【Java】RuoYi+SpringBoot+前后端分离版添加接口加密(参考)

已于 2024-05-14 09:17:04 修改
阅读量1.4k 收藏 24
点赞数 20
分类专栏: Java 文章标签: spring boot 后端 java
于 2024-02-05 11:43:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/New_hl/article/details/136038242
版权

这次更新参考了其他博主内容,在基础上做了备注及调整

1. 前端加解密

1.1 下载开源的base64

npm install --save js-base64

1.2 在request.js引入base64

request.js地址在ruoyi-ui/src/utils/request.js
引入代码

import {Base64} from 'js-base64'

在这里插入图片描述

1.3 在request.js中的request拦截器-对config.data进行加密处理

  // base64加密请求数据
  config.data = Base64.encode(typeof config.data === 'object' ? JSON.stringify(config.data) : config.data)

在这里插入图片描述

1.4 在request.js中的response响应器-对接收的数据进行解密处理

    //判断后端接口给的数据是否加密
    let res;
    if(resjm.data.code == null){
      // base64解密
      const resjmh =  Base64.decode(resjm.data)
      res = {};
      res.data =  JSON.parse(resjmh);
    }else{
      res = resjm;
    }

    // 二进制数据则直接返回
    if (resjm.request.responseType === 'blob' || resjm.request.responseType === 'arraybuffer') {
      return resjm.data
    }

这里和教程内容存在不一样的地方,是直接解密会出现后端有些接口没做加密处理,还有一些异常抛出也没做加密,如果直接解密会报错,需要过滤掉这类数据部解密。
在这里插入图片描述

2. 后端加解密

2.1 新增过滤器ResponseDataFilter(名字随意,在注册Bean的时候一致就行)

我这边统一放在了com.ruoyi.common.utils.Base64Decrypt下面

import com.ruoyi.common.utils.sign.Base64;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.PrintWriter;
 
public class ResponseDataFilter implements Filter {
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化操作,可留空
    }
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String uri = ((HttpServletRequest) request).getRequestURI();
//        如果是非 multipart/form-data 类型(文件)的请求,则进行解密处理,否则不处理
        if ("/common/upload".equals(uri)) {
            chain.doFilter(request, response);
        } else {

            HttpServletRequest requests =  (HttpServletRequest) request;
            String requestBody = getRequestBody(requests);

            //解密请求报文
            String requestBodyMw = new String(Base64.decode(requestBody), "utf-8");
            WrapperedRequest wrapRequest = new WrapperedRequest( (HttpServletRequest) request, requestBodyMw);
            WrapperedResponse wrapResponse = new WrapperedResponse((HttpServletResponse) response);
            chain.doFilter(wrapRequest, wrapResponse);
            byte[] data = wrapResponse.getResponseData();
            // 加密返回报文.如果是/tool/gen/batchGenCode,代码下载接口,则不加密
            if(!"/tool/gen/batchGenCode".equals(uri)){
                String responseBodyMw = Base64.encode(data);
                response.getOutputStream().write(responseBodyMw.getBytes());
            }else {
                response.getOutputStream().write(data);
            }
        }
    }
 
    @Override
    public void destroy() {
        // 销毁操作,可留空
    }
 
    private String getRequestBody(HttpServletRequest req) {
        try {
            BufferedReader reader = req.getReader();
            StringBuffer sb = new StringBuffer();
            String line = null;
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
            String json = sb.toString();
            return json;
        } catch (IOException e) {
            System.out.println("请求体读取失败"+e.getMessage());
        }
        return "";
    }
 
 
}

这里有多做了两个判断,第一个/common/upload是文件上传的类型,如果走常规加密,这边会报错,也可以根据HTTP请求的Content-Type设置为multipart/form-data,然后排除整个类型,第二个/tool/gen/batchGenCode是自动生成文件打包下载的地址,也排除掉加密。

2.2 把自己添加过滤器注册为bean(在FilterConfig.java文件写,也可以自己写配置文件)

我这边在com.ruoyi.framework.config.FilterConfig添加

@Bean
    public FilterRegistrationBean requestDataFilter()
    {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        //自己的过滤器叫什么名字就写上什么名字
        registration.setFilter(new ResponseDataFilter());
        registration.addUrlPatterns("/*");
        registration.setName("responseDataFilter");
        //过滤器的顺序,数字越小,越先执行,反之亦然
        registration.setOrder(FilterRegistrationBean.LOWEST_PRECEDENCE);
        return registration;
    }

2.3 继承HttpServletRequestWrapper和继承HttpServletResponseWrapper

我这边统一放在了com.ruoyi.common.utils.Base64Decrypt下面

import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.OutputStreamWriter;
import java.io.PrintWriter;
import java.io.UnsupportedEncodingException;
import javax.servlet.ServletOutputStream;
import javax.servlet.WriteListener;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
public class WrapperedResponse extends HttpServletResponseWrapper {
 
    private ByteArrayOutputStream buffer = null;
    private ServletOutputStream out = null;
    private PrintWriter writer = null;
 
    public WrapperedResponse(HttpServletResponse resp) throws IOException {
        super(resp);
        // 真正存储数据的流
        buffer = new ByteArrayOutputStream();
        out = new WapperedOutputStream(buffer);
        writer = new PrintWriter(new OutputStreamWriter(buffer,
                this.getCharacterEncoding()));
    }
 
    /** 重载父类获取outputstream的方法 */
    @Override
    public ServletOutputStream getOutputStream() throws IOException {
        return out;
    }
 
    /** 重载父类获取writer的方法 */
    @Override
    public PrintWriter getWriter() throws UnsupportedEncodingException {
        return writer;
    }
 
    /** 重载父类获取flushBuffer的方法 */
    @Override
    public void flushBuffer() throws IOException {
        if (out != null) {
            out.flush();
        }
        if (writer != null) {
            writer.flush();
        }
    }
 
    @Override
    public void reset() {
        buffer.reset();
    }
 
    /** 将out、writer中的数据强制输出到WapperedResponse的buffer里面,否则取不到数据 */
    public byte[] getResponseData() throws IOException {
        flushBuffer();
        return buffer.toByteArray();
    }
 
    /** 内部类,对ServletOutputStream进行包装 */
    private class WapperedOutputStream extends ServletOutputStream {
        private ByteArrayOutputStream bos = null;
 
        public WapperedOutputStream(ByteArrayOutputStream stream)
                throws IOException {
            bos = stream;
        }
 
        @Override
        public void write(int b) throws IOException {
            bos.write(b);
        }
 
        @Override
        public void write(byte[] b) throws IOException {
            bos.write(b, 0, b.length);
        }
 
        @Override
        public boolean isReady() {
            // TODO Auto-generated method stub
            return false;
        }
 
        @Override
        public void setWriteListener(WriteListener writeListener) {
            // TODO Auto-generated method stub
 
        }
    }
}

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.StringReader;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class WrapperedRequest extends HttpServletRequestWrapper {
 
    private String requestBody = null;
    HttpServletRequest req = null;
 
    public WrapperedRequest(HttpServletRequest request) {
        super(request);
        this.req = request;
    }
 
    public WrapperedRequest(HttpServletRequest request, String requestBody) {
        super(request);
        this.requestBody = requestBody;
        this.req = request;
    }
 
    /**
     * (non-Javadoc)
     *
     * @see javax.servlet.ServletRequestWrapper#getReader()
     */
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new StringReader(requestBody));
    }
 
    /**
     * (non-Javadoc)
     *
     * @see javax.servlet.ServletRequestWrapper#getInputStream()
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        return new ServletInputStream() {
            private InputStream in = new ByteArrayInputStream(
                    requestBody.getBytes(req.getCharacterEncoding()));
            @Override
            public int read() throws IOException {
                return in.read();
            }
            @Override
            public boolean isFinished() {
                // TODO Auto-generated method stub
                return false;
            }
            @Override
            public boolean isReady() {
                // TODO Auto-generated method stub
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
                // TODO Auto-generated method stub
 
            }
        };
    }
}

在这里插入图片描述
大佬的资料让我是受益匪浅,本文仅在大佬的基础上结合我实际的项目进行一些更细的文字说明
参考链接:https://blog.csdn.net/Haoxiansheng1/article/details/133939598
————————————————

本文还存在文件上传下载问题,并未加入到代码中,主要是方式是添加过滤

时光匆匆岁月荏苒,转眼我们已不是当年
关注
  • 20
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Java RSA加密后端实现
01-25
本资源实现前端加密Java后端加密。本资源出自他人整合。
spring(tomcat)前后端数据加密传输demo
04-22
后端数据加密传输demo springboot项目 可在idea中直接打开 spring tomcat环境下可迁移使用
若依前后端分离项目的BCrypt加密登录加密方式改成MD5方式
最新发布
v9296的博客
05-24 126
这个类使用BCrypt算法实现密码编码。3.修改common中的utils的securityUtils,其中要修改两个方法encryptPassword和matchesPassword(登录的流程会调用这两个方法)2.第二步找到securityConfig的配置文件,在项目中的framework 中的config,可以找到两个方法,BCrypt是一个被认为适合密码存储的安全的密码哈希方法。里面的getMd5是自定义的加密逻辑,这里我是在网上找的,如果要用其他的加密算法,比如md5加盐也可以去网上找找。
后端数据加密代码实战(vue3.4+springboot 2.7.18)
an_gentle_killer的博客
05-01 1057
java/ vue / js(crypto-js/jsencrypt) 加密:SHA256 加密解密:AES/RSA算法的使用,springboot+vue3.4,前后端数据加密流程
前后端分离API接口如何加密 —— AES加密方案
zhengTornado的博客
08-18 5520
场景还原:页面中需要展示手机号,身份证号,因为是前后端分离,所有接口API地址有可能暴露,这样不怀好意的人可以拿到个人敏感信息 解决方案: 1. 敏感信息加掩码,例如:接口返回130**12这样的手机号。弊端:在有表单中无法实现这种方案。 2. 后端加密,前端解密的方式(本文采用的方式),前后端统一加密方案,salt字符串等信息。弊端:前端js无法做到高级加密,salt可以被查到,但是成本相对较高。 后台加密工具类 package org.jeecg.modules.system.util; im.
SpringBoot集成数据传输加密
月月鸟先森的博客
12-04 1334
近期在对开发框架安全策略方面进行升级优化,提供一些通用场景的解决方案,本文针对前后端数据传输加密进行简单的分享,处理流程设计如下图所示,本加密方法对原有项目兼容性较好,只需要更换封装好的加密Ajax请求方法,后端统一拦截判断是否需要解密即可生成的DES加密密钥一定是8的整数倍的位数 生成RSA密钥对 RSA密钥对有很多种格式,因为需要和前端算法库互联互通,这里选择的是1024位,Padding方式为PKSC1 前端DES加密 引入crypto.js第三方库 前端RSA加密 引入jsencrypt,js第三方
js(CryptoJs)前端加密后端解密
向着高亮的地方
03-20 9496
一.前台加密,需要引入crypto-js.js库: <!DOCTYPE html> <html>     <head>         <meta charset="UTF-8">         <title>jsencrypt的使用</title>         <script src="js
前后端分离调用api接口加密方式
热门推荐
ycy白米饭的博客
07-13 1万+
参考各方资料结合自己的理解写的此文,可实现接口调用防抓包,防篡改,防重发攻击,1.服务端配置一对RSA密钥对,公钥pubkey_server,私钥prikey_server,并将pubkey_server写到web端js中2.web端打开登录页,生成一对RSA密钥对,公钥pubkey_client,私钥prikey_client3.登陆操作:  a.web端用pubkey_server加密如下信息...
仿照https原理 使用rsa aes混合加密 前后端分离下,接口传输的安全,数据加密
qq_42339350的博客
10-16 495
为什么需要加密 前后端分离之后,页面独立,接口单独返回所需数据,某些开放接口,比如登录,无登录视频播放,评论,多媒体资源等,很容易被第三方调用,爬虫获取。鉴权的接口也有可能正常用户调用接口修改个人某些数据。 https不是加密过了吗,怎么还加密? 抓个包看,浏览器控制台请求参数仍然是明文,https加密是在应用层和传输层之间,应用层就是浏览器客户端,请求发出之后帮你加密,到传输层的时候是安全的。但是浏览器客户端这里仍然能看见,并不安全。 为什么要混合加密?直接用rsa非对称加密不就行了吗 rsa加密内容长度
JavaScript中的对象,入职3个月的前端程序员面临转正,四轮面试后多久出结果
2201_75604580的博客
04-14 513
如果你已经下定决心要转行做编程行业,在最开始的时候就要对自己的学习有一个基本的规划,还要对这个行业的技术需求有一个基本的了解。有一个已就业为目的的学习目标,然后为之努力,坚持到底。如果你有幸看到这篇文章,希望对你有所帮助,祝你转行成功。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024c (备注前端)一个人可以走的很快,但一群人才能走的更远!
基于SpringBoot+Vue3前后端分离Java快速开发框架
04-04
【标题】:“基于SpringBoot+Vue3前后端分离Java快速开发框架” 在这个项目中,开发者采用SpringBoot作为后端框架,Vue3作为前端框架,构建了一个高效的、前后端分离Java开发框架。SpringBootSpring框架的一...
后端接口安全技术JWT+RSA加密
06-18
【课程介绍】 ? ? ?课程目标:? ? ? ? ? ? ?- 有状态登录和无状态登录的区别? ? ? ? ? ? ?- 常见的非对称加密算法和非对称的加密方式? ? ? ? ? ? ?- 老本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?- 服务端保存大量数据,增加服务端压力- 服务端保存用户状态,无法进行水平扩展- 客户端请求依赖服务端,多次请求必须访问同一台服务器。什么是无状态? 微服务集群中的每个服务,对外提供的都是R
JAVA基于springboot+vue的前后端分离的erp进销存系统
04-10
JAVA基于springboot+vue的前后端分离的erp进销存系统可运行,在若依ruoyi)框架上改造的可运行,目前已经稳定运行,从入库到出库、盘点都有可以作为开发参考或者毕业设计参考,不做商用,有什么问题可以直接联系博...
前后端分离springboot+vue
01-22
在现代Web开发中,"前后端分离"是一种常见的架构模式,旨在提高开发效率,优化用户体验,以及更好地维护和扩展应用程序。本项目结合了SpringBoot和Vue.js两大技术栈,实现了一个高效、灵活的Web应用。 **SpringBoot...
若依集成CIM(即时推送系统)实现将服务端修改为SpringBoot+Vue前后端分离代码.rar
03-11
基于此将服务端修改为SpringBoot+Vue前后端分离 CIM是一套基于mina或netty框架下的推送系统,或许有一些企业有着自己一套即时通讯系统的需求,那么CIM为您提供了一个解决方案,目前CIM支持websocket,android,ios...
springboot+vue前后端分离 实现超大文件分块上传
10-22
本示例项目"springboot+vue前后端分离 实现超大文件分块上传"提供了一个高效且实用的解决方案,将Java后端框架Spring Boot与前端Vue.js及Element UI组件库结合,实现了大文件的分块上传功能。下面我们将详细探讨这个...
前后端分离数据传输加解密方案(建议方案二)
zengliangxi的专栏
09-27 8325
前后端分离接口数据传输加解密
若依框架添加出入参加密解密
a816120的博客
06-01 5376
若依出入参加密解密,若依全局过滤器使用,byte数组转string丢失数据问题。
Springboot后端参数交互方式
weixin_34006965的博客
12-26 955
springboot后端参数交互方式 Get 方式: 1. localhost:8080/index?id=1 @RequestParam(value = "grade", defaultValue = "") String grade) 2. localhost:8080/index/{reportType} localhost:8...
ruoyi+springboot
03-25
框架的使用方法有哪些? A:ruoyi springboot框架是一款基于springboot开发的后台管理系统快速开发框架,可以快速搭建一个安全、稳定、高效的后台管理系统。使用方法主要包括以下几个步骤: 1、下载安装ruoyi springboot框架,可以从官网或者github上获取下载链接。 2、使用IDE(如eclipse、IntelliJ IDEA等)导入框架,并进行相关配置,比如数据库配置、redis配置等。 3、根据业务需求进行代码编写,可以使用框架提供的基础功能模块,也可以自行开发业务模块。 4、进行系统测试和部署,可以采用docker容器部署或者传统服务器部署方式。 5、经过测试后,将系统上线运行,进行线上监控和维护。 总之,ruoyi springboot框架使用起来非常简单、快捷,开发人员可以高效地完成项目,节省时间和人力成本。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值