉滴滴滴滴。
我的第一個(gè)方案,就是改造訂單生成的方式,然后我覺(jué)得吧,這個(gè)好像不怎么靠譜。但毫無(wú)疑問(wèn)比當(dāng)前的生成方式要靠譜得太多,但這要改動(dòng)下來(lái),呃,原諒我很慫。
二、個(gè)人總結(jié)
我最大的問(wèn)題,不是我后來(lái)想不出更為優(yōu)雅的方案去解決,而是,我從根本上,對(duì)這是個(gè)問(wèn)題的問(wèn)題毫無(wú)知覺(jué)。我甚至都不覺(jué)得那樣有什么問(wèn)題,這才是我最該考慮的點(diǎn)。
其實(shí),我用@PathVariable或者什么別的方式去傳值,這都無(wú)可厚非。但我也應(yīng)該更進(jìn)一步的考慮到它的應(yīng)用場(chǎng)景和系統(tǒng)功能鎖涉及到的數(shù)據(jù),以及可能帶來(lái)的后果。就比如說(shuō)我這個(gè)@PathVariable的問(wèn)題,在別的查詢一些區(qū)域信息(公共展示數(shù)據(jù))的時(shí)候,我也這么用了,組長(zhǎng)也看見(jiàn)了,但為什么他著重說(shuō)了訂單這一塊,還要求這一塊必須改。反正,我就是欠思考。。。。。。
很多很多的東西,都是建立在日常生活體驗(yàn)上的。我以前就很崇拜架構(gòu)師,現(xiàn)在也很崇拜。但是,我突然明白,架構(gòu)師也不是光有空架子的。就比如說(shuō)我自己吧,我還算是亂七八糟的想法挺多的那種(雖然并不是每個(gè)都靠譜)但是,做事情不能光憑想象,要實(shí)際操作的。
感覺(jué)最近做得比較好一點(diǎn)的就是:
1,因?yàn)橛幸粋€(gè)地方查詢的數(shù)據(jù)有很多,那天我跟組長(zhǎng)提出,我要換一種查詢方法,提升查詢效率。然后組長(zhǎng)就問(wèn)我究竟想怎么換?我就直接同時(shí)運(yùn)行了兩套代碼干同樣的事兒給他看,結(jié)果,就很so easy的換成了我想換的那種方式,我想說(shuō)的話,全都在代碼里。后來(lái)弄完了,閑下來(lái),我解釋了一下不同點(diǎn),關(guān)鍵點(diǎn)。
2,因?yàn)閺?qiáng)調(diào)代碼規(guī)范和效率嘛。我就在自己私下寫(xiě)代碼的時(shí)候,旁邊就放著一本代碼整潔之道,還有阿里代碼規(guī)范手冊(cè),然后還有我閑下來(lái)的時(shí)候,去官網(wǎng)找的一些常用數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)類型的應(yīng)用對(duì)比。我是一邊寫(xiě),一邊看。有不知道怎么寫(xiě)的,就干脆先看一眼,照著書(shū)寫(xiě)。剛開(kāi)始挺痛苦的,因?yàn)閷?xiě)一句就錯(cuò)一句,也不能說(shuō)錯(cuò),就是不夠優(yōu)美。但是,感覺(jué)現(xiàn)在慢慢變得好了特別特別多。
以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持服務(wù)器之家。
原文鏈接:https://blog.csdn.net/u011110968/article/details/80229018
