Помогите правильно составить регулярное выражение для org.apache.regexp.re

Question

[yogev_ezra]

Добрый день!

Поступило задание — задать требования к паролю в web-аппликации. Требования задаются через regular expression. Код от самой web-application у меня есть, но изменять его я не могу. Поле для регулярного выражения одно и проверка происходит один раз, то есть нельзя сделать проверку на одно выражение, а потом на другое. При просмотре кода, выяснилось что класс, используемый этой программой для regular expression: org.apache.regexp.RE

Требования аналогичны этим forums.asp.net/t/918584.aspx/2/10
1) 6-10 characters
2) At least one alpha AND one number
3) The following special chars are allowed (0 or more): !@#$%

Мучаюсь уже несколько дней — никак не могу правильно составить выражение. В линке на пример, который я привёл, используется lookahead ('?=' ) — но поиск в Гугле "lookahead org.apache.regexp.RE" ничего вменяемого не возвращает, а поиск "org.apache.regexp.RE at least one letter and digit" — вообще ничего не возвращает. При копировании примера как есть, web-application отвечает, что регулярное выражение неверное. Можно, конечно, составить его методом перебора всех возможных вариантов, но тогда оно будет очень длинное и не влезет в таблицу SQL, где оно должно храниться.

Возможно ли вообще то, что у меня попросили? Или надо сказать разработчикам web-application (это другой отдел в нашей фирме) использовать другой класс? Заранее спасибо за ответы и советы!

Comments

[yogev_ezra]

Если правильный ответ: "Это невозможно — попросите разработчиков использовать другой класс!", то не стесняйтесь так писать, это же правильный ответ, буду только рад это услышать.

Answer 1

[Ярослав Астафьев]

в описанном вами примере используются опережающие и ретроспективные проверки.
lookahead org.apache.regexp.RE — их не поддерживает, нужно писать регулярку обходя это условие.

Comments

[yogev_ezra]

Большое спасибо за Ваш ответ! Поясните, пожалуйста, что Вы имеете в виду под «писать регулярку обходя это условие»? Вы можете привести какой-то пример?

[Ярослав Астафьев]

В регулярных выражениях нет оператора «и», этот оператор заменяется опережающими и ретроспективными проверками, которые реализованы не везде. Данная задача так же может быть решена с использованием if:then:else в виде (?(n)то|иначе). Если группа n вернула совпадение выполнить «то», если совпадения нет — выполнить «иначе».
Насколько я помню данный функционал тоже не был реализован.
Соответственно, если у нас нет проверок, нужно писать обычную регулярку, которая через или будет учитывать все варианты.
Основная идея в том, что нужно искать букву и цифру разделенные спецсимволами.
Рассмотрим самый простой случай, когда цифра и буква не разделены спец.символом.
Для удобства обозначим все допустимые символы за \q, а все специальные символы за \e
тогда для такого набора можно записать регулярку вида(каждая строка это или):
(?:[a-zA-Z]\d|\d[a-zA-Z])\q{4,8} — пароль начинается с цифры потом буквы или наоборот
\q(?:[a-zA-Z]\d|\d[a-zA-Z])\q{3,7} — первое вхождение цифры с буквой на позиции 2
\q{2}(?:[a-zA-Z]\d|\d[a-zA-Z])\q{2,6}
\q{3}(?:[a-zA-Z]\d|\d[a-zA-Z])\q{1,5}
\q{4}(?:[a-zA-Z]\d|\d[a-zA-Z])\q{0,4}
\q{5}(?:[a-zA-Z]\d|\d[a-zA-Z])\q{0,3}
\q{6}(?:[a-zA-Z]\d|\d[a-zA-Z])\q{0,2}
\q{7}(?:[a-zA-Z]\d|\d[a-zA-Z])\q?
\q{8}(?:[a-zA-Z]\d|\d[a-zA-Z]) — 8 вариантов
в случае с одним спец символом между:
(?:[a-zA-Z]\e\d|\d\e[a-zA-Z])\q{3,7}
…
\q{7}(?:[a-zA-Z]\e\d|\d\e[a-zA-Z]) — 7 вариантов
и т.д. простая арифметика показывает, что всего «больших или» будет (8+1)*4 = 36. Не идеально, но куда лучше полного перебора. Думаю в данном регулярном выражении будет много повторяющихся частей, которые тоже можно будет свернуть.

[yogev_ezra]

Большое спасибо за ответ! Если подытожить, то с помощью org.apache.regexp.RE выражение получается слишком длинным, и не влезает в базу данных. Значит, буду требовать у разработчиков поменять класс валидатора на более продвинутый.

[Ярослав Астафьев]

на самом деле описанный выше пример сворачивается в довольно компактную конструкцию, которая напоминает своего рода рекурсию. Но такую задачу гораздо быстрее решить 2мя регулярками, чем думать сложную, но одну

[yogev_ezra]

Проблема в том, что наша web-application поддерживает только 1 regular expression для проверки пароля. Поменять валидатор с org.apache.regexp.RE на что-нибудь другое разработчикам будет гораздо проще, чем добавить проверку через 2 regular expression. Но если у Вас есть идеи, как вместить всю проверку в 1 regular expression длиной до 255 символов (это ограничение базы данных) с помощью org.apache.regexp.RE, я буду Вам очень признателен.

[Ярослав Астафьев]

Ну тогда могу посоветовать хранить в базе данных, только шаблон, и использовать String.format(). Что бы каждой группе обозначенной "%s" можно было подставить соответствующее значение. ну то есть можно выделить все группы, и тогда получится примерно 36*4=150 символов, что вполне приемлемо.
Не понимаю, почему нельзя делать преобразования над полученной из БД регуляркой?

[yogev_ezra]

Ну тогда могу посоветовать хранить в базе данных, только шаблон, и использовать String.format(). Что бы каждой группе обозначенной "%s" можно было подставить соответствующее значение. ну то есть можно выделить все группы, и тогда получится примерно 36*4=150 символов, что вполне приемлемо.

Это невозможно, потому что к коду у меня только read-only доступ.

Не понимаю, почему нельзя делать преобразования над полученной из БД регуляркой?

Потому что наши программисты не подчиняются ни мне, ни моему начальнику, и считают свой алгоритм проверки пароля единственно правильным. Но это уже политический вопрос, а не технический :-)