客户端、服务端网络通信,为了安全,会对报文数据进行加解密操作。

在SpringBoot项目中,最好使用参考AOP思想,加解密与Controller业务逻辑解耦,互不影响。

以解密为例:需要在request请求到达Controller之前进行拦截,获取请求body中的密文并对其进行解密,然后把解密后的明文重新设置到request的body上。

拦截器、过滤器、Controller之间的关系

如图所示,在Request对象进入Controller之前,可使用Filter过滤器或者过滤器和Interceptor拦截器进行拦截。

过滤器、拦截器主要差异:

1、过滤器来自于 Servlet;而拦截器来自于 Spring 框架;

2、触发时机不同:请求的执行顺序是:请求进入容器 > 进入过滤器 > 进入 Servlet > 进入拦截器 > 执行控制器(Controller)

3、过滤器是基于方法回调实现的;拦截器是基于动态代理(底层是反射)实现的;

4、过滤器是 Servlet 规范中定义的,所以过滤器要依赖 Servlet 容器,它只能用在 Web 项目中;拦截器是 Spring 中的一个组件,因此拦截器既可以用在 Web 项目中,同时还可以用在 Application 或 Swing 程序中;

5、过滤器通常是用来实现通用功能过滤的,比如:敏感词过滤、字符集编码设置、响应数据压缩等功能;拦截器更接近业务系统,所以拦截器主要用来实现项目中的业务判断的,比如:登录判断、权限判断、日志记录等业务;

对于我们当前应用场景来说,区别就是过滤器更适用于修改request body。

为响应数据报文统一加密,也可参考上述过程实现;

具体实现分析

修改请求,会有两个问题:

1、请求体的输入流被读取,它就不能再被其他组件读取,因为输入流只能被标记、重置,并且在读取后会被消耗。

2、HttpServletRequest对象的body数据只能get,不能set,不能再次赋值。而咱们的需求是需要给HttpServletRequest body解密并重新赋值。

基于以上两个问题,咱们需要定义一个HttpServletRequest实现类,增加赋值方法,来满足我们的需求。

CustomHttpServletRequestWrapper.java

import javax.servlet.ReadListener;

import javax.servlet.ServletInputStream;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import java.io.*;

/**

 * 自定义HttpServletRequestWrapper

 * qxc

 * 20240622

 */

public class CustomHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private String body;

    public CustomHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

        StringBuilder stringBuilder = new StringBuilder();

        BufferedReader bufferedReader = null;

        InputStream inputStream = null;

        try {

            inputStream = request.getInputStream();

            if (inputStream != null) {

                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));

                char[] charBuffer = new char[128];

                int bytesRead = -1;

                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {

                    stringBuilder.append(charBuffer, 0, bytesRead);

                }

            } else {

                stringBuilder.append("");

            }

        } catch (IOException ex) {

        } finally {

            if (inputStream != null) {

                try {

                    inputStream.close();

                }

                catch (IOException e) {

                    e.printStackTrace();

                }

            }

            if (bufferedReader != null) {

                try {

                    bufferedReader.close();

                }

                catch (IOException e) {

                    e.printStackTrace();

                }

            }

        }

        body = stringBuilder.toString();

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());

        ServletInputStream servletInputStream = new ServletInputStream() {

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

            @Override

            public int read() throws IOException {

                return byteArrayInputStream.read();

            }

        };

        return servletInputStream;

    }

    @Override

    public BufferedReader getReader() throws IOException {

        return new BufferedReader(new InputStreamReader(this.getInputStream()));

    }

    public String getBody() {

        return this.body;

    }

    public void setBody(String body) {

        this.body = body;

    }

}

接下来,继续写Filter类,用于拦截请求,解析body, 解密报文,替换请求body数据。

RequestWrapperFilter.java



import com.fasterxml.jackson.databind.ObjectMapper;

import lombok.extern.slf4j.Slf4j;

import javax.servlet.*;

import javax.servlet.http.HttpServletRequest;

import java.io.BufferedReader;

import java.io.IOException;

import java.io.InputStreamReader;

import java.util.Map;

import java.util.Objects;

/**

 * 自定义Filter

 * qxc

 * 20240622

 */

@Slf4j

public class RequestWrapperFilter implements Filter {

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        CustomHttpServletRequestWrapper customHttpServletRequestWrapper = null;

        try {

            HttpServletRequest req = (HttpServletRequest) request;

            customHttpServletRequestWrapper = new CustomHttpServletRequestWrapper(req);

            preHandle(customHttpServletRequestWrapper);

        } catch (Exception e) {

            log.warn("customHttpServletRequestWrapper Error:", e);

        }

        chain.doFilter((Objects.isNull(customHttpServletRequestWrapper) ? request : customHttpServletRequestWrapper), response);

    }

    public void preHandle(CustomHttpServletRequestWrapper request) throws Exception {

        //仅当请求方法为POST时修改请求体

        if (!request.getMethod().equalsIgnoreCase("POST")) {

            return;

        }

        //读取原始请求体

        StringBuilder originalBody = new StringBuilder();

        String line;

        try (BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()))) {

            while ((line = reader.readLine()) != null) {

                originalBody.append(line);

            }

        }

        String bodyText = originalBody.toString();

        //json字符串转成map集合

        Map<String, String> map = getMap(bodyText);

        //获取解密参数,解密数据

        if (map != null && map.containsKey("time") && map.containsKey("data")) {

            String time = map.get("time");

            String key = "基于时间戳等参数生成密钥、此处请换成自己的密钥";

            String data = map.get("data");

            //解密数据

            String decryptedData = Cipher.decrypt(key, data);

            //为请求对象重新设置body

            request.setBody(decryptedData);

        }

    }

    private Map<String, String> getMap(String text) {

        ObjectMapper objectMapper = new ObjectMapper();

        try {

            // 将JSON字符串转换为Map

            Map<String, String> map = objectMapper.readValue(text, Map.class);

            return map;

        } catch (IOException e) {

            e.printStackTrace();

            return null;

        }

    }

}

AES加解密算法封装

Cipher.java

import java.math.BigInteger;

import java.nio.charset.StandardCharsets;

import java.security.MessageDigest;

import java.util.Base64;

import javax.crypto.spec.SecretKeySpec;

/**

 * 自定义AES加解密算法类

 * qxc

 * 20240622

 */

public class Cipher {

    public static String encrypt(String key, String text){

        try {

            SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");

            javax.crypto.Cipher cipher = javax.crypto.Cipher.getInstance("AES");

            cipher.init(javax.crypto.Cipher.ENCRYPT_MODE, secretKeySpec);

            byte[] encryptedBytes = cipher.doFinal(text.getBytes("UTF-8"));

            String cipherText = base64Encode(encryptedBytes);

            return cipherText;

        }catch (Exception ex){

            ex.printStackTrace();

            return "";

        }

    }

    public static String decrypt(String key, String cipherText) {

        try {

            SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes("UTF-8"), "AES");

            javax.crypto.Cipher cipher = javax.crypto.Cipher.getInstance("AES");

            cipher.init(javax.crypto.Cipher.DECRYPT_MODE, secretKeySpec);

            byte[] decryptedBytes = cipher.doFinal(base64Decode(cipherText));

            return new String(decryptedBytes, StandardCharsets.UTF_8);

        }catch (Exception ex){

            ex.printStackTrace();

            return "";

        }

    }

    public static String getMd5(String input) {

        try {

            MessageDigest md = MessageDigest.getInstance("MD5");

            md.update(input.getBytes());

            byte[] digest = md.digest();

            BigInteger bigInt = new BigInteger(1, digest);

            String md5Hex = bigInt.toString(16);

            while (md5Hex.length() < 32) {

                md5Hex = "0" + md5Hex;

            }

            return md5Hex;

        } catch (Exception e) {

            e.printStackTrace();

            return "";

        }

    }

    public static String base64Encode(byte[] bytes) {

        if (bytes != null && bytes.length > 0) {

            return Base64.getEncoder().encodeToString(bytes);

        }

        return "";

    }

    public static byte[] base64Decode(String base64Str) {

        if (base64Str != null && base64Str.length() > 0) {

            return Base64.getDecoder().decode(base64Str);

        }

        return new byte[]{};

    }

}

最后,需要在WebMvcConfigurer中配置并使用RequestWrapperFilter

import com.qxc.server.encryption.RequestWrapperFilter;

import com.qxc.server.jwt.JwtInterceptor;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.core.Ordered;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@SpringBootApplication

public class ServerApplication implements WebMvcConfigurer {

    public static void main(String[] args) {

        SpringApplication.run(ServerApplication.class, args);

    }

    @Bean

    public FilterRegistrationBean servletRegistrationBean() {

        RequestWrapperFilter userInfoFilter = new RequestWrapperFilter();

        FilterRegistrationBean<RequestWrapperFilter> bean = new FilterRegistrationBean<>();

        bean.setFilter(userInfoFilter);

        bean.setName("requestFilter");

        bean.addUrlPatterns("/*");

        bean.setOrder(Ordered.LOWEST_PRECEDENCE);

        return bean;

    }

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

    }

}

这样,就实现了请求报文的解密、数据替换,而且对Controller逻辑没有影响。

SpringBoot 过滤器更改 Request body ,并实现数据解密的更多相关文章

  1. 寻找写代码感觉(八)之SpringBoot过滤器的使用

    一.什么是过滤器? 过滤器是对数据进行过滤,预处理过程,当我们访问网站时,有时候会发布一些敏感信息,发完以后有的会用*替代,还有就是登陆权限控制等,一个资源,没有经过授权,肯定是不能让用户随便访问的, ...

  2. Springboot+ajax传输json数组以及单条数据的方法

    Springboot+ajax传输json数组以及单条数据的方法 下面是用ajax传输到后台单条以及多条数据的解析的Demo: 结构图如下: 下面是相关的代码: pom.xml: <?xml v ...

  3. springboot过滤器的实现

    springboot过滤器的实现 如下所示: import javax.servlet.*; import javax.servlet.annotation.WebFilter;import java ...

  4. SpringBoot中如何灵活的实现接口数据的加解密功能?

    数据是企业的第四张名片,企业级开发中少不了数据的加密传输,所以本文介绍下SpringBoot中接口数据加密.解密的方式. 本文目录 一.加密方案介绍二.实现原理三.实战四.测试五.踩到的坑 一.加密方 ...

  5. Request三种获取数据的方式

    今天在做ajax请求后台代码时,发现ajax的方法都对,但就是请求不了后台代码,后来在同事帮助下才发现前台定义了两个相同参数导致请求出错. 下面记录一下request三种获取数据的方式: 1. Req ...

  6. jplayer中动态添加列表曲目(js提取request中的list数据作为js参数使用)

    jplayer 的播放列表使用如下: $(document).ready(function(){ new jPlayerPlaylist({ jPlayer: "#jquery_jplaye ...

  7. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除)

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   ...

  8. SpringBoot系列: 与Spring Rest服务交互数据

    不管是单体应用还是微服务应用, 现在都流行Restful风格,  下图是一个比较典型的使用rest的应用架构, 该应用不仅使用database数据源, 而且用到了一个Weather微服务, 另一方面, ...

  9. jmeter将JDBC Request查询出的数据作为下一个接口的参数

    现在有一个需求,从数据库tieba_info表查出rank小于某个值的username和count(*),然后把所有查出来的username和count(*)作为参数值,用于下一个接口. tieba_ ...

  10. javaBean默认接受request发送过来的数据,根据键自动设置属性

    javaBean默认接受request发送过来的数据,根据键自动设置属性

随机推荐

  1. [Cloud] From Borg to Kubernetes

    Borg System Architect: Kubernetes System Architect: Link:https://www.cnblogs.com/farwish/p/12751861. ...

  2. dotnet 7 已知问题 WPF 的 TreeView 开启虚拟化之后只显示首项

    本文记录 WPF 在 dotnet 7 的一个已知问题,此问题当前已修复,只需更新 SDK 或运行时即可.使用 TreeView 在开启虚拟化之后只显示首项,其他项不显示.本文将告诉大家此问题的原因和 ...

  3. 关于多个 Cookie 的分隔符这件事

    对于 Cookie 的处理上,我最近遇到一个问题,那就是如何分割 Cookie 的内容.有人说是使用逗号分割,有人说是使用分号分割,究竟用哪个才是对的?其实这个答案是需要分为两个过程,分别是请求和响应 ...

  4. 尝试 IIncrementalGenerator 进行增量 Source Generator 生成代码

    在加上热重载时,源代码生成 Source Generator 的默认行为会让 Visual Studio 有些为难,其原因是热重载会变更代码,变更代码触发代码生成器更新代码,代码生成器更新的代码说不定 ...

  5. K8s控制器---Replicaset(7)

    一.Replicaset(目前少用了) 1.1 控制器管理pod 什么是控制器?前面我们学习了 Pod,那我们在定义 pod 资源时,可以直接创建一个 kind:Pod 类型的自主式 pod,但是这存 ...

  6. saltstack web 平台开发

    运维平台参考: https://wrapbootstrap.com/

  7. TypingLearn解决了我在学习英语中的一大痛点

    上一次在博客园发贴还是在上一次(2021年),那个时候博客园就遇到了危机(被罚款).彼时在疫情期间,我个人生活也受到了影响,先后去了多个城市,最终在上海找到了 .NET Web开发的岗位,还是比较幸运 ...

  8. 二进制安装Kubernetes(k8s)v1.30.1

    二进制安装Kubernetes(k8s)v1.30.1 https://github.com/cby-chen/Kubernetes 开源不易,帮忙点个star,谢谢了 介绍 kubernetes(k ...

  9. OpenCV笔记(6) Bitwise

    源码: BitwiseAnd   //dst = src1 & src2 public static void BitwiseAnd(InputArray src1, InputArray s ...

  10. windows隐藏文件如何查看

    1.组织 2.查看 3.显示隐藏文件