Spring请求参数和响应结果全局加密和解密(2)

最新推荐文章于 2022-10-24 09:03:23 发布
最新推荐文章于 2022-10-24 09:03:23 发布
阅读量304 收藏 1
点赞数
文章标签: 控制器 java spring 加密解密 sms

阅读文本大概需要25分钟。

单纯的Json请求参数和Json响应结果的加解密处理最佳实践

一般情况下,对接方的请求参数和响应结果是完全规范统一使用Json(contentType指定为application/json,使用@RequestBody接收参数),那么所有的事情就会变得简单,因为不需要考虑请求参数由xxx=yyy&aaa=bbb转换为InputStream再交给SpringMVC处理,因此我们只需要提供一个MappingJackson2HttpMessageConverter子类实现(继承它并且覆盖对应方法,添加加解密特性)。我们还是使用标识接口用于决定请求参数或者响应结果是否需要加解密:

@RequiredArgsConstructor
public class CustomEncryptHttpMessageConverter extends MappingJackson2HttpMessageConverter {

    private final ObjectMapper objectMapper;

    @Override
    protected Object readInternal(Class<?> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        if (Encryptable.class.isAssignableFrom(clazz)) {
            EncryptModel in = objectMapper.readValue(StreamUtils.copyToByteArray(inputMessage.getBody()), EncryptModel.class);
            String inRawSign = String.format("data=%s&timestamp=%d", in.getData(), in.getTimestamp());
            String inSign;
            try {
                inSign = EncryptUtils.SINGLETON.sha(inRawSign);
            } catch (Exception e) {
                throw new IllegalArgumentException("验证参数签名失败!");
            }
            if (!inSign.equals(in.getSign())) {
                throw new IllegalArgumentException("验证参数签名失败!");
            }
            try {
                return objectMapper.readValue(EncryptUtils.SINGLETON.decryptByAes(in.getData()), clazz);
            } catch (Exception e) {
                throw new IllegalArgumentException("解密失败!");
            }
        } else {
            return super.readInternal(clazz, inputMessage);
        }
    }

    @Override
    protected void writeInternal(Object object, Type type, HttpOutputMessage outputMessage)
            throws IOException, HttpMessageNotWritableException {
        Class<?> clazz = (Class) type;
        if (Encryptable.class.isAssignableFrom(clazz)) {
            EncryptModel out = new EncryptModel();
            out.setTimestamp(System.currentTimeMillis());
            try {
                out.setData(EncryptUtils.SINGLETON.encryptByAes(objectMapper.writeValueAsString(object)));
                String rawSign = String.format("data=%s&timestamp=%d", out.getData(), out.getTimestamp());
                out.setSign(EncryptUtils.SINGLETON.sha(rawSign));
            } catch (Exception e) {
                throw new IllegalArgumentException("参数签名失败!");
            }
            super.writeInternal(out, type, outputMessage);
        } else {
            super.writeInternal(object, type, outputMessage);
        }
    }
}

没错,代码是拷贝上一节提供的HttpMessageConverter实现,然后控制器方法的参数使用@RequestBody注解并且类型实现加解密标识接口Encryptable即可,返回值的类型也需要实现加解密标识接口Encryptable。这种做法可以让控制器的代码对加解密完全无感知。当然,也可以不改变原来的MappingJackson2HttpMessageConverter实现,使用RequestBodyAdvice和ResponseBodyAdvice完成相同的功能:

@RequiredArgsConstructor
public class CustomRequestBodyAdvice extends RequestBodyAdviceAdapter {

    private final ObjectMapper objectMapper;

    @Override
    public boolean supports(MethodParameter methodParameter, Type targetType,
                            Class<? extends HttpMessageConverter<?>> converterType) {
        Class<?> clazz = (Class) targetType;
        return Encryptable.class.isAssignableFrom(clazz);
    }

    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
                                           Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
        Class<?> clazz = (Class) targetType;
        if (Encryptable.class.isAssignableFrom(clazz)) {
            String content = StreamUtils.copyToString(inputMessage.getBody(), Charset.forName("UTF-8"));
            EncryptModel in = objectMapper.readValue(content, EncryptModel.class);
            String inRawSign = String.format("data=%s&timestamp=%d", in.getData(), in.getTimestamp());
            String inSign;
            try {
                inSign = EncryptUtils.SINGLETON.sha(inRawSign);
            } catch (Exception e) {
                throw new IllegalArgumentException("验证参数签名失败!");
            }
            if (!inSign.equals(in.getSign())) {
                throw new IllegalArgumentException("验证参数签名失败!");
            }
            ByteArrayInputStream inputStream = new ByteArrayInputStream(in.getData().getBytes(Charset.forName("UTF-8")));
            return new MappingJacksonInputMessage(inputStream, inputMessage.getHeaders());
        } else {
            return super.beforeBodyRead(inputMessage, parameter, targetType, converterType);
        }
    }
}

@RequiredArgsConstructor
public class CustomResponseBodyAdvice extends JsonViewResponseBodyAdvice {

    private final ObjectMapper objectMapper;

    @Override
    public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
        Class<?> parameterType = returnType.getParameterType();
        return Encryptable.class.isAssignableFrom(parameterType);
    }

    @Override
    protected void beforeBodyWriteInternal(MappingJacksonValue bodyContainer, MediaType contentType,
                                           MethodParameter returnType, ServerHttpRequest request,
                                           ServerHttpResponse response) {
        Class<?> parameterType = returnType.getParameterType();
        if (Encryptable.class.isAssignableFrom(parameterType)) {
            EncryptModel out = new EncryptModel();
            out.setTimestamp(System.currentTimeMillis());
            try {
                out.setData(EncryptUtils.SINGLETON.encryptByAes(objectMapper.writeValueAsString(bodyContainer.getValue())));
                String rawSign = String.format("data=%s&timestamp=%d", out.getData(), out.getTimestamp());
                out.setSign(EncryptUtils.SINGLETON.sha(rawSign));
                out.setSign(EncryptUtils.SINGLETON.sha(rawSign));
            } catch (Exception e) {
                throw new IllegalArgumentException("参数签名失败!");
            }
        } else {
            super.beforeBodyWriteInternal(bodyContainer, contentType, returnType, request, response);
        }
    }
}

单纯的application/x-www-form-urlencoded表单请求参数和Json响应结果的加解密处理最佳实践

一般情况下,对接方的请求参数完全采用application/x-www-form-urlencoded表单请求参数返回结果全部按照Json接收,我们也可以通过一个HttpMessageConverter实现就完成加解密模块。

public class FormHttpMessageConverter implements HttpMessageConverter<Object> {

    private final List<MediaType> mediaTypes;
    private final ObjectMapper objectMapper;

    public FormHttpMessageConverter(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
        this.mediaTypes = new ArrayList<>(1);
        this.mediaTypes.add(MediaType.APPLICATION_FORM_URLENCODED);
    }

    @Override
    public boolean canRead(Class<?> clazz, MediaType mediaType) {
        return Encryptable.class.isAssignableFrom(clazz) && mediaTypes.contains(mediaType);
    }

    @Override
    public boolean canWrite(Class<?> clazz, MediaType mediaType) {
        return Encryptable.class.isAssignableFrom(clazz) && mediaTypes.contains(mediaType);
    }

    @Override
    public List<MediaType> getSupportedMediaTypes() {
        return mediaTypes;
    }

    @Override
    public Object read(Class<?> clazz, HttpInputMessage inputMessage) throws
            IOException, HttpMessageNotReadableException {
        if (Encryptable.class.isAssignableFrom(clazz)) {
            String content = StreamUtils.copyToString(inputMessage.getBody(), Charset.forName("UTF-8"));
            EncryptModel in = objectMapper.readValue(content, EncryptModel.class);
            String inRawSign = String.format("data=%s&timestamp=%d", in.getData(), in.getTimestamp());
            String inSign;
            try {
                inSign = EncryptUtils.SINGLETON.sha(inRawSign);
            } catch (Exception e) {
                throw new IllegalArgumentException("验证参数签名失败!");
            }
            if (!inSign.equals(in.getSign())) {
                throw new IllegalArgumentException("验证参数签名失败!");
            }
            try {
                return objectMapper.readValue(EncryptUtils.SINGLETON.decryptByAes(in.getData()), clazz);
            } catch (Exception e) {
                throw new IllegalArgumentException("解密失败!");
            }
        } else {
            MediaType contentType = inputMessage.getHeaders().getContentType();
            Charset charset = (contentType != null && contentType.getCharset() != null ?
                    contentType.getCharset() : Charset.forName("UTF-8"));
            String body = StreamUtils.copyToString(inputMessage.getBody(), charset);

            String[] pairs = StringUtils.tokenizeToStringArray(body, "&");
            MultiValueMap<String, String> result = new LinkedMultiValueMap<>(pairs.length);
            for (String pair : pairs) {
                int idx = pair.indexOf('=');
                if (idx == -1) {
                    result.add(URLDecoder.decode(pair, charset.name()), null);
                } else {
                    String name = URLDecoder.decode(pair.substring(0, idx), charset.name());
                    String value = URLDecoder.decode(pair.substring(idx + 1), charset.name());
                    result.add(name, value);
                }
            }
            return result;
        }
    }

    @Override
    public void write(Object o, MediaType contentType, HttpOutputMessage outputMessage)
            throws IOException, HttpMessageNotWritableException {
        Class<?> clazz = o.getClass();
        if (Encryptable.class.isAssignableFrom(clazz)) {
            EncryptModel out = new EncryptModel();
            out.setTimestamp(System.currentTimeMillis());
            try {
                out.setData(EncryptUtils.SINGLETON.encryptByAes(objectMapper.writeValueAsString(o)));
                String rawSign = String.format("data=%s&timestamp=%d", out.getData(), out.getTimestamp());
                out.setSign(EncryptUtils.SINGLETON.sha(rawSign));
                StreamUtils.copy(objectMapper.writeValueAsString(out)
                        .getBytes(Charset.forName("UTF-8")), outputMessage.getBody());
            } catch (Exception e) {
                throw new IllegalArgumentException("参数签名失败!");
            }
        } else {
            String out = objectMapper.writeValueAsString(o);
            StreamUtils.copy(out.getBytes(Charset.forName("UTF-8")), outputMessage.getBody());
        }
    }
}

上面的HttpMessageConverter的实现可以参考org.springframework.http.converter.FormHttpMessageConverter。

小结

这篇文章强行复杂化了实际的情况(但是在实际中真的碰到过),一般情况下,现在流行使用Json进行数据传输,在SpringMVC项目中,我们只需要针对性地改造MappingJackson2HttpMessageConverter即可(继承并且添加特性),如果对SpringMVC的源码相对熟悉的话,直接添加自定义的RequestBodyAdvice(RequestBodyAdviceAdapter)和ResponseBodyAdvice(JsonViewResponseBodyAdvice)实现也可以达到目的。至于为什么使用HttpMessageConverter做加解密功能,这里基于SpringMVC源码的对请求参数处理的过程整理了一张处理流程图:

上面流程最核心的代码可以看

AbstractMessageConverterMethodArgumentResolver#readWithMessageConverters


HandlerMethodArgumentResolverComposite#resolveArgument

毕竟源码不会骗人。控制器方法返回值的处理是基本对称的,阅读起来也比较轻松。

来源:https://www.cnblogs.com/throwable/p/9471938.html

往期精彩

01 漫谈发版哪些事,好课程推荐

02 Linux的常用最危险的命令

03 精讲Spring&nbsp;Boot—入门+进阶+实例

04 优秀的Java程序员必须了解的GC哪些

05 互联网支付系统整体架构详解

关注我

每天进步一点点

很干!在看吗?☟

BUG弄潮儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring MVC请求参数响应结果全局加密解密详解
08-27
主要给大家介绍了关于Spring MVC请求参数响应结果全局加密解密的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringMVC请求参数响应结果全局加密解密
云之彼端
04-30 685
参考资料: SpringMVC请求参数响应结果全局加密解密 利用注解+RequestBodyAdvice实现http请求内容加解密 基于RequestBodyAdvice和ResponseBodyAdvice来实现spring参数加密解密 利用JsonViewRequestBodyAdvice和JsonViewResponseBodyAdvice 优雅处理对请求体和返回体进行加密解密 ...
请求参数和应答数据统一加解密
gjp014的专栏
02-28 741
一,针对请求参数和应答数据都是json格式时,可以通过,下面的方式,进行统一的的加解密。 1. 设置配置文件。 @Bean public MappingJackson2HttpMessageConverter customJackson2HttpMessageConverter() { MappingJackson2HttpMessageConverter jsonConverter = new MappingJackson2HttpMessageConverter();
SpringBoot控制器统一的响应加密请求解密的注解处理方式
08-08
SpringBoot控制器统一的响应加密请求解密的注解处理方式,支持MD5/SHA/AES/DES/RSA
spring boot 请求数据加密解密
qq_37061571的博客
12-20 1264
package com.example.config.request.resulet; import com.example.config.exception.handler.BusinessException; import com.example.config.response.enums.ResultCode; import lombok.extern.slf4j.Slf4j; import org.springframework.core.MethodParameter; import org.s.
springboot实现注册加密与登录解密功能(demo)
08-24
本文详细介绍了 Spring Boot 实现注册加密与登录解密功能的步骤,包括项目结构、依赖关系管理、加密算法、异常处理、日志处理、MyBatis-Plus、RESTful 风格、IDEA、Postman、SQL Yog 等知识点,具有很高的参考价值。
SpringBoot接口加密解密统一处理
08-25
为了保护敏感信息,我们需要对接口的请求参数响应结果进行加密解密处理。在本文中,我们将深入探讨如何在SpringBoot中实现接口的加密解密统一处理,以及如何通过自定义注解来灵活控制加密解密的执行。 首先,我们...
SpringCloud——分布式配置中心(Spring Cloud Config)
09-14
Spring Cloud Config 可以与 Spring Security 集成,对配置进行加密解密。同时,可以限制哪些用户或服务有权访问配置信息。 **七、高可用配置中心** 为了提高配置中心的可用性,我们可以部署多个 Config Server ...
springboot中如何优雅的对接口数据进行加密解密
FighterLiu的专栏
11-08 4739
在系统开发的过程中我们经常需要对外提供相应的API接口,为了保证系统数据的安全性,我们常常需要对传输的数据进行对称的加密。防止数据在传输的过程中被抓包,造成信息的泄露。通常的做法是我们在每个接口方法的前面先对请求的数据进行解密解密完成后处理相应的业务逻辑,然后在对返回数据进行加密。这样做的坏处是代码太过于冗余,每写一个接口都要处理加密解密方法。有没有什么办法可以把加密解密的逻辑提取出来,在接口的方法中我们只关注处理业务逻辑。答案肯定是有的,springboot中的RequestBodyAdvice 和
Spring Boot 对接口入参出参加密解密 注解版
Mr_Wanter
10-24 2055
根据需求可采用不同的接口加密方案全局拦截器,可定制接口规则局部拦截注解拦截,只对需要加密的接口进行加密
spring boot 重写requestServlet统一解密请求参数
Gogym的博客
01-03 7116
在做项目过程中,经常需要对传递的参数进行加解密操作,如果把加解密放到每个方法中,会很麻烦,也不统一,因为每个方法都要这部分代码。 所以可以重写request替换spring原来的request入口。达到参数请求进入时就解密好,这样既不破环spring本身的特征,也能让其他开发人员无感知的情况下完成加解密操作, 好处不言而喻。直接看看代码吧: 统一给返回值加密可以看另外一篇博文:http:/
springMVC将request解密,response加密
want_water_fish的博客
09-29 3861
1.使用 Filter 将request数据解密  1.1 Filter 代码 @Component public class DecryptFilter extends OncePerRequestFilter { private static final Logger logger = LoggerFactory.getLogger(DecryptFilter.class);...
url参数加密_Spring请求参数响应结果全局加密解密(1)
weixin_40001805的博客
12-01 1755
阅读文本大概需要25分钟。前提前段时间在做一个对外的网关项目,涉及到加密解密模块,这里详细分析解决方案和适用的场景。为了模拟真实的交互场景,先定制一下整个交互流程。第三方传输(包括请求响应)数据报文包括三个部分:1、timestamp,long类型,时间戳。2、data,String类型,实际的业务请求数据转化成的Json字符串再进行加密得到的密文。3、sign,签名,生成规则算法伪...
jasper studio不同数据源的导出情况
xuyangwinner的博客
09-20 751
jasper不同数据源的导出问题jasper导出相关用JSON作为数据源功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入...
Spring全局解密
youmingbingfeng的专栏
08-10 3458
需求:基于APP+后端服务(Spring框架),提供传输加密机制。 方案:采用AES加密,密钥的保护策略此处暂不讨论。这里主要讨论后端服务基于Spring下,如何方便的实现加解密。 方案一:APP端传输密文到后端接口,在每个具体的接口中实现参数解密,并在返回前加密结果。 优势:方案简单粗暴 劣势:当然这个方案是最LOW,也最繁琐的。如果是已有代码,涉及到大量接口修改,风险比较大。 方案二
SpringCloudGateway请求/响应拦截,加/解密
热门推荐
灼烧的疯狂
12-22 1万+
前言: 目前就是对请求的request body ,url param 在网关进行拦截、做解密操作,对 response body加密操作 这边初期就打算先用非对称加密请求响应进行处理,后续如果项目开展顺利,再改成HTTPS通信(节约钱、先看项目起得来不了)。翻阅了一些博文,抄袭了一下,自己稍作修改。下面直接上代码了,自己做个记录吧 请求体(request body)拦截 import com.ruoyi.gateway.util.RSACoderUtil; import org.apache.co
SpringMVC杂记(八) 使用阿里巴巴的fastjson
马勒・格・彼得
07-21 130
1) 国产开源软件要支持的 [code="xml"] com.alibaba fastjson 1.1.22 [/code] 2) spring没有提供相应的HttpMessageConverter可以自己写一个。 [code="java"] package com.alibaba.fastjson.spring.support; import java.i...
spring mvc 使用全局变量
weixin_30883777的博客
04-11 521
对于那些会以多线程运行的单例类(比如spring mvc中的controller,dao,service): 局部变量不会受多线程影响 成员变量会受到多线程影响 如果方法里有成员变量,只有读操作,不受影响;存在写操作,考虑多线程影响值。 例如Web应用中的Servlet,每个方法中对局部变量的操作都是在线程自己独立的内存区域内完成的,所以是线程安全的。 而web中每个请求都是单独的线程,...
基于springboot 实现对接口请求响应参数加密
最新发布
03-21
2. 定义一个切面类,使用@Before和@AfterReturning注解分别在接口请求前和响应后进行参数加密解密。 3. 在Spring Boot的配置文件中配置切面类。 4. 在接口方法上添加@Encrypt和@Decrypt注解,指定需要加密解密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值