request body数据多次读取解决方案及通用签名校验方式

最新推荐文章于 2024-02-23 21:07:05 发布
最新推荐文章于 2024-02-23 21:07:05 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: 加密 文章标签: requestbody 多次读取 签名校验 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fajing_feiyue/article/details/102877873
版权

当用请求体里面的参体的参数用以签名的时候,就会遇到request body里面数据只能读取一次,再次读取就null的情况。故这里将解决多次读取request body的解决方案。

扩展HttpServletRequestWrapper,使用请求InputStream和基本缓存字节。并将过滤的优先级设为最前的优先级,是后续再请求体获取数据不至于为空。

@Configuration
public class RequestBodyConfig {

    @Bean
    public FilterRegistrationBean requestBodyFilterRegistration(){
        FilterRegistrationBean registration = new FilterRegistrationBean();
        //添加过滤器
        registration.setFilter(new RequestBodyFilter());
        //设置过滤路径,/*所有路径
        registration.addUrlPatterns("/*");
        registration.setName("requestBodyFilter");
        //设置优先级
        registration.setOrder(0);
        return registration;
    }

    public class RequestBodyFilter implements Filter {
        @Override
        public void destroy() {

        }

        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
            HttpServletRequest httpServletRequest = (HttpServletRequest) request;
            //防止读流一次之后就没有了,所以将流继续写出去
            BodyReaderHttpServletRequestWrapper requestWrapper = new BodyReaderHttpServletRequestWrapper(httpServletRequest);
            filterChain.doFilter(requestWrapper, response);

        }

        @Override
        public void init(FilterConfig filterConfig) throws ServletException {

        }
    }

    /**
     * request.getInputStream();
     * request.getReader();
     * 和request.getParameter("key");
     * 保存流
     */
    public class BodyReaderHttpServletRequestWrapper extends HttpServletRequestWrapper{
        private final byte[] body;
        public BodyReaderHttpServletRequestWrapper(HttpServletRequest request) {
            super(request);
            String bodyString = StreamUtil.getBodyString(request);
            body = bodyString.getBytes(Charset.forName("UTF-8"));

        }

        @Override
        public ServletInputStream getInputStream() throws IOException {
            ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body);
            return new ServletInputStream() {
                @Override
                public boolean isFinished() {
                    return false;
                }

                @Override
                public boolean isReady() {
                    return false;
                }

                @Override
                public void setReadListener(ReadListener readListener) {

                }

                @Override
                public int read() throws IOException {
                    return byteArrayInputStream.read();
                }
            };
        }

        @Override
        public BufferedReader getReader() throws IOException {
            return new BufferedReader(new InputStreamReader(getInputStream()));
        }
    }
}

这里将完整获取请求体里面的工具类附上

public class StreamUtil {
    private static final Integer BUFFER_SIZE = 128;
    private static final Logger LOGGER = LoggerFactory.getLogger(StreamUtil.class);

    public static String getBodyString(HttpServletRequest request) {
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            ServletInputStream inputStream = request.getInputStream();
            if (!Objects.isNull(inputStream)) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                int bytesRead = 0;
                char[] charBuffer = new char[BUFFER_SIZE];
                while ((bytesRead = bufferedReader.read(charBuffer)) != -1) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException e) {
            LOGGER.error("get body fail,{}", e.getMessage());
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }

            }
        }
        return stringBuilder.toString();
    }
}

这里将完整获取请求体里面的工具类附上

public class RequestBodyUtils {

    private static final int BUFFER_SIZE = 1024 * 8;

    /**
     * read string.
     *
     * @param reader Reader instance.
     * @return String.
     * @throws IOException
     */
    public static String read(Reader reader) throws IOException
    {
        StringWriter writer = new StringWriter();
        try
        {
            write(reader, writer);
            return writer.getBuffer().toString();
        }
        finally{ writer.close(); }
    }

    /**
     * write.
     *
     * @param reader Reader.
     * @param writer Writer.
     * @return count.
     * @throws IOException
     */
    public static long write(Reader reader, Writer writer) throws IOException
    {
        return write(reader, writer, BUFFER_SIZE);
    }

    /**
     * write.
     *
     * @param reader Reader.
     * @param writer Writer.
     * @param bufferSize buffer size.
     * @return count.
     * @throws IOException
     */
    public static long write(Reader reader, Writer writer, int bufferSize) throws IOException
    {
        int read;
        long total = 0;
        char[] buf = new char[BUFFER_SIZE];
        while( ( read = reader.read(buf) ) != -1 )
        {
            writer.write(buf, 0, read);
            total += read;
        }
        return total;
    }

}

这是通用的签名校验的通用方式,也是因为这个签名校验校验了请求体里面内容。故需要保存请求体里面的内容用于多次读取

@Component
@WebFilter(filterName = "signFilter", urlPatterns = "/*")
public class SignFilter implements Filter {
    private static final Logger LOGGER = LoggerFactory.getLogger(SignFilter.class);
    /**
     * 正常情况是通过配置文件获取
     */
    private static final String key = "ABCD";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String token = request.getHeader("token");
        String ts = request.getHeader("ts");
        String appId = request.getHeader("appId");
        String sign = request.getHeader("sign");
        String bodyString = StreamUtil.getBodyString(request);
        String newSign = SignUtils.getMD5(bodyString + ts + appId + token + key);
        JsonVO jsonVO = null;
        boolean pass = true;
        if (StringUtils.isEmpty(sign) || !sign.equals(newSign)) {
            LOGGER.error("鉴权失败,newSign:{},sign:{},token:{},ts:{},appId:{}", newSign, sign, token, ts, appId);
            jsonVO = new JsonVO(500, "鉴权失败");
            pass = false;
        } else if (System.currentTimeMillis() - SignUtils.parseLong(ts) > 600000) {
            jsonVO = new JsonVO(500, "时间超时");
            pass = false;
        }else {
            filterChain.doFilter(request, response);
        }

        if (pass) {
            return;
        }
        response.setContentType("application/json;charset=utf-8");
        response.setCharacterEncoding("UTF-8");
    PrintWriter out = null;
        try {
        out = response.getWriter();
        out.append(JSON.toJSONString(jsonVO));
    } catch (Exception e) {
        LOGGER.error("sgin out fail:{}", e.getMessage());
    } finally {
        if (!Objects.isNull(out)) {
            out.close();
        }
    }


}

    @Override
    public void destroy() {

    }
    
}

签名校验的工具类

public class SignUtils {
    private static final String MD_STR = "MD5";
    private static final String CODING_UTF8 = "UTF-8";

    public static String getMD5(String info) {
        try {
            //获取 messageDigst 对象,参数为 MD5 字符,
            // 表示这是MD5 算法(其他还有 SHA1 算法)
            MessageDigest md5 = MessageDigest.getInstance(MD_STR);
            //update(byte[]) ,输入原数据
            //类似stringBuilder 对象的append() 方法,追加模式,属于一个累计更改的过程
            md5.update(info.getBytes(CODING_UTF8));
            //disgest() 被调用,MessageDigest对象被重置,既不能联系再次调用该方法计算原数据的MD5
            byte[] md5Array = md5.digest();
            return bytesToHex1(md5Array);
        } catch (UnsupportedEncodingException e) {
            return "";

        } catch (NoSuchAlgorithmException e) {
            return "";
        }
    }


    private static String bytesToHex1(byte[] md5Array) {
        StringBuilder stringBuilder = new StringBuilder();
        for (int i = 0; i < md5Array.length; i++) {
            //防止转变int的前24位防止 负号反码,让24高位为0
            int temp = 0xff & md5Array[i];
            String hexString = Integer.toHexString(temp);
            //如果是16进制的of,默认只显示f,此时要补0
            if (hexString.length() == 1) {
                stringBuilder.append("0").append(hexString);
            } else {
                stringBuilder.append(hexString);
            }
        }
        return stringBuilder.toString();
    }

    //通过java提供的BigInteger 完成byte->HexString
    private static String bytesToHex2(byte[] md5Array) {
        BigInteger bigInt = new BigInteger(1, md5Array);
        return bigInt.toString(16);
    }

    //通过为运算,将字节数据到16进制的转化
    public static String bytesToHex3(byte[] byteArray) {
        char[] hexDigits = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};
        char[] resultArray = new char[byteArray.length * 2];
        int index = 0;
        for (byte b : byteArray) {
            resultArray[index++] = hexDigits[b >> 4 & 0xf];
            resultArray[index++] = hexDigits[b & 0xf];
        }
        return new String(resultArray);
    }

    public static Long parseLong(String numStr) {
        Pattern compile = Pattern.compile("^[1-9][0-9]*$");
       if(compile.matcher(numStr).find()) {
           return Long.parseLong(numStr);
       }
        return 0L;
    }

}

Controller用于验证是否能够多次获取请求体里面内容

@RestController
@RequestMapping("/filter")
public class FilterController {

    @PostMapping("/getRequest")
    public String testRequestBody(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String token = request.getHeader("token");
        System.out.println("token:" + token);
        String str = request.getQueryString();
        BufferedReader bufferedReader = request.getReader();
        String read = RequestBodyUtils.read(bufferedReader);
        System.out.println("read:" + read);
        System.out.println("---------------------");;
        BufferedReader bufferedReader2 = request.getReader();
        String read2 = RequestBodyUtils.read(bufferedReader2);
        System.out.println("read:" + read2);
        return "success";
    }
}
筏镜
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么SpringMVC中请求的body不支持多次读取
08-25
主要介绍了为什么SpringMVC中请求的body不支持多次读取,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决SpringBoot v2.2以上重复读取Request Body内容问题
jlcon的专栏
09-10 2455
解决SpringBoot v2.0以上重复读取Request Body内容问题 一、需求 项目有两个场景会用到从RequestBody读取内容。 打印请求日志 提供Api接口,在api方法执行前,从Request Body读取参数进行验签,验签通过后在执行api方法 二、解决方案 2.1 自定义RequestWrapper public class MyRequestWrapper extends HttpServletRequestWrapper { private final String
深入剖析@RequestBody无法被重复解析的原因
最新发布
BASK2311的博客
02-23 849
至此为何会执行的原因我们也就清楚了,进一步,其实我们也就对SpringMVC内部重复使用无法被解析的原因进行深入的分析简单来看,就是因为SpringMVC请求体中的内容通过I/O流的方式读取,其只被读取一次,读取完毕后会将I/O流关闭,因此后续再解析请求体中内容,并将内容封装到修饰的对象中。
Springboot踩坑-request body重复问题
世界很大我很小
10-21 495
在一次业务开发中,由于需要在拦截器中对一个http请求中request body内容做解析和判断,所以用了的getInputStream解析了request body内容,之后导致了拦截器处理成功后,原来的业务接口处报request body not found的错误。
解决SpringMVC中RequestBody只能读取一次的方法
梧桐树的博客
07-09 1236
有时候我们需要使用SpringMVC中的拦截器(Interceptor)对数据先进行一次校验,此时会涉及到一个问题,请求体中的内容我们只能读取一次,所以这需要我们进行一定的操作才能够保证拦截器不会影响到后面的逻辑,方法就是我们自己创建一个过滤器(Filter),来手动给他把HttpServletRequest对象给他替换掉。
WebApi获取RequestBody流。
小目标一个亿
06-17 5061
StreamReader sr = new StreamReader(Request.Body, Encoding.GetEncoding("GB2312")); string strData = sr.ReadToEndAsync().Result;
Request body二次取得的问题
奥翔在海洋中~~
04-09 2291
HttpServletRequest中的取得body的方法有两种
HandlerInterceptor拦截器的使用 (3)——多次获取请求参数body中的信息
萝卜&青菜的博客
05-16 4374
现在开发的项目是基于SpringBoot的maven项目,拦截器的使用很多时候是必不可少的,当有需要需要你对body中的值进行校验,例如加密验签、防重复提交、内容校验等等。 当你开开心心的在拦截器中通过request.getInputStream();获取到body中的信息后,你会发现你在controller中使用了@RequestBody注解获取参数报如下错误 I/O error while reading input message; nested exception is java.io.IOExce
Android应用安全防护实践一网络请求参数签名校验(二)
weixin_44515491的博客
01-20 1万+
这个东西就比较简单了 先上个小demo public static HttpParams sign(Map&amp;amp;lt;String, String&amp;amp;gt; paramValues, List&amp;amp;lt;String&amp;amp;gt; ignoreParamNames) { try { paramValues.put(&amp;quot;timestamp&amp;quot;,
java多次读取HttpServletRequest方法
weixin_42742698的博客
03-08 373
java多次读取HttpServletRequest方法
Spring boot @RequestBody数据传递过程详解
08-25
主要介绍了Spring boot @RequestBody数据传递过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
@RequestBody与@Validated使用时校验失效.md
08-02
@RequestBody与@Validated使用时校验失效.md
RequestBody报400分析与解决方案.docx
10-26
RequestBody报400分析与解决方案.docx
Filter解决调用多次body.rar
07-18
Filter解决调用多次body,从request中获取多次body信息,避免出现controller获取不到body报错的解决方案
Springboot 之重复读取 Request Body 内容
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-05 2531
简介在项目中,有两个场景会用到从 RequestBody读取内容。打印请求日志提供 Api 接口,在 Api 方法执行之前,从 RequestBody读取参数进行验签,验签通过后再执行 Api 方法的具体逻辑这时就需要对 RequestBoy 进行重复读取。要实现对 RequestBody 进行重复读取的思路如下:继承 HttpServletRequestWrapper 包装类,读取 Re...
Android 接口加签的使用
zhujiangtaotaise的专栏
09-04 665
为什么要做接口加签呢,目的就是防止别人恶意估计,就是频繁的调用例如 发短信验证的接口,导致公司产生高昂的短信费用。 那么接口加签就可以解决这个问题了,但是需要客户端和服务端约定好。以下就是加签的过程。 步骤一:服务端给我们一个接口来获取RAS的公钥,或者将服务端的公钥写死在客户端。 这里为了方便说明,我们是将公钥放在本地的。 例如,我们拿到的密钥为:KEY = “kqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDFCVD2j” 然后 通过算法获取对应KEY 的密钥对象 RSAPri
SpringBoot之Filter拦截器的使用 — 获取requestBody解决nested exception is java.io.IOException: Stream closed
热门推荐
liaonanfeng88的CSDN博客
10-17 2万+
直接问题处理过程; 异常如下: 异常摘要:I/O error while reading input message; nested exception is java.io.IOException: Stream closed org.springframework.http.converter.HttpMessageNotReadableException: I/O error whil...
Request body多次取得的问题
小猪奋斗
09-30 3760
简介: HttpServletRequest中的取得body的方法有两种:getInputStream()、getReader()。 但是这个两个方法只能用一次,取第二次的时候就会变为null,然而HttpServletRequest中的body二进制还是有的,感觉特别奇怪,原因可能是游标的变动,HttpServletRequest第一次取body时游标以跑到二进制流的尾部,然后第二次去的时候就取...
RequestBody校验
08-23
校验@RequestBody参数时,@Validated注解不会生效。您可以使用@Validated和@Valid注解配合使用来校验List类型的参数。在具体的实体类型中添加校验注解,比如@NotEmpty(message = "等级id不能为空")。另外,在异常处理中,可以使用@ExceptionHandler(ConstraintViolationException.class)来处理@Valid注解引发的异常。在处理异常的方法中,可以通过ex.getConstraintViolations()获取到校验失败的信息,并进行相应的处理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [@Validated + @RequestBody校验List](https://blog.csdn.net/qq_35563821/article/details/118105274)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [开源版发卡小程序源码 云盘发卡微信小程序源码带PC端 云盘发卡系统源码.rar](https://download.csdn.net/download/winkexin/88236712)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值