spring boot默认不会因json字段类型不匹配(如数字赋值给string字段)而自动拒绝请求,需结合bindingresult手动捕获类型转换错误并返回400响应。
在Spring MVC中,@Valid注解仅对对象字段级约束(如@NotBlank、@NotNull)生效,但无法拦截JSON反序列化阶段的类型转换失败。例如,当客户端发送 "name": 5 给声明为 private String name 的字段时,Jackson 会尝试将数字 5 转为字符串 "5"(调用 String.valueOf(5)),该过程成功,因此后续的 @NotBlank 校验也通过(因为 "5" 非空),最终导致本应拒绝的非法类型输入被静默接受。
要真正实现“只接受字符串字面量”的强类型防护,需分两步处理:
捕获反序列化异常:Spring 默认将类型不匹配(如 null 赋值给非@Nullable String)或无法转换的JSON值视为绑定错误(TypeMismatchException),但这些错误不会自动触发 @Valid 的校验流程,也不会终止请求——除非显式检查 BindingResult。
显式校验并响应错误:在控制器方法中添加 BindingResult 参数(必须紧跟在 @Valid 参数之后),检查是否存在绑定错误,并主动返回 400 Bad Request:
@PostMapping("/register")
public ResponseEntity register(@Valid @RequestBody Person person, BindingResult bindingResult) {
if (bindingResult.hasErrors()) {
// 收集所有错误信息(含类型转换错误)
List errors = bindingResult.getAllErrors().stream()
.map(ObjectError::getDefaultMessage)
.collect(Collectors.toList());
return ResponseEntity.badRequest().body(Map.of("errors", errors));
}
// 处理合法请求
return ResponseEntity.ok().build();
} ⚠️ 注意事项:
- BindingResult 必须紧随 @Valid 参数之后,否则 Spring 无法关联校验上下文;
- 若使用 @RequestBody + @Valid 但未接 BindingResult,Spring 会抛出 MethodArgumentNotValidException,但默认全局异常处理器(如 @ControllerAdvice)可能仅返回 400,且错误信息不够明确;显式处理更可控;
- 对于 null 值校验,@NotBlank 不生效(它要求非 null 且非空白),应改用 @NotNull 或 @NotBlank + 自定义 @JsonInclude(JsonInclude.Include.NON_NULL) 配合 Jackson 配置;
- 更严格的方案:禁用 Jackson 的宽松类型转换(如关闭 DeserializationFeature.ACCEPT_SINGLE_VALUE_AS_ARRAY 等),但通常不推荐,因破坏REST API兼容性。
总结:类型安全不能仅依赖 Bean Validation 注解,必须结合 BindingResult 捕获底层绑定异常,才能确保 JSON 字段类型与 Java 类型严格一致。
