30 | 验证：系统如何确保提交给服务的数据是安全的？

作者回复: 以性能为主要考量依据在这个场景下是不恰当的。 软件开发中有一个著名的经验法则——克努特优化原则 ，比起名字，它的内容陈述也许更广为人知：过早优化是万恶之源。 “过早优化”是指试图在没有实践数据或者合理的预测下，过度追求效率的行为。过早的优化尝试通常会导致适得其反，并导致浪费大量资源，如时间、金钱和精力，同时也增加了未来出问题的可能性。

作者回复: 不同观点是好事，欢迎欢迎。 我的看法：Bean Validation所面向的场景，或者说校验这种行为的本意重点应该是面向外部防御，譬如用户输入的信息、方法被他人调用所传入的参数、服务从客户端接受的数据是否正确，工厂类的产出一般是面向内部的，一般不包含外部输入的信息。 校验这件事情既可以在边界上刚刚收到对象时做，也可以在对象将要被消费时候进行，甚至在中间过程中的某个阶段中完成，很难会说有哪一种做法是绝对正确的，也就很难只局限在某一处（工厂类或者其他某个特定的层次、功能）中完成，这也是文中的观点：将校验独立出来，不必与任何一层耦合，但任何一层都可以使用，需要时，通过注解或者代码来触发。对应到实际软件的例子中，譬如最外层的RESTEasy有Bean Validation支持，最内层的Hibernate也有Bean Validation支持。 关于4，new出来的对象【一般】是不会被注解所影响的，所以Bean Validation提供了Validation Methods（https://beanvalidation.org/2.0-jsr380/spec/#validationapi-validatorapi-validationmethods）供用户通过编码来调用。 这里“一般”二字加粗，是因为它存在着“抬杠”的余地，JSR269（https://jcp.org/en/jsr/detail?id=269，随着JDK6发布的）之后，其实是可以通过注解来实现元编程的（Metaprogramming，就是写出编写代码的代码）。如果我写一个（代码中并没有写）Annotation Processer，完全可以在编译时自动生成出校验的调用代码，这时候“我也能确信，这个校验注解无法在new出来的实体里面生效”就并不成立。这点也可以对应到实际软件的例子中，譬如lombok中的@Getter、@Setter等注解，就是可以对自己new的对象生效的。

作者回复: 不不不，倡导的是不把校验代码耦合在任何一层。校验只是与bean相关，bean是各层通用的，用到bean的地方有需要就可以用注解触发校验，没有需要就不去校验。

作者回复: 你的是代码的所有者，并没有什么条条框框的约束是不可逾越的。只要合理，就可以做。

作者回复: 可以使用BeanValidator::validate()方法来手动校验。 譬如在方法过程中，需要验证某些中间对象，就需要用到。

作者回复: 当然不垃圾呀，相反在合适的场景选择合适的方案是务实的体现。 在许多性能不敏感啦、又经常容易发生变动的地方我也常采用类似方案。