客户端、服务端网络通信,为了安全,会对报文数据进行加解密操作。

在SpringBoot项目中,最好使用参考AOP思想,加解密与Controller业务逻辑解耦,互不影响。

以解密为例:需要在request请求到达Controller之前进行拦截,获取请求body中的密文并对其进行解密,然后把解密后的明文重新设置到request的body上。

拦截器、过滤器、Controller之间的关系

如图所示,在Request对象进入Controller之前,可使用Filter过滤器或者过滤器和Interceptor拦截器进行拦截。

过滤器、拦截器主要差异:

1、过滤器来自于 Servlet;而拦截器来自于 Spring 框架;

2、触发时机不同:请求的执行顺序是:请求进入容器 > 进入过滤器 > 进入 Servlet > 进入拦截器 > 执行控制器(Controller)

3、过滤器是基于方法回调实现的;拦截器是基于动态代理(底层是反射)实现的;

4、过滤器是 Servlet 规范中定义的,所以过滤器要依赖 Servlet 容器,它只能用在 Web 项目中;拦截器是 Spring 中的一个组件,因此拦截器既可以用在 Web 项目中,同时还可以用在 Application 或 Swing 程序中;

5、过滤器通常是用来实现通用功能过滤的,比如:敏感词过滤、字符集编码设置、响应数据压缩等功能;拦截器更接近业务系统,所以拦截器主要用来实现项目中的业务判断的,比如:登录判断、权限判断、日志记录等业务;

对于我们当前应用场景来说,区别就是过滤器更适用于修改request body。

为响应数据报文统一加密,也可参考上述过程实现;

具体实现分析

修改请求,会有两个问题:

1、请求体的输入流被读取,它就不能再被其他组件读取,因为输入流只能被标记、重置,并且在读取后会被消耗。

2、HttpServletRequest对象的body数据只能get,不能set,不能再次赋值。而咱们的需求是需要给HttpServletRequest body解密并重新赋值。

基于以上两个问题,咱们需要定义一个HttpServletRequest实现类,增加赋值方法,来满足我们的需求。

CustomHttpServletRequestWrapper.java

import javax.servlet.ReadListener;

import javax.servlet.ServletInputStream;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import java.io.*;

/**

 * 自定义HttpServletRequestWrapper

 * qxc

 * 20240622

 */

public class CustomHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private String body;

    public CustomHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

        StringBuilder stringBuilder = new StringBuilder();

        BufferedReader bufferedReader = null;

        InputStream inputStream = null;

        try {

            inputStream = request.getInputStream();

            if (inputStream != null) {

                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));

                char[] charBuffer = new char[128];

                int bytesRead = -1;

                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {

                    stringBuilder.append(charBuffer, 0, bytesRead);

                }

            } else {

                stringBuilder.append("");

            }

        } catch (IOException ex) {

        } finally {

            if (inputStream != null) {

                try {

                    inputStream.close();

                }

                catch (IOException e) {

                    e.printStackTrace();

                }

            }

            if (bufferedReader != null) {

                try {

                    bufferedReader.close();

                }

                catch (IOException e) {

                    e.printStackTrace();

                }

            }

        }

        body = stringBuilder.toString();

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());

        ServletInputStream servletInputStream = new ServletInputStream() {

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

            @Override

            public int read() throws IOException {

                return byteArrayInputStream.read();

            }

        };

        return servletInputStream;

    }

    @Override

    public BufferedReader getReader() throws IOException {

        return new BufferedReader(new InputStreamReader(this.getInputStream()));

    }

    public String getBody() {

        return this.body;

    }

    public void setBody(String body) {

        this.body = body;

    }

}

接下来,继续写Filter类,用于拦截请求,解析body, 解密报文,替换请求body数据。

RequestWrapperFilter.java



import com.fasterxml.jackson.databind.ObjectMapper;

import lombok.extern.slf4j.Slf4j;

import javax.servlet.*;

import javax.servlet.http.HttpServletRequest;

import java.io.BufferedReader;

import java.io.IOException;

import java.io.InputStreamReader;

import java.util.Map;

import java.util.Objects;

/**

 * 自定义Filter

 * qxc

 * 20240622

 */

@Slf4j

public class RequestWrapperFilter implements Filter {

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        CustomHttpServletRequestWrapper customHttpServletRequestWrapper = null;

        try {

            HttpServletRequest req = (HttpServletRequest) request;

            customHttpServletRequestWrapper = new CustomHttpServletRequestWrapper(req);

            preHandle(customHttpServletRequestWrapper);

        } catch (Exception e) {

            log.warn("customHttpServletRequestWrapper Error:", e);

        }

        chain.doFilter((Objects.isNull(customHttpServletRequestWrapper) ? request : customHttpServletRequestWrapper), response);

    }

    public void preHandle(CustomHttpServletRequestWrapper request) throws Exception {

        //仅当请求方法为POST时修改请求体

        if (!request.getMethod().equalsIgnoreCase("POST")) {

            return;

        }

        //读取原始请求体

        StringBuilder originalBody = new StringBuilder();

        String line;

        try (BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()))) {

            while ((line = reader.readLine()) != null) {

                originalBody.append(line);

            }

        }

        String bodyText = originalBody.toString();

        //json字符串转成map集合

        Map<String, String> map = getMap(bodyText);

        //获取解密参数,解密数据

        if (map != null && map.containsKey("time") && map.containsKey("data")) {

            String time = map.get("time");

            String key = "基于时间戳等参数生成密钥、此处请换成自己的密钥";

            String data = map.get("data");

            //解密数据

            String decryptedData = Cipher.decrypt(key, data);

            //为请求对象重新设置body

            request.setBody(decryptedData);

        }

    }

    private Map<String, String> getMap(String text) {

        ObjectMapper objectMapper = new ObjectMapper();

        try {

            // 将JSON字符串转换为Map

            Map<String, String> map = objectMapper.readValue(text, Map.class);

            return map;

        } catch (IOException e) {

            e.printStackTrace();

            return null;

        }

    }

}

AES加解密算法封装

Cipher.java

import java.math.BigInteger;

import java.nio.charset.StandardCharsets;

import java.security.MessageDigest;

import java.util.Base64;

import javax.crypto.spec.SecretKeySpec;

/**

 * 自定义AES加解密算法类

 * qxc

 * 20240622

 */

public class Cipher {

    public static String encrypt(String key, String text){

        try {

            SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");

            javax.crypto.Cipher cipher = javax.crypto.Cipher.getInstance("AES");

            cipher.init(javax.crypto.Cipher.ENCRYPT_MODE, secretKeySpec);

            byte[] encryptedBytes = cipher.doFinal(text.getBytes("UTF-8"));

            String cipherText = base64Encode(encryptedBytes);

            return cipherText;

        }catch (Exception ex){

            ex.printStackTrace();

            return "";

        }

    }

    public static String decrypt(String key, String cipherText) {

        try {

            SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");

            javax.crypto.Cipher cipher = javax.crypto.Cipher.getInstance("AES");

            cipher.init(javax.crypto.Cipher.DECRYPT_MODE, secretKeySpec);

            byte[] decryptedBytes = cipher.doFinal(base64Decode(cipherText));

            return new String(decryptedBytes, StandardCharsets.UTF_8);

        }catch (Exception ex){

            ex.printStackTrace();

            return "";

        }

    }

    public static String getMd5(String input) {

        try {

            MessageDigest md = MessageDigest.getInstance("MD5");

            md.update(input.getBytes());

            byte[] digest = md.digest();

            BigInteger bigInt = new BigInteger(1, digest);

            String md5Hex = bigInt.toString(16);

            while (md5Hex.length() < 32) {

                md5Hex = "0" + md5Hex;

            }

            return md5Hex;

        } catch (Exception e) {

            e.printStackTrace();

            return "";

        }

    }

    public static String base64Encode(byte[] bytes) {

        if (bytes != null && bytes.length > 0) {

            return Base64.getEncoder().encodeToString(bytes);

        }

        return "";

    }

    public static byte[] base64Decode(String base64Str) {

        if (base64Str != null && base64Str.length() > 0) {

            return Base64.getDecoder().decode(base64Str);

        }

        return new byte[]{};

    }

}

最后,需要在WebMvcConfigurer中配置并使用RequestWrapperFilter

import com.qxc.server.encryption.RequestWrapperFilter;

import com.qxc.server.jwt.JwtInterceptor;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.core.Ordered;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@SpringBootApplication

public class ServerApplication implements WebMvcConfigurer {

    public static void main(String[] args) {

        SpringApplication.run(ServerApplication.class, args);

    }

    @Bean

    public FilterRegistrationBean servletRegistrationBean() {

        RequestWrapperFilter userInfoFilter = new RequestWrapperFilter();

        FilterRegistrationBean<RequestWrapperFilter> bean = new FilterRegistrationBean<>();

        bean.setFilter(userInfoFilter);

        bean.setName("requestFilter");

        bean.addUrlPatterns("/*");

        bean.setOrder(Ordered.LOWEST_PRECEDENCE);

        return bean;

    }

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

    }

}

这样,就实现了请求报文的解密、数据替换,而且对Controller逻辑没有影响。

SpringBoot 过滤器更改 Request body ,并实现数据解密的更多相关文章

  1. 寻找写代码感觉(八)之SpringBoot过滤器的使用

    一.什么是过滤器? 过滤器是对数据进行过滤,预处理过程,当我们访问网站时,有时候会发布一些敏感信息,发完以后有的会用*替代,还有就是登陆权限控制等,一个资源,没有经过授权,肯定是不能让用户随便访问的, ...

  2. Springboot+ajax传输json数组以及单条数据的方法

    Springboot+ajax传输json数组以及单条数据的方法 下面是用ajax传输到后台单条以及多条数据的解析的Demo: 结构图如下: 下面是相关的代码: pom.xml: <?xml v ...

  3. springboot过滤器的实现

    springboot过滤器的实现 如下所示: import javax.servlet.*; import javax.servlet.annotation.WebFilter;import java ...

  4. SpringBoot中如何灵活的实现接口数据的加解密功能?

    数据是企业的第四张名片,企业级开发中少不了数据的加密传输,所以本文介绍下SpringBoot中接口数据加密.解密的方式. 本文目录 一.加密方案介绍二.实现原理三.实战四.测试五.踩到的坑 一.加密方 ...

  5. Request三种获取数据的方式

    今天在做ajax请求后台代码时,发现ajax的方法都对,但就是请求不了后台代码,后来在同事帮助下才发现前台定义了两个相同参数导致请求出错. 下面记录一下request三种获取数据的方式: 1. Req ...

  6. jplayer中动态添加列表曲目(js提取request中的list数据作为js参数使用)

    jplayer 的播放列表使用如下: $(document).ready(function(){ new jPlayerPlaylist({ jPlayer: "#jquery_jplaye ...

  7. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除)

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   ...

  8. SpringBoot系列: 与Spring Rest服务交互数据

    不管是单体应用还是微服务应用, 现在都流行Restful风格,  下图是一个比较典型的使用rest的应用架构, 该应用不仅使用database数据源, 而且用到了一个Weather微服务, 另一方面, ...

  9. jmeter将JDBC Request查询出的数据作为下一个接口的参数

    现在有一个需求,从数据库tieba_info表查出rank小于某个值的username和count(*),然后把所有查出来的username和count(*)作为参数值,用于下一个接口. tieba_ ...

  10. javaBean默认接受request发送过来的数据,根据键自动设置属性

    javaBean默认接受request发送过来的数据,根据键自动设置属性

随机推荐

  1. 为何 WPF 对 vcruntime140 有引用

    通过阅读 WPF 官方开源仓库的代码和文档,可以了解到在进行独立发布的时候会在仓库里面带上 vcruntime140 的原因 在独立发布的时候,可以在仓库里面找到 vcruntime140.dll 这 ...

  2. HAL库移植RT-Thread Nano

    一.移植RT-Thread Nano准备 keil软件 CubeMx软件 STM32 CubeMx使用教程:https://www.cnblogs.com/jzcn/p/16313803.html S ...

  3. EPAI手绘建模APP资源管理和模型编辑器2

    g) 矩形   图 26模型编辑器-矩形 i. 修改矩形的中心位置. ii. 修改矩形的长度和宽度. h) 正多边形 图 27模型编辑器-内接正多边形 图 28模型编辑器-外切正多边形 i. 修改正多 ...

  4. CF633H (线段树维护矩乘 + 莫队)

    Fibonacci-ish II 题意:给定一个长度最大为 \(30000\) 的序列,和最多 \(30000\) 个询问,每个询问问某区间 \([L,R]\) 里的数,去掉重复然后排序之后,依次乘上 ...

  5. SAP集成技术(九)集成能力中心(ICC)

    本文链接:https://www.cnblogs.com/hhelibeb/p/17867473.html 内容摘录自<SAP Interface Management Guide>. 定 ...

  6. Unity热更学习toLua使用--[1]toLua的导入和默认加载执行lua脚本

    [0]toLua的导入 下载toLua资源包,访问GitHub项目地址,点击下载即可. 将文件导入工程目录中: 导入成功之后会出现Lua菜单栏,如未成功生成文件,可以点击Generate All 重新 ...

  7. three.js 物体要使用光线投射技术,计算是否点击位置与物体有交叉

    原生 DOM 还用原生的 DOM 点击事件,要注意开启 pointerEvents CSS3DRenderer 是一个新的渲染器,需要在渲染循环调用并适配 labelRenderer.domEleme ...

  8. IIS 部署 Python 环境

    1.安装IIS 勾选特殊CGI程序2.Python 环境 (环境变量配置)3.如果没有pip命令 先下载安装pip python setup.py install4.pip install wfast ...

  9. 带你阅读Naive Ui Admin后台管理源码,并手撸JS版本

    Naive Ui Admin 是一个基于 Vue3.0.Vite. Naive UI.TypeScript 的中后台解决方案,它使用了最新的前端技术栈,并提炼了典型的业务模型,页面,包括二次封装组件. ...

  10. 微信小程序,wx.getUserProfile接口将被收回,新的头像获取方式永久保存

    微信文档:https://developers.weixin.qq.com/miniprogram/dev/framework/ 新的获取头像方式:https://developers.weixin. ...