sprintboot项目通过interceptor和filter实现接入授权控制

最新推荐文章于 2024-06-12 11:20:39 发布
最新推荐文章于 2024-06-12 11:20:39 发布
阅读量362 收藏
点赞数
分类专栏: 安全相关 开放API设计 文章标签: Spring MVC 过滤器 签名验证 HttpServletRequestWrapper 授权处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaomingwu/article/details/126226975
版权

接口的接入授权一般都有一套固定的模式,请求方通过对相关参数进行加密签名,接收方对接收到的参数信息进行同样的签名,并判断两个签名是否相同,以此来判断请求的合法性。

与授权有关的参数(一般包括请求时间,请求序号,请求接入id,请求签名等)可以和业务参数一起传递,也可以将授权相关参数通过请求头的方式传递。将授权相关参数通过请求头进行传递,并且通过interceptor和filter技术,在controller接收请求以前进行授权判断,这样controller就只需要处理正常的业务请求,使得业务处理更加简洁,不会和授权处理混在一起。

签名信息也包含业务信息,所以在进行签名验证的时候,需要读取request的请求体,但是对于post请求,请求体只能读取一次,第二次读取会出现异常,导致controller无法进行业务处理,错误信息类似如下:

getReader() has already been called for this request

此时需要在filter层,对请求信息进行自定义扩展处理,经过处理后的请求,才支持多次读取请求体信息。

1. 自定义request的包装类

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.StringWriter;
import java.nio.charset.StandardCharsets;

public class MyRequestWrapper extends HttpServletRequestWrapper {

    private byte[] body;

    public MyRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);

        BufferedReader reader = request.getReader();
        try (StringWriter writer = new StringWriter()) {
            int read;
            char[] buf = new char[1024 * 8];
            while ((read = reader.read(buf)) != -1) {
                writer.write(buf, 0, read);
            }
            this.body = writer.getBuffer().toString().getBytes();
        }
    }

    public byte[] getBody() {
        return body;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body);
        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public void setReadListener(ReadListener listener) {
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public boolean isFinished() {
                return false;
            }
        };
    }
}

在包装类中,首先读取请求体的内容,并将内容保存到自定义的属性中,这样后续读取的时候,就从自定义的属性中读取,自定义的属性读取是没有次数限制的。

2. 定义filter类,并注册filter

import com.ruoyi.common.utils.StringUtils;
import com.ruoyi.framework.interceptor.MyRequestWrapper;
import org.springframework.http.HttpMethod;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;


public class AccessFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        //如果是POST走自己的继承的HttpServletRequestWrapper类请求,否则走正常的请求
        if(StringUtils.equalsIgnoreCase(HttpMethod.POST.name(), request.getMethod())){
            //一定要在判断中new对象,否则还会出现Stream closed问题
            filterChain.doFilter(new MyRequestWrapper(request),servletResponse);
        }else{
            filterChain.doFilter(servletRequest,servletResponse);
        }
    }
    @Override
    public void destroy() {
    }

}

可以看到,在filter中,将原始的ServletRequest 采用自定义的包装类进行包装之后,再传递到后续进行处理。

@Configuration
public class ResourcesConfig implements WebMvcConfigurer
{

    @Bean
    public FilterRegistrationBean httpServletRequestReplacedFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new AccessFilter());
        // /* 是全部的请求拦截,和Interceptor的拦截地址/**区别开
        registration.addUrlPatterns("/*");
        registration.setName("accessRequestFilter");
        registration.setOrder(1);
        return registration;
    }
}

进行过滤器注册,这样程序启动后,过滤器就会对请求进行处理。

3. 定义拦截器,并注册interceptor

import com.ruoyi.common.utils.DateUtils;
import com.ruoyi.common.utils.SignUtils;
import com.ruoyi.common.utils.StringUtils;
import com.ruoyi.operate.domain.PlatAccessPerm;
import com.ruoyi.operate.service.IPlatAccessPermService;
import com.google.gson.Gson;
import com.google.gson.JsonElement;
import com.google.gson.JsonObject;
import org.apache.shiro.authz.AuthorizationException;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.Set;
import java.util.UUID;

@Component
public class AccessPermAuthInterceptor implements HandlerInterceptor {

    protected static Logger logger = LoggerFactory.getLogger(AccessPermAuthInterceptor.class);

    @Autowired
    private IPlatAccessPermService permService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String clientSign = request.getHeader(SignUtils.SIGN_HEADER_KEY);
        String key = request.getHeader(SignUtils.ACCESS_KEY_HEADER_KEY);
        String id = request.getHeader(SignUtils.REQUEST_ID_HEADER_KEY);
        String time = request.getHeader(SignUtils.REQUEST_TIME_HEADER_KEY);

        if(StringUtils.isEmpty(clientSign) || StringUtils.isEmpty(key)
                || StringUtils.isEmpty(id) || StringUtils.isEmpty(time))
        {
            throw new AuthorizationException("请求信息无效");
        }

        PlatAccessPerm platAccessPerm = new PlatAccessPerm();

        platAccessPerm.setAccessKey(key);

        List<PlatAccessPerm> platAccessPerms = permService.selectPlatAccessPermList(platAccessPerm);

        if(platAccessPerms != null && platAccessPerms.size() > 0)
        {
            platAccessPerm = platAccessPerms.get(0);
        }
        else
        {
            response.addHeader(SignUtils.REQUEST_TIME_HEADER_KEY, DateUtils.getTime());
            response.addHeader(SignUtils.REQUEST_ID_HEADER_KEY, UUID.randomUUID().toString());

            throw new AuthorizationException("授权信息无效");

        }

        String accessSecret = platAccessPerm.getAccessSecret();
        
        String path = "/gateway/test/testdemo";

        Map<String, String> reqHeaders = new HashMap<>();
        reqHeaders.put(SignUtils.ACCESS_KEY_HEADER_KEY, key);
        reqHeaders.put(SignUtils.REQUEST_TIME_HEADER_KEY, time);
        reqHeaders.put(SignUtils.REQUEST_ID_HEADER_KEY, id);

        MyRequestWrapper myrequest = (MyRequestWrapper)request;

        byte[] reqBody = myrequest.getBody();


        String reqJson = "{\"userName\":\"test\"}";

        reqJson = new String(reqBody);


        Gson gson = new Gson();

        JsonObject userObject = gson.fromJson(reqJson, JsonObject.class);

        String sign = SignUtils.sign(key, accessSecret, path, userObject, reqHeaders);
        System.out.println("sign:" + sign);

        response.addHeader(SignUtils.REQUEST_TIME_HEADER_KEY, DateUtils.getTime());
        response.addHeader(SignUtils.REQUEST_ID_HEADER_KEY, UUID.randomUUID().toString());

        if(!sign.equals(clientSign))
        {
            throw new AuthorizationException("签名验证失败!");
        }

        return HandlerInterceptor.super.preHandle(request, response, handler);
    }
}

可以看到这里通过以下两行代码进行的请求体的读取:

MyRequestWrapper myrequest = (MyRequestWrapper)request;
byte[] reqBody = myrequest.getBody();

之所以能够读取,就是因为过滤器对请求进行了包装处理。

import com.ruoyi.framework.interceptor.AccessPermAuthInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import com.ruoyi.common.config.RuoYiConfig;
import com.ruoyi.common.constant.Constants;


@Configuration
public class ResourcesConfig implements WebMvcConfigurer
{
    @Autowired
    private AccessPermAuthInterceptor permAuthInterceptor;

    /**
     * 自定义拦截规则
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry)
    {
        registry.addInterceptor(permAuthInterceptor).addPathPatterns("/**");
    }
}

以上是拦截器注册代码。

经过以上的准备工作,可以实现在interceptor中对请求的签名进行验签,而在controller层,只会接收到签名验签通过的请求,所以controller可以专注于业务处理,而不需要处理签名验签相关的内容。

程序猿20
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2 角色权限 filter(过滤器)和interceptor(拦截器)
weixin_30457881的博客
12-23 225
Struts2项目通过使用Struts的if标签进行了session判断,使得未登录的用户不能看到页面,但是这 种现仅仅在view层进行,如果未登录用户直接在地址栏输入登录用户才能访问的地址,那么相应的action还是会执行,仅仅是不让用户看到罢了。这样显然是不好的,所以研究了一下Struts2的权限验证。 权限最核心的是业务逻辑,具体用什么技术来实现就简单得多。 通常:用户...
SpringBoot(七)Filter的使用
zhaojun的博客
07-14 2202
思考一个问题,服务端对于客户端的请求,真的应该照单全收吗?不是的。比如拿我们之前实现的用户注册功能来看,如果用户的昵称带了一些不友好的字母或汉字,你是给他过滤掉呢还是让他注册呢?毫无疑问,我们需要过滤掉一些不友好的请求。
getReader() has already been called for this request
最新发布
weixin_42333157的博客
06-12 391
开发实际中遇到的问题记录
关于filter用户授权的例子
weixin_30339457的博客
03-25 69
在jsp中权限的控制是通过Filter过滤器来实现的,所有的开发框架中都集成有Filter,如果不适用开发框架则有如下实现方法: LoginFilter.java 复制代码 代码如下: public class LoginFilter implements Filter { private String permitUrls[] = null; private S...
Spring Security(新版本)实现权限认证与授权
热门推荐
weixin_46073538的博客
02-02 3万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是认证和授权,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
springboot 拦截Restful服务三种方式(filterinterceptor、aspect)
lzf2284466的博客
07-05 935
1、将过滤器加入项目的方式: (1)采用@Component 注解,实现过滤器bean注入 (2)针对第三方过滤器,即无@Component 注解,需要在@Configuration配置文件进行注册: package com.mall.config; import java.util.ArrayList; import java.util.List; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.
SpringBoot中使用FilterInterceptor的示例代码
08-25
SpringBoot中使用FilterInterceptor的示例代码 在SpringBoot框架中,FilterInterceptor是两个非常重要的概念,它们都可以用来拦截和处理HTTP请求,但是它们的实现机制和使用场景却有所不同。下面将详细介绍...
Springboot+redis+Interceptor+自定义annotation实现接口自动幂等
08-25
2. 引入依赖:在Spring Boot项目中,可以通过添加`spring-boot-starter-data-redis`依赖引入Redis支持。 3. 配置Redis:在`application.properties`或`application.yml`中配置Redis的连接信息,如主机地址、端口、...
springboot项目实现商品订单项目
07-03
在本项目中,"springboot项目实现商品订单项目" 是一个专门为初学者设计的实践教程,旨在帮助他们理解和掌握SpringBoot框架在构建电子商务系统中的应用。这个项目涉及到多个关键的技术和概念,包括Java编程、...
浅谈SpringMVC中InterceptorFilter区别
08-26
SpringMVC中InterceptorFilter是两个重要的概念,它们都是用来处理用户请求的,但它们有着不同的作用和实现机制。本文将详细介绍InterceptorFilter的区别,帮助读者更好地理解这两个概念。 Interceptor的作用:...
基于springboot的资源请求验证(aspectj和Interceptor两方式实现
01-20
基于SpringBoot的资源请求验证(Aspectj和Interceptor两方式实现)附JWT验证token 前言 ​ 在项目中,我们需要对前端请求的资源进行验证,判断是否具有相应的权限。比如某写资源只有在登录之后才有请求权限。本章以...
SpringBoot 中拦截器的简单配置和用法
shenxiaomo1688的博客
01-25 2990
1、拦截器的使用场景 登陆验证、权限等都会用到拦截器 2、拦截器的配置方法 (1).在任务类增加注解 @Configuration 继承 WebMvcConfigurer (2).重写 addInterceptors 添加需要的拦截器地址及需要排除的拦截地址 拦截器的核心在addInterceptors()方法的编写,addInterceptors()写好了,才能发挥其作用。需要注意(特别是拦截路径的写法): 重写WebMvcConfigurer的addInterce...
springboot使用拦截器拦截接口的请求body, 修改body
YuChenIT的博客
10-22 9611
目的: getInputStream获取流 然后在流中获取数据 但是这个方法只能获取一次;重写httpservletrequestwrapper把request保存下来.用过滤器把保存的request填进去 就可以多次读取了。目的:拦截所有请求过滤器,并将请求类型是HttpServletRequest类型的请求替换为自定义{@link com.*.biz.service.common.interceptor.RequestWrapper。创建过滤器,获取请求的body,处理后,set回请求中;
验证签名用拦截器还是过滤器_使用过滤器功能进行输入验证
culi3182的博客
08-11 1376
验证签名用拦截器还是过滤器I’d like to start off this article by thanking you for making it even this far. I’m fully aware that “Input Validation Using Filter Functions” isn’t exactly the sexiest article title in t...
SpringBoot拦截器获取Request的body数据
pursuitK的博客
05-16 9069
SpringBoot拦截器获取Request的body数据
接口安全防线加解密:springboot 全局/指定接口解密(同时支持参数在body和param)
LATER
03-21 4094
优势:通过注解形式,不需要改变原接口请求参数,在拦截器里面把加密数据解密为原接口请求参数 接口安全防线加解密:springboot 全局/指定接口解密(同时支持参数在body和param) 1.原理 1.1.过滤器,过滤所有请求,利用HttpServletRequestWrapper解决request中流读取一次的处理,方便后续修改请求内容 1.2.自定义注解,通过自定义注解可以标识,指定哪些接口在拦截器中处理数据 1.3.拦截器,拦截带有指定注解的请求,把数据进行加密解密后返回处理
SpringBoot中接口加密解密统一处理!
m0_71777195的博客
11-21 1647
在我们日常的Java开发中,免不了和其他系统的业务交互,或者微服务之间的接口调用如果我们想保证数据传输的安全,对接口出参加密,入参解密。但是不想写重复代码,我们可以提供一个通用starter,提供通用加密解密功能自定义starter步骤创建工厂,编写功能代码声明自动配置类,把需要对外提供的对象创建好,通过配置类统一向外暴露在resource目录下准备一个名为的文件,以为key,自动配置类为value列表,进行注册。
继承HttpServletRequestWrapper实现流重复读、参数过滤等场景
07-30 1246
背景 项目基于springboot开发,RestFull接口向外暴露的API需要进行签名验证,即在进入真正controller方法前,需要先验证接口请求的有效性,所以需要对提交的POST流进行JSON读,并将相关参数进行验签。如果在Filter中使用request.getInputStream()来获取流来得到body中的信息,可以达到预期效果,但是流的获取只能获取一次,之后再获取就获取不到了,导致controller无法拿到参数而报错。参考相关资料发现实现一个类继承HttpServletReques
HttpServletRequestWrapper的使用
weixin_34221773的博客
09-24 266
老大给了一个很实际的需求:有段程序,使用Http的方式与合作商交互,而且是明文传输数据。我方的代码已经打包放在服务器上运行了很长时间,这时合作商突然要求修改数据传输的方式,要求加密后再传输,而我方的原有的代码不能改变,以防止引发其它问题。 问:如何在不修改我方现有的代码的前提下,满足合作商的要求? 可能大家都想到了,只要加上一个过滤器Filter不就可以了吗?事实就是这样的,采用Filter+Ht...
springboot 权限校验interceptor
08-05
3. 在Spring Boot的配置类中,通过实现WebMvcConfigurer接口,并重写addInterceptors方法,将Interceptor注册到Spring Boot中。 在Interceptor中进行权限校验的实例代码如下: ```java public class ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值