我应该在 MVC 层和服务层中重复验证吗？

Question

我现在的心情有点矛盾。我有一个 Web 应用程序，使用 Stripes 作为 MVC 框架，使用 Spring/Hibernate 作为后端。我的 MVC 层中有一个帐户注册方法，需要以下验证：

• 用户名尚未使用
• 提供的电子邮件地址尚未与另一个帐户关联

我在 Stripes（MVC 层）中有一个验证方法，用于检查这两种情况，但想知道我的服务层是否应该重复这些检查？如果服务层接口作为 Web 服务公开，那么我认为验证将是一个好主意，但如果它仅在 Web 应用程序的上下文中使用，是否需要它？

编辑：我不打算复制验证代码 - 我的意思是在两个地方复制验证方法调用。

我将我的选项视为：

1. 在 MVC 和服务层中复制验证调用
2. 仅在 MVC 层中执行此验证
3. 仅在服务层中执行此验证。

这里的最佳实践是什么？我正在寻找关于我应该选择哪个选项以及为什么的建议/意见。

请注意，对注册表单的输入字段进行了简单的验证检查（例如检查空白），并且我认为这些应该仅由 MVC 验证来处理；我只关心更复杂的验证。

Answer 1

不要重复代码。使用 JSR303 Bean 验证，以便您可以在所有层中使用相同的验证逻辑你的应用程序。

Hibernate Validator（一个独立于 Hibernate ORM 的项目）提供了这个的参考实现界面。使用起来非常简单，您可以 快速开始使用。

Answer 2

在我看来，您应该区分两种验证：

• 格式数据验证：应该在表示层（在您的情况下为 MVC）中进行验证。通常在客户端和服务器端
• 业务数据验证：应该在服务层中进行验证

在您的情况下，您的验证与业务规则相关，因此我将仅将它们放在服务层中。
此外，如果您在两个层中重复验证，您将进行两次相同的查询，从而降低应用程序的性能。

Answer 3

安妮，

好问题，我曾多次问过自己同样的问题。这就是我最终得到的结果（到目前为止）。

最纯粹（但乏味）的方法是调用两层中的验证逻辑。
务实的方法可能是仅在网络领域（例如您的控制器）中调用它。

我认为没有一个答案可以结束所有的讨论。我认为这取决于您的项目的背景。如果项目规模不大（就人员和代码库大小而言），并且您确信其他人不会开发大量调用您的服务 API 的代码（在某种程度上您将无法监督），那么仅在 Web 层进行验证就足够了。

但是，如果您预计有很多客户，您可能需要更高级别的安全性。当我在这里说安全性时，我将其称为您需要的一致性保证级别。
如果该级别很高，则没有办法解决它：您将必须在服务（出于安全性）和 Web 层（主要是为了能够为最终用户提供可接受的体验）中执行此操作。

因此，这里的关键驱动因素是安全性以及您真正需要多少安全性。如果您需要很多，您就会选择“纯粹”方法。如果您的应用程序没有做出涉及生死问题的决策，那么您会选择务实的方法。

Answer 4

1. 理想情况下，在两个层中都进行验证，因为您的服务层可能与当前 mvc 层以外的客户端一起使用

2. 在两个地方重用验证机制（例如 Bean 验证）