PUT и POST сбой при неизвестных свойствах Spring различное поведение

Я пишу Spring приложение для загрузки с помощью репозиториев Spring Data Rest и я хочу запретить доступ к ресурсу, если тело запроса содержит JSON с неизвестными свойствами. Определение упрощенного объекта и хранилища:

@Entity
public class Person{
    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    private long id;

    private String firstName;
    private String lastName;

    /* getters and setters */
}

@RepositoryRestResource(collectionResourceRel = "people", path = "people")
public interface PersonRepository extends CrudRepository<Person, Long> {}

Я использую функцию десериализации Джексона, чтобы запретить неизвестные свойства в JSON.

@Bean 
public Jackson2ObjectMapperBuilder objectMapperBuilder(){
    Jackson2ObjectMapperBuilder builder = new Jackson2ObjectMapperBuilder();
    builder.failOnUnknownProperties(true);
    return builder;
}

Когда я отправляю запросы POST, все работает так, как ожидалось. Когда я использую допустимые поля, я получаю правильный ответ:

curl -i -x POST -H "Content-Type:application/json" -d '{"firstName": "Frodo", "lastName": "Baggins"}' http://localhost:8080/people
{
  "firstName": "Frodo",
  "lastName": "Baggins",
  "_links": {...}
}

И когда я отправляю JSON с неизвестными полями, приложение вызывает ожидаемую ошибку:

curl -i -x POST -H "Content-Type:application/json" -d '{"unknown": "POST value", "firstName": "Frodo", "lastName": "Baggins"}' http://localhost:8080/people
com.fasterxml.jackson.databind.exc.UnrecognizedPropertyException: Unrecognized field "unknown" (class Person), not marked as ignorable (2 known properties: "lastName", "firstName")

Метод PUT при использовании действительного JSON также возвращает правильный ответ. Однако, когда я отправляю запрос PUT с неизвестным полем, я ожидаю, что Spring выдаст ошибку, но вместо этого Spring обновит объект в базе данных и вернет его:

curl -i -x PUT -H "Content-Type:application/json" -d '{"unknown": "PUT value", "firstName": "Bilbo", "lastName": "Baggins"}' http://localhost:8080/people/1
{
  "firstName": "Bilbo",
  "lastName": "Baggins",
  "_links": {...}
}

Ошибка возникает только тогда, когда в базе данных с данным идентификатором нет объекта:

curl -i -x PUT -H "Content-Type:application/json" -d '{"unknown": "PUT value", "firstName": "Gandalf", "lastName": "Baggins"}' http://localhost:8080/people/100
com.fasterxml.jackson.databind.exc.UnrecognizedPropertyException: Unrecognized field "unknown" (class Person), not marked as ignorable (2 known properties: "lastName", "firstName")

Ожидается ли поведение или ошибка в Spring Data Rest?. Как я могу сделать ошибку, когда JSON с неизвестными свойствами передается в приложение независимо от того, какой метод запроса?

Я воспроизвел это поведение, изменив http://spring.io/guides/gs/accessing-data-rest/, единственное изменение, которое я сделал, - Jackson2ObjectMapperBuilder, никаких других контроллеры или репозитории находятся в этом проекте.

Ответ 1

Я думаю, что поведение, которое вы наблюдаете, по дизайну. Когда выдается POST, вы создаете ресурс, поэтому JSON десериализуется в ваш тип сущности, и Джексон выполняет эту задачу.

PUT работает по-разному в режиме хранения данных spring. Интересная часть обрабатывается в PersistentEntityResourceHandlerMethodArgumentResolver.readPutForUpdate.

json считывается в JsonNode, объект считывается из хранилища данных, а затем в DomainObjectReader.doMerge реализация выполняет итерацию над полями json. Он применяет json к сущности и сохраняет его позже в реализации контроллера. Он также отбрасывает все поля, которые не существуют в постоянном объекте:

if (!mappedProperties.hasPersistentPropertyForField(fieldName)) {
    i.remove();
    continue;
}

Это мое понимание, прочитав код. Я думаю, вы можете утверждать, что это ошибка. Вы можете попытаться сообщить об этом в spring data rest `jira - https://jira.spring.io/browse/DATAREST. Насколько я знаю, нет способа настроить это поведение.

Ответ 2

Когда он создает новый объект, он преобразует json непосредственно в объект сущности java через процесс десериализации, где задействована требуемая проверка. Но когда он обновляет существующий объект, он преобразует json в JsonNode, а затем сливается с существующим сущностью и, как ожидается, проверка не происходит, потому что это функция десериализации json для java-объекта.

В качестве обходного пути вы можете дополнительно преобразовать объект JsonNode в объект объекта, и он будет работать так, как вы ожидаете.

Я сделал быстрый пример, как получить требуемую проверку.

перейти к https://github.com/valery-barysok/gs-accessing-data-rest

Это непонятное решение, но вы можете его улучшить:)

В этом примере переопределить существующий класс spring в classpath org.springframework.data.rest.webmvc.config.PersistentEntityResourceHandlerMethodArgumentResolver

Примечание Вы должны поместить этот класс в путь к классам перед исходной версией.

Я сделал копию этого класса для проекта и модифицированного метода readPutForUpdate:

private Object readPutForUpdate(IncomingRequest request, ObjectMapper mapper, Object existingObject,
                                RootResourceInformation information) {

    try {

        JsonPatchHandler handler = new JsonPatchHandler(mapper, reader);
        JsonNode jsonNode = mapper.readTree(request.getBody());
        // Here we have required validation
        mapper.treeToValue(jsonNode, information.getDomainType());

        return handler.applyPut((ObjectNode) jsonNode, existingObject);

    } catch (Exception o_O) {
        throw new HttpMessageNotReadableException(String.format(ERROR_MESSAGE, existingObject.getClass()), o_O);
    }
}

и я использовал файл application.properties для настройки DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES

Ответ 3

Вы используете Jackson2ObjectMapperBuilder, у которого свойство DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES установлено по значению disabled по умолчанию.

Ответ 4

вы можете аннотировать вашу модель с помощью:

@Entity
@JsonIgnoreProperties(ignoreUnknown=false)
public class Person{
    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    private long id;

    private String firstName;
    private String lastName;

    /* getters and setters */
}