HttpServletRequestWrapper的使用

老大给了一个很实际的需求：有段程序，使用Http的方式与合作商交互，而且是明文传输数据。我方的代码已经打包放在服务器上运行了很长时间，这时合作商突然要求修改数据传输的方式，要求加密后再传输，而我方的原有的代码不能改变，以防止引发其它问题。 
问：如何在不修改我方现有的代码的前提下，满足合作商的要求？

可能大家都想到了，只要加上一个过滤器Filter不就可以了吗？事实就是这样的，采用Filter+HttpServletRequestWrapper就可以解决这个问题。 
首先：在filter中拦截到加密后的请求，将参数解密，然后组装成一个新的明文请求串。 
然后：重写HttpServletRequestWrapper中的getInputStream()方法，让其返回过滤器解析后的明文串即可。

具体代码解释如下。

首先我写了两个一摸一样的servlet，一个用来直接接收合作商的明文请求并打印；一个用来接收Filter处理后的合作商的请求并打印（Filter中将合作商加密后的参数解密再传给这个Servlet）。

1. @WebServlet("/SiServlet")
2. public class SiServlet extends HttpServlet {
3. private static final long serialVersionUID = 1L;
4. /**
5. * @see HttpServlet#HttpServlet()
6. */
7. public SiServlet() {
8. super();
9. }
10. /**
11. * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
12. *      response)
13. */
14. protected void doGet(HttpServletRequest request,
15. HttpServletResponse response) throws ServletException, IOException {
16. this.doPost(request, response);
17. }
18. /**
19. * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
20. *      response)
21. *
22. */
23. protected void doPost(HttpServletRequest request,
24. HttpServletResponse response) throws ServletException, IOException {
25. String bizBindMsg = IOUtils.toString(request.getInputStream(), "UTF-8");
26. bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
27. System.out.println("SiServlet接收到请求为: " + bizBindMsg);
28. response.getWriter().write("==========success=========");
29. }
30. }

1. @WebServlet("/SiServletNormal")
2. public class SiServletNormal extends HttpServlet {
3. private static final long serialVersionUID = 1L;
4. /**
5. * @see HttpServlet#HttpServlet()
6. */
7. public SiServletNormal() {
8. super();
9. }
10. /**
11. * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
12. *      response)
13. */
14. protected void doGet(HttpServletRequest request,
15. HttpServletResponse response) throws ServletException, IOException {
16. this.doPost(request, response);
17. }
18. /**
19. * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
20. *      response)
21. *
22. */
23. protected void doPost(HttpServletRequest request,
24. HttpServletResponse response) throws ServletException, IOException {
25. String bizBindMsg = IOUtils.toString(request.getInputStream(), "UTF-8");
26. bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
27. System.out.println("SiServletNormal接收到请求为: " + bizBindMsg);
28. response.getWriter()
29. .write("==========SiServletNormal Success=========");
30. }
31. }

然后我使用HttpClient模拟了一下合作商发送明文和密文请求的过程，加密使用Base64简单模拟一下。

1. public class AdcClient {
2. private HttpPost httpPost = null;
3. private HttpClient client = null;
4. private List<NameValuePair> pairs = null;
5. public AdcClient() {
6. httpPost = new HttpPost("http://localhost:8080/filtertest/SiServlet");
7. client = new DefaultHttpClient();
8. }
9. /**
10. * 发送明文消息
11. *
12. */
13. public void sendMsg() {
14. try {
15. httpPost = new HttpPost(
16. "http://localhost:8080/filtertest/SiServletNormal");
17. pairs = new ArrayList<NameValuePair>();
18. pairs.add(new BasicNameValuePair(("param1"), "obama没加密"));
19. pairs.add(new BasicNameValuePair(("param2"), "男没加密"));
20. pairs.add(new BasicNameValuePair(("param3"), "汉没加密"));
21. pairs.add(new BasicNameValuePair(("param4"), "山东没加密"));
22. httpPost.setEntity(new UrlEncodedFormEntity(pairs, "UTF-8"));
23. // httpPost.setHeader("Cookie", "TOKEN=1234567890");
24. HttpResponse response = client.execute(httpPost);
25. HttpEntity entity = response.getEntity();
26. BufferedReader br = new BufferedReader(new InputStreamReader(
27. entity.getContent()));
28. String line = null;
29. StringBuffer result = new StringBuffer();
30. while ((line = br.readLine()) != null) {
31. result.append(line);
32. line = br.readLine();
33. }
34. System.out.println("来自SiServletNormal的响应为:" + result.toString());
35. } catch (UnsupportedEncodingException e) {
36. e.printStackTrace();
37. } catch (ClientProtocolException e) {
38. e.printStackTrace();
39. } catch (IOException e) {
40. e.printStackTrace();
41. }
42. }
43. /**
44. * 发送加密后的消息
45. */
46. public void sendEncryptMsg() {
47. try {
48. pairs = new ArrayList<NameValuePair>();
49. pairs.add(new BasicNameValuePair(("param1"), Base64EnDecrypt
50. .base64Encode("obama")));
51. pairs.add(new BasicNameValuePair(("param2"), Base64EnDecrypt
52. .base64Encode("男")));
53. pairs.add(new BasicNameValuePair(("param3"), Base64EnDecrypt
54. .base64Encode("汉")));
55. pairs.add(new BasicNameValuePair(("param4"), Base64EnDecrypt
56. .base64Encode("山东")));
57. HttpEntity reqEntity = new UrlEncodedFormEntity(pairs, "UTF-8");
58. httpPost.setEntity(reqEntity);
59. // httpPost.setHeader("Cookie", "TOKEN=1234567890");
60. HttpResponse response = client.execute(httpPost);
61. /**
62. * 获取响应信息
63. */
64. HttpEntity entity = response.getEntity();
65. BufferedReader br = new BufferedReader(new InputStreamReader(
66. entity.getContent()));
67. String line = null;
68. StringBuffer result = new StringBuffer();
69. while ((line = br.readLine()) != null) {
70. result.append(line);
71. line = br.readLine();
72. }
73. System.out.println("来自SiServlet的响应为:" + result.toString());
74. } catch (UnsupportedEncodingException e) {
75. e.printStackTrace();
76. } catch (ClientProtocolException e) {
77. e.printStackTrace();
78. } catch (IOException e) {
79. e.printStackTrace();
80. }
81. }
82. /**
83. * @param args
84. * @throws UnsupportedEncodingException
85. */
86. public static void main(String[] args) throws UnsupportedEncodingException {
87. new AdcClient().sendMsg();
88. new AdcClient().sendEncryptMsg();
89. }
90. }

重点是下面的这个HttpServletRequestWrapper，我重写了它的getInputStream()方法，这个方法返回包含明文的ServletInputStream

1. public class MyRequestWrapper extends HttpServletRequestWrapper {
2. private HttpServletRequest request;
3. public MyRequestWrapper(HttpServletRequest request) {
4. super(request);
5. this.request = request;
6. }
7. /**
8. * 先解密，获取明文；然后将明文转化为字节数组；然后再去读取字节数组中的内容
9. */
10. @Override
11. public ServletInputStream getInputStream() {
12. String bizBindMsg = null;
13. ServletInputStream stream = null;
14. try {
15. stream = request.getInputStream();
16. bizBindMsg = IOUtils.toString(stream, "UTF-8");
17. } catch (IOException e) {
18. e.printStackTrace();
19. }
20. try {
21. bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
22. } catch (UnsupportedEncodingException e) {
23. e.printStackTrace();
24. }
25. System.out.println("MyRequestWrapper接收到的请求为: " + bizBindMsg);
26. /**
27. * 获取加密的值进行解密
28. */
29. final StringBuffer reqStr = new StringBuffer();
30. reqStr.append("param1=").append(
31. Base64EnDecrypt.base64Decode(bizBindMsg.substring(
32. bizBindMsg.indexOf("param1=") + 7,
33. bizBindMsg.indexOf("param2="))));
34. reqStr.append("&");
35. reqStr.append("param2=").append(
36. Base64EnDecrypt.base64Decode(bizBindMsg.substring(
37. bizBindMsg.indexOf("param2=") + 7,
38. bizBindMsg.indexOf("param3="))));
39. reqStr.append("&");
40. reqStr.append("param3=").append(
41. Base64EnDecrypt.base64Decode(bizBindMsg.substring(
42. bizBindMsg.indexOf("param3=") + 7,
43. bizBindMsg.indexOf("param4="))));
44. reqStr.append("&");
45. reqStr.append("param4=").append(
46. Base64EnDecrypt.base64Decode(bizBindMsg.substring(bizBindMsg
47. .indexOf("param4=") + 7)));
48. System.out.println("********MyRequestWrapper接收到的解密后的请求为*********");
49. System.out.println(reqStr.toString());
50. /**
51. * 将解密后的明文串放到buffer数组中
52. */
53. byte[] buffer = null;
54. try {
55. buffer = reqStr.toString().getBytes("UTF-8");
56. } catch (UnsupportedEncodingException e) {
57. e.printStackTrace();
58. }
59. final ByteArrayInputStream bais = new ByteArrayInputStream(buffer);
60. ServletInputStream newStream = new ServletInputStream() {
61. @Override
62. public int read() throws IOException {
63. return bais.read();
64. }
65. };
66. return newStream;
67. }
68. }

最后是简单的Filter，在这里将加密后的ServletRequest重新包装，交给SiServlet进行处理

1. public class EncryptFilter implements Filter {
2. @Override
3. public void destroy() {
4. }
5. @Override
6. public void doFilter(ServletRequest request, ServletResponse response,
7. FilterChain chain) throws IOException, ServletException {
8. chain.doFilter(new MyRequestWrapper((HttpServletRequest) request),
9. response);
10. }
11. @Override
12. public void init(FilterConfig arg0) throws ServletException {
13. }
14. }

我的web.xml中是这样配置的

1. <filter>
2. <filter-name>encryptFilter</filter-name>
3. <filter-class>com.test.filter.EncryptFilter</filter-class>
4. </filter>
5. <filter-mapping>
6. <filter-name>encryptFilter</filter-name>
7. <url-pattern>/SiServlet</url-pattern>
8. </filter-mapping>

确保过滤器entyptFilter只拦截到SiServlet的请求即可。

运行AdcClient，可以看到下面的结果 

这里的重点是MyRequestWrapper中重写的getInputStream()方法。大家可以看看API中关于HttpServletRequest的用法http://tomcat.apache.org/tomcat-5.5-doc/servletapi/index.html。