1、问题背景
由于使用Wicket框架,自带了做请求url做加密的功能,意思很简单就是让生成的action url不可理解。
只需要在主Application中的init方法中加入以下内容(官方样例)
IRequestMapper cryptoMapper = new CryptoMapper(getRootRequestMapper(), this);
setRootRequestMapper(cryptoMapper);
但问题是url虽然加密了,但加密的结果是一样的就是说,如果url被记录,从其他用户的会话中一样可以访问到对应请求。
所以我希望得到的效果是,每个一 用户(session)请求的url加密出的url都不同。
2、分析解决
a、源码分析
查看org.apache.wicket.core.request.mapper.CryptoMapper的源码发现,CryptoMapper会从application.getSecuritySettings().getCryptFactory()中获得CryptFactory。
默认情况下采用org.apache.wicket.util.crypt.CachingSunJceCryptFactory来加密,但密钥是固定值
org.apache.wicket.settings.ISecuritySettings#DEFAULT_ENCRYPTION_KEY其实就是"WiCkEt-FRAMEwork"
这就导致了每次加密都是相同的结果。
b、更换CryptFactory解决
其实我们可以用org.apache.wicket.core.util.crypt.KeyInSessionSunJceCryptFactory来替换默认的factory
getSecuritySettings().setCryptFactory(new KeyInSessionSunJceCryptFactory());
IRequestMapper cryptoMapper = new CryptoMapper(getRootRequestMapper(), this);
setRootRequestMapper(cryptoMapper);
这样每个session的密钥都会不同,生成的url也不同,符合我的要求。
P.S.
有人可能会说加密没有效果,那是因为是Home页,或者是被mount过的页面。为了达到比较好的加密效果需要加一个空跳转首页,引导到正确加密后的页面请求,这样会更安全。把下面的内容设置为application中的homepage。
public class HomePage extends Page {
public HomePage() {
init();
}
public HomePage(IModel<?> model) {
super(model);
init();
}
public HomePage(PageParameters parameters) {
super(parameters);
init();
}
private void init() {
setResponsePage(XXXXXXPage.class);
}
}
XXXXXXPage.class就起到了隐藏的效果,会自动跳转到
/dvsOWxqltC1Lu-hxacR5bMPgoBRqoZo_zoCEQ0HSHf6EzKCQbYXYyFzxLP6VdPzGvIe1sLqBPLnOfdnnit56E8Ptoy6iZAiC/dvs30/PzG2c/AiC9a,复制到其他浏览器由于会话不存在会返回404,完全隐藏真实的页面。