使用ControllerAdvice进行接口加解密处理

最新推荐文章于 2024-07-15 22:27:12 发布
最新推荐文章于 2024-07-15 22:27:12 发布
阅读量224 收藏 2
点赞数 9
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ClarenceWang_CN/article/details/129877811
版权

注意:以下代码为伪代码,仅提供思路
使用条件:
接口入参:所有接口必须使用POST请求,且需包含@RequestBody注解
接口出参:无固定要求,根据实际情况修改以下代码

@ControllerAdvice
public class AppControllerAdvice implements RequestBodyAdvice {
    @Override
    public boolean supports(MethodParameter methodParameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
    //保证所有接口都走向该Advice
        return true;
    }

    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
        try {
        //这里通过注解值获取使用哪种解密方式
            if (parameter.getMethod().isAnnotationPresent(ApiEncrypt.class)) {
                ApiEncrypt serializedField = parameter.getMethodAnnotation(ApiEncrypt.class);
                if (serializedField.withBox()) {
                    //使用RSA解密
                    return new DecryptedInputMessage(inputMessage, "RSA");
                } else {
                    //使用AES解密
                    return new DecryptedInputMessage(inputMessage, "AES");
                }

            }
            return inputMessage;
        } catch (Exception e) {
            e.printStackTrace();
            return inputMessage;
        }
    }

    @Override
    public Object afterBodyRead(Object body, HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
        return body;
    }

    @Override
    public Object handleEmptyBody(Object body, HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
        return body;
    }


    static class DecryptedInputMessage implements HttpInputMessage {
        private final HttpHeaders headers;
        private final InputStream body;

        public DecryptedInputMessage(HttpInputMessage inputMessage, String encryptType) throws Exception {
            this.headers = inputMessage.getHeaders();
            String privateKey = "你的RSA私钥";
            if (Objects.equals(encryptType, "RSA")) {
                this.body = IOUtils.toInputStream(new String(RSA.decrypt(RSA.hexToPrivateKey(privateKey), Hex.decode(IOUtils.toString(inputMessage.getBody(),"utf-8"))), StandardCharsets.UTF_8), "utf-8");
            } else {
                this.body = IOUtils.toInputStream(new String(AES.decrypt(Hex.decode(IOUtils.toString(inputMessage.getBody(), StandardCharsets.UTF_8)), "1234567890123456")), "utf-8");
            }
        }

        @Override
        public InputStream getBody() throws IOException {
            return body;
        }

        @Override
        public HttpHeaders getHeaders() {
            return headers;
        }

    }


}

出参加密处理

@ControllerAdvice
//这里的param最好就是用Object,因为加密后的不再是某个返回类,而是String
public class AppResponseBodyAdvice implements ResponseBodyAdvice<Object> {
    @Override
    public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
        return true;
    }

    @Override
    public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
        ApiEncrypt serializedField = returnType.getMethodAnnotation(ApiEncrypt.class);
        if(serializedField == null){
            return body;
        }
        if(serializedField.withBox()){
            String publicKey = "RSA公钥";
            return "RSA"+ new String(Hex.encode(RSA.encrypt(RSA.hexToPublicKey(publicKey), JSON.toJSONBytes(body))));
        }else{
            return "AES"+new String(Hex.encode(AES.encrypt(JSON.toJSONBytes(body),"AES秘钥")));

        }

    }
}

如果只这样用,当你的返回类不是String的时候,接口会多出两个双引号,对前端及其他同行不友好,所以还要处理一下

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
//自己搞一个MessageConvert,让他能解析掉加密后的String
    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
        return new MappingJackson2HttpMessageConverter() {

            @Override
            protected void writeInternal(Object object, Type type, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
                if (object instanceof String) {
                    Charset charset = StandardCharsets.UTF_8;
                    StreamUtils.copy((String) object, charset, outputMessage.getBody());
                } else {
                    super.writeInternal(object, type, outputMessage);
                }
            }
        };
    }

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        MappingJackson2HttpMessageConverter converter = mappingJackson2HttpMessageConverter();
        converter.setSupportedMediaTypes(new LinkedList<MediaType>() {{
            add(MediaType.APPLICATION_JSON_UTF8);
        }});
        //这里是去掉双引号的精髓,把String的处理器和自定义处理器的排序提前,保证解析的时候先走这两个
        converters.add(0,new StringHttpMessageConverter());
        converters.add(1,converter);
    }

}

这里再提一下为啥会多出来两个双引号,是因为正常不加密的情况下,你的返回类型是Response<>这种,他是一个json方法,但是你在responseAdvice的时候,把他强转成了string,但是那个时候,你的处理器已经被spring确定为了json,而在json中,字符串就是要加双引号的,他就自动给你加上了, 这也是为什么要去重写那个writeInternal的原因,然后具体的原理什么的,如果想不起来了就看一下这个
springMVC中框架对HttpMessageConverter的选择原理
然后源码是在
org.springframework.web.selvet.mvc.method.annotation.AbstractMessageConverterMethodProcessorwriteWithMessageConverters方法中,可以进来了之后直接看213行左右,或者搜这个

genericConverter = converter instanceof GenericHttpMessageConverter ? (GenericHttpMessageConverter)converter : null;

Clarence Wang_CN
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot @ControllerAdvice + RequestBodyAdvice 实现解密工具踩坑记录
梦游小草的博客
04-03 1935
背景: 看了最少几十篇springboot解密相关的教程,大致都是:@ControllerAdvice注解 +实现RequestBodyAdvice接口。由于代码不复杂,直接借鉴并处理了自己的解密拦截类。但是一直无法进入拦截,一直以为是手敲代码敲错了拦截类,尝试重新在网上copy代码,结果代码也不能正常跑。然而在github上面pull别人的代码,跑起来却能正常拦截。于是重新copy拦截...
SpringBoot 接口数据加解密实战!
java_beautiful的博客
06-30 507
这日,刚撸完2行代码,正准备掏出手机摸鱼放松放松,只见老大朝我走过来,并露出一个”善意“的微笑,兴伟呀,xx项目有于安全问题,需要对接口进行加密处理,你这方面比较有经验,就给你安排上了哈,看这周内提测行不...,额,摸摸头上飘摇着而稀疏的长发,感觉我爱了。...
Spring Boot 接口数据加解密,so easy!
竹林幽深
04-23 1317
OK,客户端请求加密-》发起请求-》服务端解密-》业务处理-》服务端响应加密-》客户端解密展示,看起来没啥问题,实际是头天下午花了2小时碰需求,差不多花1小时写好demo测试,然后对所有接口统一进行处理,整一下午赶脚应该行了吧,告诉H5和安卓端同学明儿上午联调(不小的大家到这个时候发现猫腻没有,当时确实疏忽了,翻了大车......)次日,安卓端反馈,你这个加解密有问题,解密后的数据格式和之前不一样,仔细一看,擦,这个userType和registerTime是不对劲,开始思考:这个能是哪儿的问题呢?
java中实现接口统一加解密
qq_41132384的博客
10-24 2757
可以直接落地的java统一接口加解密方案
springboot 前后端入参响应 加密解密
weixin_42903592的博客
06-25 1459
​由于有些项目需要对于安全要求比较高的情况下,可以使用这种方式对请求参数和返回参数进行加密解密的操作。
接口层对参数统一加密解密
韩俊的个人博客
11-07 826
页面调中台接口时有时候需要加密,因为接口太多了,需要页面调接口时统一在发送ajax和接收参数时处理。现在使用SM4加密算法,页面传from-data参数时先把每个参数的值进行SM4加密,接收时统一SM4解密。js代码我不管了,我把接口层用过滤器实现了,注意事项看注释。
接口返回字段加密
飞腾创客
10-14 249
接口返回字段加密 @RestControllerAdvice public class ResponseResultAdvice implements ResponseBodyAdvice
SpringBoot接口加密解密统一处理
08-25
在实际的控制器处理逻辑中,我们需要使用`ControllerAdvice`来全局拦截所有请求,然后根据`NeedCrypto`的判断结果进行相应的加密解密操作。例如: ```java @ControllerAdvice public class CryptoAdvice { @...
SpringMvc/SpringBoot HTTP通信加解密的实现
08-25
@ControllerAdvice是一个SpringMvc/SpringBoot提供的注解,可以被用于实现全局的异常处理加解密。在这里,我们可以使用@ControllerAdvice来实现DecodeRequestBodyAdvice类,从而实现全局的加解密。 SpringMvc/...
SpringMVC @ControllerAdvice使用场景
08-25
主要介绍了SpringMVC @ControllerAdvice使用场景,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
什么是ResponseBodyAdvice接口以及@ControllerAdvice的配合使用
06-14
好多小伙伴对@RestController和@Controller+@ResponseBody的使用应该不会陌生,每一个java后端开发工程师都会用到这几个注解。这里不过多啰嗦(不明白的小伙伴自行百度一下吧) 进入今天的主题,每次我们返回的对象...
springmvc如何进行异常处理
08-25
除了局部处理外,我们还可以使用 @ControllerAdvice 注解来实现全局异常处理。例如: ```java @ControllerAdvice public class ExceptionController { @ExceptionHandler public ModelAndView error(Exception ...
SpringBoot接口数据加解密实战
huang714的专栏
07-01 500
转存失败重新上传取消主要的需求点如下:需求解析:按本次需求来简单还原问题,定义两个对象,后面用得着,用户类: 用户类型枚举类: 构造一个简单的用户列表查询示例: 调用:localhost:8080/user/list查询结果如下,没毛病: 目前主要是利用ControllerAdvice来对请求和响应进行拦截,主要定义SecretRequestAdvice请求进行加密和SecretResponseAdvice对响应进行加密(实际情况会稍微复杂一点,项目中又GET类型请求,自定义了一个Fil
spring mvc rest 接口选择性加密解密
a18792721831的博客
05-31 1324
spring mvc rest 接口选择性加密解密1.需求2.分析3.实现3.1注解方式3.1.1定义注解3.1.2定义注解Aspect切面3.1.3使用3.2拦截器3.2.1定义拦截器3.2.2配置拦截器3.2.3使用4.加密4.1对称加密4.2非对称加密5.加密算法5.1MD5算法5.2SHA1算法5.3HMAC算法5.4AES/DES/3DES算法5.5DES算法5.63DES算法5.7AE...
利用注解+RequestBodyAdvice实现http请求内容加解密
more_try的博客
03-20 7584
注解主要用来指定那些需要加解密controller方法,实现比较简单 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface SecretAnnotation { boolean encode() default false; boolean decode() def...
JavaSE》---6.<基础语法(Java三大程序控制结构)>
m0_73456341的博客
07-14 825
本篇博客主要讲解Java基础语法中的三大结构,一种顺序结构、两大分支结构i(if-else、swich-case)、四大循环结构(while、do while、fot、foreach)
Spring Security 授权
persistence_PSH的博客
07-14 900
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 1022
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言的开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
day04:Redis和店铺营业状态设置
最新发布
m0_69266818的博客
07-15 827
介绍了Redis命令和用java操作redis还有营业额状态接口的书写
ControllerAdvice排除接口
03-01
ControllerAdvice中,我们可以使用@ExceptionHandler注解来定义异常处理方法,用于处理Controller中抛出的指定类型的异常。同时,我们还可以使用@InitBinder注解来定义数据绑定规则,用于将请求参数绑定到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值