spring gateway 实现全信道加解密

最新推荐文章于 2024-07-16 14:13:42 发布
最新推荐文章于 2024-07-16 14:13:42 发布
阅读量577 收藏 2
点赞数 1
文章标签: spring gateway 状态模式 java 后端
原文链接:https://mp.weixin.qq.com/s?__biz=MzA4MTk3MjI0Mw==&mid=2247501140&idx=1&sn=fc76fb331b6e314f8aaa4bbeb38ab130&chksm=9f8e5828a8f9d13e8f0203ab90758e9f97e05a713618d00fecfa9a36e6aa17158e2de23795aa&scene=126&sessionid=0
版权

前言:近期在项目中需要对指定请求整个信道进行加解密(防篡改,反拦截),实现整个信道通讯安全,由于不确定后期那些接口可能需要类似处理,最后决定放在网关实现该功能(虽然稍微占用网关的性能,但是能够全局统一处理十分方便,性能方面可以增加配置来解决)。此过程中也踩了些坑,在此记录下来,以便后来人参考;

首先我们采用的是GlobalFilter,GlobalFilter是应用于所有路由的特殊过滤器。
GlobalFilter接口的实现类如下图所示:

9a7587b5da12fd4664cfd6ee40392db6.png

e884c58ab7db44abfc0da512a293313e.png

当请求与路由匹配时,Web 处理程序会将所有的GlobalFilter和特定的GatewayFilter添加到过滤器链中。这个组合过滤器链是按org.springframework.core.Ordered接口排序的,也通过实现getOrder()方法来设置。

整体流程是,前端按照我们约定的加密方式将数据进行加密传给后端,网关拦截后对其解密并请求转发,消费方返回结果后,网关统一处理请求,并对其加密返回前端
基于GlobalFilter 接口包装请求request和响应response,先列出关键代码,完整代码见文末
1、首先我们将我们接收到的请求参数进行实例化,并根据自己的加解密规则进行解密

byte[] bytes = new byte[dataBuffer.readableByteCount()];
String requestBody = new String(bytes, Charset.forName("UTF-8"));
//实例化请求体
SecurityRequest securityRequest = JSONObject.parseObject(requestBody, SecurityRequest.class);
if (securityRequest == null) {
       chain.filter(exchange);
}
//解密请求参数
String decryptedRequestStr = decryptParams(securityRequest);

2、将解密后的请求体写入新的request

ServerHttpRequestDecorator newRequest = new ServerHttpRequestDecorator(request) {
        @Override
        public HttpHeaders getHeaders() {
            HttpHeaders httpHeaders = new HttpHeaders();
            httpHeaders.putAll(super.getHeaders());
            httpHeaders.remove(HttpHeaders.CONTENT_LENGTH);
            httpHeaders.set(HttpHeaders.TRANSFER_ENCODING, "chunked");
            return httpHeaders;
        }
        @Override
        public Flux<DataBuffer> getBody() {
            // 在这里对请求体进行修改
            byte[] bytes = decryptedRequestStr.getBytes(StandardCharsets.UTF_8);
            DataBuffer buffer = new DefaultDataBufferFactory().wrap(bytes);
            return Flux.just(buffer);
        }
    };

3、ServerHttpResponseDecorator处理请求返回,统一进行加密处理(这里的AES加密只是示例,可根据自己封装的加密方法进行加密,重在关注怎末读取返回,和处理后写回)

ServerHttpResponse decoratedResponse = new ServerHttpResponseDecorator(originalResponse) {
        @Override
        public Mono<Void> writeWith(Publisher<? extends DataBuffer> body) {
            if (body instanceof Flux) {
                Flux<? extends DataBuffer> fluxBody = (Flux<? extends DataBuffer>) body;
                return super.writeWith(fluxBody.buffer().map(dataBuffers -> {
                    DataBufferFactory dataBufferFactory = new DefaultDataBufferFactory();
                    DataBuffer join = dataBufferFactory.join(dataBuffers);
                    byte[] byteArray = new byte[join.readableByteCount()];
                    join.read(byteArray);
                    String originalResponseBody = new String(byteArray, Charset.forName("UTF-8"));
                    //加密
                    byte[] encryptedByteArray = encryptResponse(originalResponseBody, SecurityRequest.getAesKey()).getBytes(StandardCharsets.UTF_8);
                    DataBuffer wrap = dataBufferFactory.wrap(encryptedByteArray);
                    DataBufferUtils.release(join);
                    return wrap;
                }));
            }
            return super.writeWith(body);
        }
        @Override
        public Mono<Void> writeAndFlushWith(Publisher<? extends Publisher<? extends DataBuffer>> body) {
            return writeWith(Flux.from(body).flatMapSequential(p -> p));
        }
    };

4、对请求进行转发

ServerWebExchange newExchange = exchange.mutate().request(newRequest).response(decoratedResponse).build();

完整代码如下:

package com.xxx.gateway.filter.security;


import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.xxx.gateway.config.SecurityProperties;
import com.xxx.gateway.enums.BaseResponseEnum;
import com.xxx.gateway.security.ImpSatSecurity;
import com.xxx.gateway.util.AESCBCUtils;
import com.xxx.gateway.util.BizException;
import com.xxx.gateway.util.UrlPathUtils;
import com.xxx.gateway.vo.SecurityRequest;
import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.reactivestreams.Publisher;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.core.io.buffer.DataBufferFactory;
import org.springframework.core.io.buffer.DataBufferUtils;
import org.springframework.core.io.buffer.DefaultDataBufferFactory;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.http.MediaType;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpRequestDecorator;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.http.server.reactive.ServerHttpResponseDecorator;
import org.springframework.stereotype.Component;
import org.springframework.util.CollectionUtils;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;


import java.nio.charset.Charset;
import java.nio.charset.StandardCharsets;
import java.util.Set;


@Component
@Slf4j
@Data
public class SecurityFilter implements GlobalFilter, Ordered {
    // 超时时间5分钟
    public static final long OVER_TIMES = 300000;


    protected Logger logger = LoggerFactory.getLogger(this.getClass());


    //开关配置
    @Autowired
    private SecurityProperties securityProperties;


    //加密工厂类
    @Autowired
    private ImpSatSecurity scurityFactory;
    /**
     * 是否需要安全验证
     *
     * @return
     */
    public boolean isNeedValidate(ServerHttpRequest request) {
        return isMatched(request, securityProperties.getNoExcludeUrls());
    }


    public int getOrder() {
        return -90;
    }


    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 获取请求体
        ServerHttpRequest request = exchange.getRequest();


        HttpMethod method = request.getMethod();
        //开启验证开关
        if("false".equals(securityProperties.getIsValidate())){
            logger.info("----no need security filter----");
            return chain.filter(exchange);
        }
        if (!isNeedValidate(request)) {
            logger.info("----no need security filter----");
            return chain.filter(exchange);
        }


        if (method == HttpMethod.POST || method == HttpMethod.PUT) {
            MediaType contentType = exchange.getRequest().getHeaders().getContentType();
            if (contentType != null && contentType.equals(MediaType.APPLICATION_JSON)) {
                return DataBufferUtils.join(exchange.getRequest().getBody())
                        .flatMap(dataBuffer -> {
                            try {
                                byte[] bytes = new byte[dataBuffer.readableByteCount()];
                                dataBuffer.read(bytes);
                                String requestBody = new String(bytes, Charset.forName("UTF-8"));
                                SecurityRequest securityRequest = JSONObject.parseObject(requestBody, SecurityRequest.class);


                                if (securityRequest == null) {
                                    chain.filter(exchange);
                                }
                                //解密请求参数
                                String decryptedRequestStr = decryptParams(securityRequest);
                                ServerHttpRequestDecorator newRequest = new ServerHttpRequestDecorator(request) {
                                    @Override
                                    public HttpHeaders getHeaders() {
                                        HttpHeaders httpHeaders = new HttpHeaders();
                                        httpHeaders.putAll(super.getHeaders());
                                        httpHeaders.remove(HttpHeaders.CONTENT_LENGTH);
                                        httpHeaders.set(HttpHeaders.TRANSFER_ENCODING, "chunked");
                                        return httpHeaders;
                                    }
                                    @Override
                                    public Flux<DataBuffer> getBody() {
                                        // 在这里对请求体进行修改
                                        byte[] bytes = decryptedRequestStr.getBytes(StandardCharsets.UTF_8);
                                        DataBuffer buffer = new DefaultDataBufferFactory().wrap(bytes);
                                        return Flux.just(buffer);
                                    }
                                };
                                ServerHttpResponse originalResponse = exchange.getResponse();
                                HttpHeaders headers = new HttpHeaders();
                                headers.putAll(originalResponse.getHeaders());
                                headers.remove(HttpHeaders.CONTENT_LENGTH);
                                SecurityRequest SecurityRequest = securityRequest;
                                ServerHttpResponse decoratedResponse = new ServerHttpResponseDecorator(originalResponse) {
                                    @Override
                                    public Mono<Void> writeWith(Publisher<? extends DataBuffer> body) {
                                        if (body instanceof Flux) {
                                            Flux<? extends DataBuffer> fluxBody = (Flux<? extends DataBuffer>) body;
                                            return super.writeWith(fluxBody.buffer().map(dataBuffers -> {
                                                DataBufferFactory dataBufferFactory = new DefaultDataBufferFactory();
                                                DataBuffer join = dataBufferFactory.join(dataBuffers);
                                                byte[] byteArray = new byte[join.readableByteCount()];
                                                join.read(byteArray);
                                                String originalResponseBody = new String(byteArray, Charset.forName("UTF-8"));
                                                //加密
                                                byte[] encryptedByteArray = encryptResponse(originalResponseBody, SecurityRequest.getAesKey()).getBytes(StandardCharsets.UTF_8);
                                                DataBuffer wrap = dataBufferFactory.wrap(encryptedByteArray);
                                                DataBufferUtils.release(join);
                                                return wrap;
                                            }));
                                        }
                                        return super.writeWith(body);
                                    }
                                    @Override
                                    public Mono<Void> writeAndFlushWith(Publisher<? extends Publisher<? extends DataBuffer>> body) {
                                        return writeWith(Flux.from(body).flatMapSequential(p -> p));
                                    }
                                };
                                decoratedResponse.getHeaders().addAll(headers);
                                ServerWebExchange newExchange = exchange.mutate().request(newRequest).response(decoratedResponse).build();
                                return chain.filter(newExchange);
                            } catch (Exception e) {
                                log.error("请求加解密错误");
                                e.printStackTrace();
                            } finally {
                                DataBufferUtils.release(dataBuffer);
                            }
                            return Mono.empty();
                        });
            }
        }
        return chain.filter(exchange);
    }


    // 对参数进行解密
    private String decryptParams(SecurityRequest securityRequest) {
        //检查公共参数
        if (securityRequest.checkParameter()) {
            logger.error("IMP SAT GW securityRequest public parameter is null");
            throw new BizException(BaseResponseEnum.ILLEGAL_REQUEST.getCode(), BaseResponseEnum.ILLEGAL_REQUEST.getMsg());
        }
        //对requestData进行解密
        JSONObject requestData = scurityFactory.processParametersToJSONObj(securityRequest);
        logger.info("IMP SAT GW requestData is {}", JSONObject.toJSONString(requestData));
        return requestData.toJSONString();
    }


    private String encryptResponse(String responseContent, String aesKey) {
        //统一加密处理返回
        JSONObject jsonObject = JSONObject.parseObject(responseContent);
        if (jsonObject == null || "".equals(jsonObject.toString())) {
            jsonObject = new JSONObject();
        }
        String dataStr = JSONObject.toJSONString(jsonObject, SerializerFeature.DisableCircularReferenceDetect);
        logger.info("response data={}", StringUtils.abbreviate(dataStr, 500));
        JSONObject result = JSONObject.parseObject(dataStr);
        //此处要注意,加密只处理data,所以返回的数据结构体要是ResponseModel
        String resBodyStr = JSONObject.toJSONString(result.get("data"));
        //更改返回内容
        result.put("data", AESCBCUtils.encrypt(resBodyStr, aesKey));
        return result.toJSONString();


    }


    public static boolean isMatched(ServerHttpRequest request, Set<String> list) {
        if (CollectionUtils.isEmpty(list)) {
            return false;
        }
        String uri = request.getURI().getPath();
        for (String url : list) {
            if (UrlPathUtils.match(url, uri)) {
                return true;
            }
        }
        return false;
    }
}

总结:上述是本人在gateway实现接口加解密的整体实现过程,中间才到一个坑,ServerHttpRequestDecorator 在实例化时一定要实现getHeaders方法,写者在是实现时漏掉了这一步,导致下游一直等待报错:

@Override
public HttpHeaders getHeaders()
      HttpHeaders httpHeaders = new HttpHeaders();
      httpHeaders.putAll(super.getHeaders());
      httpHeaders.remove(HttpHeaders.CONTENT_LENGTH);
      httpHeaders.set(HttpHeaders.TRANSFER_ENCODING, "chunked");
      return httpHeaders;
}
2023-05-30 14:34:39.710 ERROR 28536 --- [http-nio-48089-exec-2] [TID: N/A] o.a.c.c.C.[.[.[/].[dispatcherServlet]    : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception


cn.hutool.core.io.IORuntimeException: ClientAbortException: java.net.SocketTimeoutException
    at cn.hutool.core.io.copy.StreamCopier.copy(StreamCopier.java:71)
    at cn.hutool.core.io.IoUtil.copy(IoUtil.java:162)
    at cn.hutool.core.io.IoUtil.copy(IoUtil.java:146)
    at cn.hutool.core.io.IoUtil.copy(IoUtil.java:132)
    at cn.hutool.core.io.IoUtil.copy(IoUtil.java:119)
    at cn.hutool.core.io.IoUtil.read(IoUtil.java:408)
    at cn.hutool.core.io.IoUtil.readBytes(IoUtil.java:495)
    at cn.hutool.core.io.IoUtil.readBytes(IoUtil.java:461)
    at cn.hutool.extra.servlet.ServletUtil.getBodyBytes(ServletUtil.java:117)
    at com.pharmaoryx.starter.web.core.filter.CacheRequestBodyWrapper.<init>(CacheRequestBodyWrapper.java:28)
    at com.pharmaoryx.starter.web.core.filter.CacheRequestBodyFilter.doFilterInternal(CacheRequestBodyFilter.java:22)
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162)
    at com.pharmaoryx.starter.env.core.web.EnvWebFilter.doFilterInternal(EnvWebFilter.java:28)
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189)
source: //www.jianshu.com/p/2b9cbf030877

a008c23c8c972c48f0668e1fda740680.gif

BUG弄潮儿
关注
网关做加解密处理解决方案
synshitou的博客
03-30 2131
1.定义一个请求过滤器,之前遇到的坑,请求参数传不到业务层,两次请求会报一次400异常。 package com.qiyee.job.common.filter; import com.fasterxml.jackson.databind.JsonNode; import com.fasterxml.jackson.databind.ObjectMapper; import com.qiyee.job.common.configure.JobGatewayProperties; import com.
SpringCloud
weixin_51633670的博客
05-08 1834
笔记参考来源 尚硅谷 SpringCloud 第二季学习笔记【已完结】_yfstart的博客-CSDN博客_尚硅谷springcloud笔记 SpringCloud cloud和boot版本要对应才能使用。可上官网查看 一、介绍 服务注册中心 Eureka(停更) Zookeeper Consul Nacos(推荐) 服务调用 Ribbon LoadBalancer 服务调用2 OpenFeign 服务降级 resilience4j(国外推荐) sentinel(国内) 服务网关 gat
[Spring Cloud] (6)gateway整体加解密
一个喜欢什么都研究一下的小小后端程序员
05-05 2068
Spring Cloud Gateway加解密功能为分布式系统提供了一个安、高效、灵活的数据传输解决方案,有助于提升系统的安性和开发效率。像数据接口,发送的参数是加密数据,接收到的都是是加密数据。但是经过前后端的拦截器处理之后,显示出的依然是正常数据。在经历前面6章的铺垫下,终于进入到了最重要的环节——拦截器功能实现,此时我们需要看的东西就比较集中而且简单了。本文网关gateway,微服务,vue已开源到gitee。像不需要加密的接口,请求参数与响应数据都是未加密的。
SpringCloud-Gateway实现RSA加解密
孟孟的博客
04-08 3817
RSA主要使用大整数分解这个数学难题进行设计,巧妙地利用了数论的概念。给了RSA公钥,首先想到的攻击就是分解模数,给了的因子攻击者可以计算得到,从而也可以计算得到解密指数,我们称这种分解模数的方法为针对RSA的暴力攻击。虽然分解算法已经稳步改进,但是在正确使用RSA情况下,当前的技术水平仍远未对RSA的安性构成威胁。RSA的公钥和私钥到底哪个才是用来加密和哪个用来解密?- 知乎。
SpringCloud Gateway API接口加解密
small_to_large的博客
06-02 4257
SpringCloud Gateway API接口报文加解密 GET POST AES/DES/对称/非对称加解密
SpringCloud-Gateway网关实现入参统一解密
RHHcainiao的博客
09-14 1079
SpringCloud-Gateway网关统一解密参数
SpringCloudGateway请求/响应拦截,加/解密
热门推荐
灼烧的疯狂
12-22 1万+
前言: 目前就是对请求的request body ,url param 在网关进行拦截、做解密操作,对 response body 做加密操作 这边初期就打算先用非对称加密对请求响应进行处理,后续如果项目开展顺利,再改成HTTPS通信(节约钱、先看项目起得来不了)。翻阅了一些博文,抄袭了一下,自己稍作修改。下面直接上代码了,自己做个记录吧 请求体(request body)拦截 import com.ruoyi.gateway.util.RSACoderUtil; import org.apache.co
Spring Cloud 学习笔记(2 3)
m0_67392811的博客
07-28 445
大神结论MartinFowler的相关论文熔断类型熔断打开请求不再进行调用当前服务,内部设置时钟一般为MTTR(平均故障处理时间),当打开时长达到所设时钟则进入半熔断状态。熔断关闭熔断关闭不会对服务进行熔断。熔断半开部分请求根据规则调用当前服务,如果请求成功且符合规则则认为当前服务恢复正常,关闭熔断。官网断路器流程图官网步骤link断路器在什么情况下开始起作用//=====服务熔断快照时间窗请求总数阀值在快照时间窗内,必须满足请求总数阀值才有资格熔断。错误百分比阀值1。...
2022年Java 工程师面试题
weixin_42572320的博客
03-03 2621
第 1 页 共 485 页 目录 1、什么是 Mybatis?............................................................................... 33 2、Mybaits 的优点:............................................................................... 33 3、MyBatis 框架的缺点:.............................
第三方接口对接之鉴权
长沙要起风了、
04-24 2546
第三方接口对接 鉴权 记录一次和第三方接口对接的过程。 对接要求 对方的接口做了加密验证,需要将参数进行加密生成一个Signature签名。然后对方也会根据参数做一样的步骤来比对签名是否相等来判断参数是否被篡改或者判断身份是否一致。 对方提供了以下几个参数: accessKey : 和参数进行混合的key accessSecret: 进行base64编码的时候的密码 dateTime : 密钥生...
商城-文档
weixin_46925850的博客
07-28 8052
谷粒商城学习笔记
微服务网关API加解密组件gateway-api-encrypt
ajiong的博客
06-17 492
gateway-api-encrypt是一款基于spring-cloud-gateway的接口加解密starter,通过SpringBoot的简单配置就能够实现各种业务场景下的接口参数校验和加解密。其中包含时间戳校验、签名校验、对称加密、非对称加密等多种功能,也能够根据白名单、黑名单配置过滤接口地址。
springcloud gateway api实现信道加解密
HY_____YH的博客
08-17 231
get 请求 post请求 put请求 delete请求 白名单除外请求头增加一个加密版本字段,标识当前的加密算法版本:crypto-version: 1.0.0考虑到局加密,使用AES加密方式性能更高加密字符串:原始数据 > AES加密后的字节数组 > Base64编码处理解密字符串:Base64密文 > AES密文 -> 原始字符串GET url:/app/xx/xx?xx=1 加密处理 秘钥:xxxxxxxxxxxxxxxx 加密文本:{“xx”:1} 密文:xq4YR89LgUs4V5N5
Gateway 接口参数加解密
邪神大人
11-15 3225
Gateway网关加解密接口
gateway网关对请求参数解密/加密
zrj00711的博客
06-28 2664
首先我们要知道服务端和客服端交互的时候,数据是尤为重要的。我们要对数据进行加密的处理。利用的spring clould 网关服务来处理该项业务。
Spring Cloud Gateway 响应数据加密
最新发布
weixin_52466601的博客
07-16 915
实现了请求的解密和响应的加密,‌主要使用的是Hutool工具类中的AES加密算法。‌这种加密方式不仅用于请求数据的解密,‌还用于响应数据的加密。‌具体来说,‌Spring Cloud Gateway的加密和解密流程包括以下几个步骤:‌。通过这种方式,‌Spring Cloud Gateway确保了客户端和服务器之间的通信安,‌防止数据被截获或篡改,‌同时也提供了一个有效的机制来验证通信双方的身份。Gateway响应数据加密:如下,只有返回数据为json才加密,对于下载还是返回的流这些都不做处理加密;
SpringCloud Gateway实现请求解密和响应加密
FBB360JAVA的博客
10-31 3897
本文注重实现请求的解密和响应的加密,加解密使用的是 Hutool 中的工具类,加解密算法目前提供了AES的方式,其余方式也可兼容扩展。 完整代码仓库:https://gitee.com/fengsoshuai/springcloud-gateway-feng-demo借用网关中的过滤器来实现这一功能。 本文只粘贴一些重点文件内容。 在聚合项目中,有两个核心模块,feng-server提供了 rest 接口,供网关使用。 feng-gateway 是核心实现的网关项目,实现了自定义过滤器,以及增加了一些基本配
spring cloud gateway 对请求参数解密,返回参数加密处理
放码过来
10-03 1万+
在一些针对数据比较敏感的项目中会对客户端与服务端之间交互的数据进行加密处理。在gateway网关服务中处理此项业务需要如何实现呢? gateway中自定义的filter,可以实现对请求前的处理以及返回后的处理。 请求顺序可以这样理解:请求-> 自定义的filter-A -> 自定义的filter-B -> 业务处理 -> 自定义的filter-B -> 自定义的filter-A -> 返回 利用这一特性,我们可以在处理业务代码之前添加对参数的统一解密处理,到达下游服务中.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值