关于统一处理http请求安全验证遇到media type不同导致处理失败问题

最新推荐文章于 2023-02-25 12:07:32 发布
最新推荐文章于 2023-02-25 12:07:32 发布
阅读量3.4k 收藏
点赞数
分类专栏: 云计算/大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learner198461/article/details/80093147
版权

最近碰到一个需求是要模仿支付宝、微信等平台的API接口。在APP登录时候产生token,后用token等参数设计

安全接口验证,但实际过程中发现如果表单和非表单方式是有区别,因为非表单可以用

HttpServletRequest.getParameterNames获取post和get的请求参数(queryparam),如果使用

multi-part那就没办法使用上述方式,但可以用HttpServletRequest.getParts()。在使用这个方法处理

调试时候出现了如果下几个错误

1、Unable to process parts as no multi-part configuration

这个原因是因为web.xml没有配置multi-part配置,在serverlet节点里面

    <multipart-config>
        <max-file-size>52428800</max-file-size>
        <max-request-size>52428800</max-request-size>
        <file-size-threshold>0</file-size-threshold>
    </multipart-config> 

2、the request was rejected because no multipart boundary was found

这个原因是因为我用postman模拟请求时候加了header,这个地方不用手动加header的媒体类型

具体代码实现内容如下

@Provider  
public class VerifyFilter implements ContainerRequestFilter{

    @Context   
    private HttpServletRequest servletRequest;  
    @Context  
    private HttpServletResponse servletResponse;  
    
    private Logger filterLog=LoggerFactory.getLogger(VerifyFilter.class);
    
    private String substringBetween(String str, String open, String close) {
        if (str == null || open == null || close == null)
            return null;
        int start = str.indexOf(open);
        if (start != -1) {
            int end = str.indexOf(close, start + open.length());
            if (end != -1)
                return str.substring(start + open.length(), end);
        }
        return null;
    }
    
    @SuppressWarnings("rawtypes")
    private void ProcessMultiPart(ContainerRequestContext requestContext) throws IOException{
      /*HashMap<String,String> map=new HashMap<String, String>();
        HashMap<String,Object> resultMap=new HashMap<String,Object>();
        String signStr="";
        String timespan="0";
        String deviceid="";
        
        InputStream in = requestContext.getEntityStream();      
        int fileLen=1024;//URL参数部分长度
        byte[] fileContent = new byte[fileLen];
        String encoding = "UTF-8";
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        int len;  
        while ((len = in.read(fileContent)) > -1 ) {              
            baos.write(fileContent, 0, len);  
        }  
        baos.flush();            
        InputStream stream1 = new ByteArrayInputStream(baos.toByteArray());         
        stream1.reset();
        requestContext.setEntityStream(stream1);
        
        InputStream stream2 = new ByteArrayInputStream(baos.toByteArray());  
              
        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(stream2));
        String lineStr = null;  
        int index;
        while((lineStr = bufferedReader.readLine()) != null){  
            //分析form-data
            lineStr=lineStr.trim();
            if(lineStr.contains("Content-Disposition")&&!lineStr.contains("filename")){
                index=lineStr.indexOf("name=");
                String name=lineStr.substring(index+6, lineStr.length());
                index=name.indexOf("\"");
                name=name.substring(0,name.length()-1);
                
                bufferedReader.readLine();//读取空格
                lineStr=bufferedReader.readLine();
                lineStr=URLDecoder.decode(lineStr,encoding).trim();
                //存入值
                if(name.equals("signStr")){
                    signStr=lineStr;        
                }
                else if(name.equals("timespan")){
                    timespan=lineStr;
                    map.put(name, lineStr);
                }
                else if(name.equals("deviceID")){
                    deviceid=lineStr;
                    map.put(name, lineStr);
                }           
                else{            
                    map.put(name, lineStr);                
                }        
            }          
        }           */   
       
        //in.close();  
        //bufferedReader.close();  
        //baos.close();
        //stream2.close();
        
       /* //是否有这三个参数
        String token= RedisService.getInstance().getAppImeiToken(deviceid);
        if(TextUtil.isNullEmptyOrWhitespace(token)){
            resultMap.put(RESULT, INVAILDEDTOKEN.getResultCode());
            Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
            throw new WebApplicationException(response); // Throw new UnAuthorized   
        }
        map.put("token", token);
        long lCurTime=System.currentTimeMillis();
        long lTimeSpan=Long.parseLong(timespan);
        if(lCurTime-lTimeSpan>60000){
            filterLog.info(ErrorMessage.VERIFY_TIMESTAP,servletRequest.getRequestURI());
        }
        SortedMap<String,String> sort=new TreeMap<String,String>(map);
        Set es = sort.entrySet();
        Iterator it = es.iterator();
        StringBuilder sb=new StringBuilder();
          while(it.hasNext()){    
               Map.Entry entry = (Map.Entry)it.next();     
               sb.append(entry.getValue());                 
               //System.out.println("排序之后:"+entry.getKey()+"值:"+entry.getValue());    
          }  
        String okSignStr=MD5Util.getMd5String(sb.toString());
        if(!okSignStr.equals(signStr)){
            resultMap.put(RESULT, SIGNATUREINCONSISTENT.getResultCode());
            Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
            throw new WebApplicationException(response); // Throw new UnAuthorized           
        }*/   
   
    }
    
    @SuppressWarnings("rawtypes")
       private void ProcessNoMultiPartPost(ContainerRequestContext requestContext) throws IOException{
        String signStr="";
        String timespan="0";
        String deviceid="";        
        HashMap<String,String> map=new HashMap<String, String>();
        String encoding = "UTF-8";  
        short fileLen=1024;//URL参数部分长度
        byte[] fileContent = new byte[fileLen];
     InputStream in = requestContext.getEntityStream();          
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        int len;  
        while ((len = in.read(fileContent)) > -1 ) {  
            baos.write(fileContent, 0, len);  
        }  
        baos.flush();        
        InputStream stream1 = new ByteArrayInputStream(baos.toByteArray());  
        requestContext.setEntityStream(stream1);      
        String value=new String(baos.toByteArray(),encoding);        
        baos.close();
        String[] strArray = value.split("&");
        for(int i=0;i<strArray.length;++i){
            if(strArray[i].contains("Content-Type=")) continue;
            if(!strArray[i].contains("=")) continue;
            String[] strArray1=strArray[i].split("=");
            
            if(strArray1[0].equals("signStr")){
                signStr=strArray1[1];        
            }
            else if(strArray1[0].equals("timespan")){
                timespan=strArray1[1];
                map.put(strArray1[0], strArray1[1]);
            }
            else if(strArray1[0].equals("deviceID")){
                deviceid=strArray1[1];
                map.put(strArray1[0], strArray1[1]);
            }
            else{
                map.put(strArray1[0], strArray1[1]);
            }
        }
        
        //是否有这三个参数
          String token= RedisService.getInstance().getAppImeiToken(deviceid);
          if(TextUtil.isNullEmptyOrWhitespace(token)){
              HashMap<String,Object> resultMap=new HashMap<String,Object>();
              resultMap.put(RESULT, INVAILDEDTOKEN.getResultCode());
              Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
              throw new WebApplicationException(response); // Throw new UnAuthorized   
          }
          map.put("token", token);
          long lCurTime=System.currentTimeMillis();
          long lTimeSpan=Long.parseLong(timespan);
          if(lCurTime-lTimeSpan>60000){
              filterLog.info(ErrorMessage.VERIFY_TIMESTAP,servletRequest.getRequestURI());
          }
          SortedMap<String,String> sort=new TreeMap<String,String>(map);
          Set es = sort.entrySet();
          Iterator it = es.iterator();
          StringBuilder sb=new StringBuilder();
          while(it.hasNext()){    
               Map.Entry entry = (Map.Entry)it.next();     
               sb.append(entry.getValue());                   
          }  
        System.out.println(sb.toString());  
        String okSignStr=MD5Util.getMd5String(sb.toString());
          if(!okSignStr.equals(signStr)){
              HashMap<String,Object> resultMap=new HashMap<String,Object>();
              resultMap.put(RESULT, SIGNATUREINCONSISTENT.getResultCode());
              Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
              throw new WebApplicationException(response); // Throw new UnAuthorized           
          }    
    }
    
    @SuppressWarnings("rawtypes")
    private void ProcessNoMultiPart(ContainerRequestContext requestContext){
        Enumeration<String> listParam=servletRequest.getParameterNames();            
        HashMap<String,String> map=new HashMap<String, String>();
        String signStr="";
        String timespan="0";
        String deviceid="";
        //System.out.println(servletRequest.getRequestURI());
        if(!listParam.hasMoreElements()){
            HashMap<String,Object> resultMap=new HashMap<String,Object>();
            resultMap.put(RESULT, ARGUMENTSISNULLORNOTFIND.getResultCode());
            Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
            throw new WebApplicationException(response); // Throw new UnAuthorized                   
        }
        while(listParam.hasMoreElements()){
            String name=(String)listParam.nextElement();
            String value=servletRequest.getParameter(name);
            if(name.equals("signStr")){
                signStr=value;        
            }
            else if(name.equals("timespan")){
                timespan=value;
                map.put(name, value);
            }
            else if(name.equals("deviceID")){
                deviceid=value;
                map.put(name, value);
            }
            else{
                map.put(name, value);
            }                
        }
        //是否有这三个参数
        String token= RedisService.getInstance().getAppImeiToken(deviceid);
        if(TextUtil.isNullEmptyOrWhitespace(token)){
            HashMap<String,Object> resultMap=new HashMap<String,Object>();
            resultMap.put(RESULT, INVAILDEDTOKEN.getResultCode());
            Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
            throw new WebApplicationException(response); // Throw new UnAuthorized   
        }
        map.put("token", token);
        long lCurTime=System.currentTimeMillis();
        long lTimeSpan=Long.parseLong(timespan);
        if(lCurTime-lTimeSpan>60000){
            filterLog.info(ErrorMessage.VERIFY_TIMESTAP,servletRequest.getRequestURI());
        }
        SortedMap<String,String> sort=new TreeMap<String,String>(map);
        Set es = sort.entrySet();
        Iterator it = es.iterator();
        StringBuilder sb=new StringBuilder();
        while(it.hasNext()){    
             Map.Entry entry = (Map.Entry)it.next();     
             sb.append(entry.getValue());                 
             //System.out.println("排序之后:"+entry.getKey()+"值:"+entry.getValue());    
        }  
        String okSignStr=MD5Util.getMd5String(sb.toString());
        if(!okSignStr.equals(signStr)){
            HashMap<String,Object> resultMap=new HashMap<String,Object>();
            resultMap.put(RESULT, SIGNATUREINCONSISTENT.getResultCode());
            Response response = Response.ok(resultMap).status(200).type(MediaType.APPLICATION_JSON).build();
            throw new WebApplicationException(response); // Throw new UnAuthorized           
        }            
        
    }

    @Override
    public void filter(ContainerRequestContext requestContext) throws IOException {
        // TODO Auto-generated method stub
        String url=servletRequest.getRequestURI();
        //媒体类型如果是mult/part-data        
        if(url.contains("/v1/api")){
            if(requestContext.getMethod().equals("GET")){
                ProcessNoMultiPart(requestContext);
            }
            else{
                MediaType mt=requestContext.getMediaType();
                if(mt==null||mt.getType()==null||mt.getSubtype()==null){
                    ProcessNoMultiPartPost(requestContext);
                }
                else if(MediaType.MULTIPART_FORM_DATA_TYPE.getType().equals(mt.getType())
                        &&MediaType.MULTIPART_FORM_DATA_TYPE.getSubtype().equals(mt.getSubtype())){
                    ProcessMultiPart(requestContext);
                }
                else{
                    ProcessNoMultiPartPost(requestContext);
                }
            }                        
        }        
    }

}

注意点,在传multi-part数据时候,如果用上述方法将导致数据流无法读取,因为业务层获取文件数据代码

如果这个写法

FileItemFactory factory = new DiskFileItemFactory();
ServletFileUpload upload = new ServletFileUpload(factory);

List<FileItem> items = upload.parseRequest(request);

查看源代码看到InputSream是用HttpServelRequest获取,而不是在jersey层的流,所以业务层不能读取

底层数据,要用jersey方式获取文件。但是会碰到一个注解错误,在web.xml里面添加就可以了。

<init-param>
    <param-name>jersey.config.server.provider.classnames</param-name>
    <param-value>org.glassfish.jersey.filter.LoggingFilter;org.glassfish.jersey.media.multipart.MultiPartFeature</param-value>

</init-param>


业务demo参考

@POST
    @Path("/update")
    @Produces(MediaType.APPLICATION_JSON)
    @Consumes(MediaType.MULTIPART_FORM_DATA)
    public String update(@FormDataParam ("token") String deviceid,
            @FormDataParam("nickname") String nickName,
            @FormDataParam("sex") String sex,
            @FormDataParam("birthday") String birthday,
            @FormDataParam("file") InputStream saveFile,
            @FormDataParam("file") FormDataContentDisposition fileItem)


互联网行者
关注
专栏目录
[SpringMVC 源码] 415 (Unsupported Media Type) 原因及解决方案
列苗
12-19 7651
一、现象描述前端 ajax 方式调用 springmvc 接口时,返回 415 (Unsupported Media Type) 错误:前端代码:function fSave(url) { var obj = {}; obj['cateId'] = $("input[name=cateId]").val(); obj['cateName'] = $("input[name=ca
java http处理301,如何配置HttpClient在收到301 HTTP状态代码时不自动重定向?
weixin_36370128的博客
03-10 681
考虑重定向的ASP.NET Web API服务public class ThisController : ApiController{/* more methods */public override HttpResponseMessage Post(){var result = new HttpResponseMessage(HttpStatusCode.MovedPermanently);//...
java mediatype属性_基于ServletRequest实现请求获取内容类型的媒体类型MediaType、字符集Charset的工具类ContentTypeUtil...
weixin_32646781的博客
02-24 1353
一、源码说明基于springframework的org.springframework.http.MediaType通过ServletRequest对象分别获取到媒体类型、字符集类型,具体工具类ContentTypeUtil实现代码如下importjava.nio.charset.Charset;@b@importjavax.servlet.ServletRequest;@b@importo...
Servlet安全性(2)----验证方法
AzureL
08-10 539
了解了如何对一个资源集合强加安全约束后(上一个博客),还应该知道如何对访问的用户进行验证。对于声明式保护的资源,可以在部署描述符中使用security-constraint元素,通过HTTP1.1提供的解决方案实现验证:基本访问验证和摘要访问验证。另外,也可以使用基于表单的访问验证。 基本访问验证基本验证是一种接受用户名和密码的HTTP验证。在基本访问验证中,如果访问收到保护的资源,将会被服务器拒绝
http文件传输类型——MediaType
qq_42697271的博客
04-06 4808
笔者今天为了保证各种格式视频上传的兼容性,特意去查了一下http中的文件传输类型,想做一个兼容,没想到第三方那个接口其实会自动识别,不需要自身文件类型传输过去,不过还是记录一下。 目录一、什么是MediaType?二、MediaType有哪些类型? 一、什么是MediaTypeMediaType(Internet Media Type):互联网媒体类型,也称为MIME类型,它一般会被携带在http协议的请求头中,使用Content-Type字段名来表示具体请求中的媒体类型信息。(即MediaTy.
Spring MVC 源码- ViewResolver 组件
Coder_Boy_的博客
02-25 717
实现 ViewResolver、Ordered 接口,继承 WebApplicationObjectSupport 抽象类,基于 Bean 的名字获得 View 对象的 ViewResolver 实现类。文档已经讲述完了,对于 Spring MVC 中大部分的内容都有分析到,你会发现 Spring MVC 原来是这么回事, 其中涉及到 Spring 思想相关内容在努力阅读中,敬请期待~对于相同的视图名,返回的是相同的 View 对象,所以通过缓存,可以进一步提供性能。,来获取对应的 View 们。
为Retrofit统一添加post请求的默认参数的方法
01-20
处理HTTP请求时,特别是POST请求,我们经常需要向服务器发送一些默认参数,例如身份验证Token、API版本号或者App版本信息。这篇文章主要探讨如何在Retrofit中为`Content-Type: application/json`的POST请求添加...
网络请求错误: HTTP/1.1 415 Unsupported Media Type
最新发布
09-26
遇到HTTP状态码415(Unsupported Media Type)时,这意味着服务器拒绝了你发送的请求,因为请求的内容类型(Content-Type)或者数据格式不符合服务器所期待的类型。服务器通常期望某种特定的MIME类型(如JSON、XML...
在Postman中如何处理和模拟不同HTTP请求方法
Postman是一个为开发人员设计的API测试工具,它可以帮助开发人员快速、轻松地构建请求,设置预期,并检查返回数据。它支持各种HTTP请求方法,包括GET、POST、PUT、DELETE等,也支持设置请求头、参数等功能。 ## 1.2...
IOS HTTP请求的常见状态码总结
08-31
401 Unauthorized表示需要身份验证,403 Forbidden表示服务器拒绝请求,404 Not Found表示请求的资源未找到,405 Method Not Allowed表示请求方法不受支持,409 Conflict表示请求冲突,410 Gone表示资源已被永久删除...
拦截http请求打印入参出参(Okhttp3拦截器)
fajing_feiyue的博客
11-27 3191
前言 我们应用中经常出现请求其他三方接口,这也是经常会出错,找当时请求参数,返回结果比对的情况。如果自己加打印,很多时候会忘记。这里通过对Okhttp工具添加拦截器方式,将需要入参出参进行打印。 实践 一、引入maven 依赖 <dependency> <groupId>com.squareup.okhttp3</groupId> <artifactId>okhttp</artifactId>
springboot 之异常捕捉器
qq_40010745的博客
10-24 373
package com.**.app.exception; import com.**.dubbo.rpc.RpcException; import com.**.app.config.interceptor.ClientRequestContext; import com.**.enums.ResultMsgEnum; import com.**.exception.BusinessExce...
使用VC CImage和DirectShow读取摄像头
Mirage520的专栏
03-19 3528
在图像处理以及人脸识别时经常会用到从摄像头读取图像。OPENCV有提供的方法来实现,非常简单,不用多说。而使用VC++则没有那么容易,下面介绍使用CImage和DirectShow读取摄像头图像,并显示的对话框中。          我用的开发工具是VS2010。 源代码下载,使用VS2010编译通过。 http://download.csdn.net/detail/sdlypyzq/408
Springboot项目中的异常处理与返回结果的统一
m0_71777195的博客
08-10 1419
/ 方便前端判断当前请求处理结果是否正常// 业务处理结果// 产生错误的情况下,提示用户信息// 产生错误情况下的异常堆栈,提示开发人员// 发生错误的时候,返回的附加信息}复制代码1.为了把模糊的消息定性,我们给所有的返回结果都带上一个code字段,前端可以根据这个字段来判断我们的处理结果到底是成功的还是失败的;比如code=200的时候,我们的处理结果一定是成功的,其他的code值全都是失败的,并且我们会有多种code值,以便前端页面可以根据不同的code值做出不同的交互动作。...
(转载)四种常见的 POST 提交数据方式
weixin_30737363的博客
09-25 4464
(转载)http://www.imququ.com/post/four-ways-to-post-data-in-http.html HTTP/1.1 协议规定的 HTTP 请求方法有 OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT 这几种。其中 POST 一般用来向服务端提交数据,本文主要讨论 POST 提交数据的几种方式。 我们知道,HTTP ...
Unable to process parts as no multi-part configuration has been provided
程序三两行
10-22 2250
错误原因:上传文件时候出现错误 配置文件解析器时候出现错误 注意解析器的 id 必须等于 multipartResolver,否则上传会出现异常:   问题解决  
request payload数据请求方式(原生AJAX POST请求)后端获取参数错误
热门推荐
whb3299065的博客
04-26 1万+
首先我先说明一下request payload请求时怎么发生的 我们如果从一个from中去提交post请求时,数据是以Form Data方式去提交的,即:提交的数据被封装在一个叫Form Data的请求中,后端如果是SpringMVC的话直接写一个对象接收就好了。付一个简单截图 但是最近前端更换ajax请求代码了导致后端全部参数接收不到,我仔细看请求来的参数发现,所有的参数都放在了reques...
request之post发送Request Payload请求解决方案
zhaojiafu的博客
10-23 1万+
文章目录说明:1、截图看看具体大概结构:2、具体代码中使用 说明: 这个问题,是我今天测试一个网站(具体网站我就不写出来了,如果遇到类似的Request Payload请求参考即可。) 然后各种尝试,就很纳闷了,这样的post真的第一次见呀,然后安装之前的怎么发送就失败。最后使用json序列化,作为请求体,发送post,就成功了。 1、截图看看具体大概结构: 具体就是这种,之前的post,我们直接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值