平台统一加解密处理方式

最新推荐文章于 2023-10-25 16:39:07 发布
最新推荐文章于 2023-10-25 16:39:07 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 项目笔记 文章标签: HandlerMethodArgumentResolver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liruichuan/article/details/85781244
版权

最近要开发一个对接第三方的平台,双方采用的是非对称加密(RSA),由于双方发送的报文与返回结果都才去密文的形式,所以第一时间我就想到用AOP去进行统一处理,当然处理方法有很多这里我采用一个过滤器来进行统一处理的;

接口的请求方法统一为POST ,由于request.getInputStream()是不可复用的,而我的需求又需要复用请求里的参数,所以首先我对request和response进行了封装;

public class RequestWrapper extends HttpServletRequestWrapper{

    private final byte[] body;


    public RequestWrapper(HttpServletRequest request) throws IOException{
        super(request);
        this.body = IOUtils.toString(request.getInputStream(), Charset.forName("UTF-8")).getBytes(Charset.forName("UTF-8"));
    }

    public RequestWrapper(HttpServletRequest request, byte[] body) throws IOException{
        super(request);
        this.body = body;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(body);
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bais.read();
            }
        };
    }
public class ResponseWrapper extends HttpServletResponseWrapper {

    private ByteArrayOutputStream bytes = new ByteArrayOutputStream();
    private HttpServletResponse response;
    private PrintWriter pwrite;


    public ResponseWrapper(HttpServletResponse response) {
        super(response);
        this.response = response;
    }

    @Override
    public ServletOutputStream getOutputStream() throws IOException {
        // 将数据写到 byte 中
        return new MyServletOutputStream(bytes);
    }

    @Override
    public PrintWriter getWriter() {
        try {
            pwrite = new PrintWriter(new OutputStreamWriter(bytes, "utf-8"));
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return pwrite;
    }

    public String getResult() {
        if (null != pwrite) {
            pwrite.close();
            return new String(bytes.toByteArray(), Charset.forName("UTF-8"));
        }
        if (null != bytes) {
            try {
                bytes.flush();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return new String(bytes.toByteArray(),Charset.forName("UTF-8"));
    }

    class MyServletOutputStream extends ServletOutputStream {
        private ByteArrayOutputStream ostream;

        public MyServletOutputStream(ByteArrayOutputStream ostream) {
            this.ostream = ostream;
        }

        @Override
        public void write(int b) throws IOException {
            // 将数据写到 stream 中
            ostream.write(b);
        }
    }

}

过滤器中我的处理逻辑(从request里把加密的参数读出来 用私钥解密 之后用第三方的公钥验签,验签成功之后,将明文信息 重新写入到自己封装的request body里;返回结果加密 也是同样的方式 获取明文返回值 加密之后 重新写会response):

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    ServletRequest requestWrapper = null;
    String merchantPubKey = null;
    String platPrivateKey = null;
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    try {
        String paramContext= IOUtils.toString(request.getInputStream(), Charset.forName("UTF-8"));
 
        //参数为空无需解密 验签 直接跳过
        if(StringUtils.isBlank(paramContext)){
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }
        String keyStorePath = WebConfig.getStorePath();
        String keyPassword = WebConfig.getStorePassword();
        String keyAlias = WebConfig.getCerAlias();
        platPrivateKey = RSAUtils.getPrivateKey(keyStorePath,keyAlias,keyPassword);
        String decryptBody = RSAUtils.decode(paramContext, platPrivateKey);
        JSONObject params = JSONObject.parseObject(decryptBody);
        if(params != null){
            Integer merchantId = params.getInteger(MERCHANTID);
            String content = params.getString(BODY);
            String sign = params.getString(SIGN);
            merchantPubKey = "pubKEY";
            if(StringUtils.isNotBlank(merchantPubKey)){
                boolean verify = RSAUtils.verify(content,sign,merchantPubKey);
                System.out.println("解密请求参数:" + merchantId+","+content+","+sign);
                System.out.println("验签请求参数:" + verify);

                if(verify){
                    if (servletRequest instanceof HttpServletRequest) {
                        requestWrapper = new RequestWrapper(request,(content.getBytes(Charset.forName("UTF-8"))));
                        requestWrapper.setAttribute(MERCHANTID,merchantId);
                        requestWrapper.setAttribute(CONTEXT,content);
                    }
                }
            }
        }

    } catch (Exception e) {
    }
    HttpServletResponse response = (HttpServletResponse) servletResponse;
    ResponseWrapper myResponse = new ResponseWrapper(response);
    if (null == requestWrapper) {
        filterChain.doFilter(servletRequest, myResponse );
    } else {
        filterChain.doFilter(requestWrapper, myResponse );
    }
    
    //对返回数据进行加密
    PrintWriter out = servletResponse.getWriter();
    try {
        //取返回的json串
        String result = myResponse.getResult();
        //加密
        String encryptStr = signAndEncrypt(result,platPrivateKey,merchantPubKey);
        out.write(encryptStr);
    } catch (Exception e) {
        logger.error( "doFilter", e);
    } finally {
        out.flush();
        out.close();
    }
}

以上的实现方式已经能解决这个问题了;但是这种方式仅限于请求时请求的 Content-type=application/json;而如果对方是form表单提交的参数类型Content-type=application/x-www-form-urlencoded 此时将无法从 request.getInputStream()中获取参数;以上处理逻辑也就出现瑕疵;而最终商定的方式 也是采用key=value这种参数类型请求的;所以对之前的逻辑进行了优化

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    ServletRequest requestWrapper = null;
    String merchantPubKey = null;
    String platPrivateKey = null;
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    try {
        String paramMerchantId = request.getParameter(MERCHANTID);
        String paramContext = request.getParameter(CONTEXT);

        //参数为空无需解密 验签 直接跳过
        if(StringUtils.isBlank(paramContext)){
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }
        String keyStorePath = WebConfig.getStorePath();
        String keyPassword = WebConfig.getStorePassword();
        String keyAlias = WebConfig.getCerAlias();
        platPrivateKey = RSAUtils.getPrivateKey(keyStorePath,keyAlias,keyPassword);
        String decryptBody = RSAUtils.decode(paramContext, platPrivateKey);
        JSONObject params = JSONObject.parseObject(decryptBody);
        if(params != null){
            Integer merchantId = params.getInteger(MERCHANTID);
            String content = params.getString(BODY);
            String sign = params.getString(SIGN);
            merchantPubKey = "";
            if(StringUtils.isNotBlank(merchantPubKey)){
                boolean verify = RSAUtils.verify(content,sign,merchantPubKey);
                System.out.println("解密请求参数:" + merchantId+","+content+","+sign);
                System.out.println("验签请求参数:" + verify);

                if(verify){
                    if (servletRequest instanceof HttpServletRequest) {
                        requestWrapper = new RequestWrapper(request,(content.getBytes(Charset.forName("UTF-8"))));
                        requestWrapper.setAttribute(MERCHANTID,merchantId);
                        requestWrapper.setAttribute(CONTEXT,content);
                    }
                }
            }
        }

    } catch (Exception e) {
    }
    if (null == requestWrapper) {
        filterChain.doFilter(servletRequest, servletResponse);
    } else {
        filterChain.doFilter(requestWrapper, servletResponse);
    }
    
}

这中处理并没有对返回值进行统一处理(加密)而是交由开发人员自己根据实际业务返回进行手动处理;当然如果所有返回值都需要加密 可以进行统一处理;拉回上述问题,Content-type=application/x-www-form-urlencoded 这种请求方式 @RequestBody则失效;故需要自己去写一个参数解析器来对自己的参数类型做解析 来实现类似于spring 的RequestResponseBodyMethodProcessor提供的功能;我自己的解析器如下:

public class MyRequestBodyMethodArgumentResolver implements HandlerMethodArgumentResolver {

    private static final String CONTEXT = "context";

    /**
     * 判断是否支持要转换的参数类型
     *
     * @param parameter
     * @return
     */
    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        if (parameter.hasParameterAnnotation(MyRequestBody.class)) {
            return true;
        }
        return false;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        String body = getRequestBody(webRequest);
        Object val = null;
        try {
            System.err.println("参数解析器:" + body);
            Class type = parameter.getParameterAnnotation(MyRequestBody.class).type();
            val = new Gson().fromJson(body, type);
            if (parameter.getParameterAnnotation(MyRequestBody.class).required() && val == null) {
                throw new Exception(parameter.getParameterAnnotation(MyRequestBody.class).type() + "不能为空");
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return val;
    }

    private String getRequestBody(NativeWebRequest webRequest) {
        HttpServletRequest servletRequest = webRequest.getNativeRequest(HttpServletRequest.class);
        String jsonBody = (String) servletRequest.getAttribute(CONTEXT);
        if (jsonBody == null) {
            try {
                jsonBody = IOUtils.toString(servletRequest.getInputStream());
                servletRequest.setAttribute(CONTEXT, jsonBody);
            } catch (IOException e) {
                throw new RuntimeException(e);
            }
        }
        return jsonBody;
    }

}

spring xml 配置为(其实只需要在你使用的HandlerAdapter下增加自定义的解析器就可以了,本身spring就默认增加了许多解析器,具体可以参看源码 RequestMappingHandlerAdapter):

<mvc:annotation-driven conversion-service="conversionService">
    <mvc:argument-resolvers>
        <bean class="包名.MymRequestBodyMethodArgumentResolver"/>
    </mvc:argument-resolvers>
</mvc:annotation-driven>
<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter">
    <property name="messageConverters">
        <list>
            <bean class="org.springframework.http.converter.StringHttpMessageConverter">
                <property name="supportedMediaTypes">
                    <list>
                        <value>text/plain;charset=UTF-8</value>
                        <value>text/html;charset=UTF-8</value>
                        <value>application/json;charset=UTF-8</value>
                        <value>application/xml;charset=UTF-8</value>
                    </list>
                </property>
            </bean>
            <bean class="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter" />
        </list>
    </property>
    <property name="customArgumentResolvers" >
        <list>
            <bean class="com.jimubox.ext.JmRequestBodyMethodArgumentResolver"/>
        </list>
    </property>
</bean>

controller 方法应用

@RequestMapping("/postData")
@ResponseBody
@APIRightAuth(APIRight.APIs4Demo)
public String postData(@MyRequestBody(type = DemoReqModel.class) DemoReqModel demoReqModel, HttpServletRequest request){
    DemoRespModel demoRespModel = new DemoRespModel();
    try{
        System.out.println("参数为:"+ JSONObject.toJSONString(demoReqModel));
        demoRespModel.setResult("请求成功");

        CommonOutputModel commonOutputModel = new CommonOutputModel();
        commonOutputModel.setMerchantId(demoReqModel.getTransInput().getMerchantId());
        commonOutputModel.setOrderId(demoReqModel.getTransInput().getOrderId());
        commonOutputModel.setStatus(ResponseStatusConstant.SUCCESS);
        demoRespModel.setTransOutput(commonOutputModel);
    }catch(Exception e){
        e.printStackTrace();
        demoRespModel.setTransOutput(InternalServerError(demoReqModel));
    }
    return signAndEncrypt(demoRespModel,demoReqModel.getTransInput().getMerchantId());
}

返回值的处理其实还可以自己去实现HandlerMethodReturnValueHandler 来进行处理,方法其实有很多,能解决问题就是好方法

致此 就解决了这个问题,贴中省略了很多代码,有些说法可能不太正确,仅供参考

码农小李子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
比切面更灵活的代理方式--进行请求返回数据的统一加解密的架构设计
04-29
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2435301
使用filter配合装饰器模式实现对请求参数加密
01-03
这是一个基于servlet的方式实现对request参数加密的程序;程序中使用了本人自己封装的工具类感性趣的朋友可自行下载,目前工具类简单;加关注在后期的博客中;工具类会加强;这个程序设计的技术有servlet、filter、装饰器模式;
flex与webService公用DES能够进行统一的加密解密
IT深耕十余载,大道之简
12-16 1821
以前加密解密,不论用MD5还是DES或者其它加密算法都是在一个语言环境下进行的都没啥问题。 但是有一个项目功能用FLEX进行开发,对一些敏感数据进行DES数据加密,采用的是as3crypto插件(这个是Flex中常用的加密插件,其中包含有很多种加密方式),但是后来随业务需求拓展需要在Android端显示数据,于是用WebServices+HTML5+JqueryMobile结合phoneGap技
常见的几种加解密的方式
学以笔记,笨鸟先飞.
06-14 1892
网路传输时为了达到网络数据的安全,不让黑客破解其中的提交内容.以前为大家提供了4种常见类型的加解密方式. 1.可逆的加密 -base64 2.不可逆的加密 -md5,sha-1 3.对称性加密 -aes,des 4.非对称性加密 -rsa
自定义注解解决Controller接收的参数自动解密
最新发布
qq_63127459的博客
10-25 249
在日常开发工作中,我们难免会对接其他系统平台api,那么平台间的参数传输为了保证数据安全,双方都会根据提前约定好的密钥进行加解密,来保证数据在网络传输间的安全性,防止出现数据泄露的安全风险。话不多说让我们直接进入正题。先创建一个注解类,并且在该注解类上添加@Retention和@Target注解,前者表示该注解在程序运行时可生效,后者表示这个注解可以应用在字段(成员变量)上、方法参数上。后续我们需要对哪些参数进行解密操作,那么就在该参数上加上此注解,作为标识。/*** 解密注解*/
SpringBoot接口加密解密统一处理
08-25
为了保护敏感信息,我们需要对接口的请求参数和响应结果进行加密解密处理。在本文中,我们将深入探讨如何在SpringBoot中实现接口的加密解密统一处理,以及如何通过自定义注解来灵活控制加密解密的执行。 首先,我们...
SpringBoot实现接口数据的加解密功能
08-25
SpringBoot实现接口数据的加解密功能可以使用自定义消息转换器或使用Spring提供的接口RequestBodyAdvice和ResponseBodyAdvice两种方式实现,前者简单易用,但不灵活,后者可以按照请求的特定需要进行加密解密操作。
Linux 内核加解密流程分析
06-21
Linux内核的加解密机制是为了确保数据的安全传输和存储,其核心在于提供一个统一的接口供用户空间应用程序使用。内核中的加密框架支持多种加密算法,如AES、DES、Blowfish等,以及不同的工作模式,如CBC(Cipher ...
SpringBoot控制器统一的响应体加密与请求体解密的注解处理方式
08-08
// 获取请求参数,进行解密处理 Object requestPayload = getRequestBody(joinPoint); // 根据注解参数或全局配置选择合适的解密算法 // 对请求参数进行解密 Object decryptedPayload = decrypt(requestPayload...
java 凯撒加密解密程序.zip
08-27
在上述代码中,我们使用了`Character.isLetter`来判断字符是否为字母,并通过`Character.toUpperCase`统一处理大小写。然后,我们计算位移后的ASCII码,并检查是否已经绕回原点,以保持原始字符。非字母字符在加密...
小程序+java后端统一 des 加密解密
09-27
小程序des加密,后台java解密配套使用的,需要的同学可以看一下,为了抽满50个字,也是需要凑字数的,大家伙请见谅,
RSAUtils工具类
08-30
RSAUtils工具类
java RSA 加密签名工具包(开发)
09-22
java RSA加密工具包 相关说明:http://blog.csdn.net/joe_storm/article/details/11477297 工具包可以从某个路径下读取密钥并进行加密解密签名验签。密钥以UTF-8编码的字符串格式存储。密文经过sun 内部的Base64Encoder编码成为字符串后返回密文字符串。解密的时候先使用Base64Decoder先解码密文,然后再解密。 数字签名也是同样道理。 该工具在jre7以及以上的环境能够更好的运行。 使用范例: public class Demo { public static void main(String[] args) { String msg = "天气阴了,我犯困了"; RSAPrivateKey privateKey = RSAUtils.privateKey("F:\\RSAkeys\\pri"); RSAPublicKey publicKey = RSAUtils.publicKey("F:\\RSAkeys\\pub"); String signature = RSAUtils.signature(msg, privateKey); System.out.println("签名 = " + signature); String encript = RSAUtils.encript(publicKey, msg); System.out.println("密文 : " + encript); if (RSAUtils.verify(msg, signature, publicKey)) { String decript = RSAUtils.decript(privateKey, encript); System.out.println("解密后的明文 : " + decript); } } }
Request请求内容编码修改(偷懒) 与 XSS 叙述处理(滚蛋吧,脚本仔)
CoffeeAndIce的博客
12-05 693
  对于在每个方法内部针对性的进行UTF - 8 字符编码的骚操作,已经烦乎其烦,不过确实等你烦的时候似乎就会有耐心去偷懒,好吧,进入正题。本文除了解决这个我看了一堆重复编码之后的代码之后,还有处理XSS攻击的方式,给自己留点速查的方式。 目录        请求内容编码修改部分 1、事实证明这样CV根本不能偷懒(展示例子) 2、如果能一次修改,以后都不用CV多舒服 第一步,寻找源头实现...
SpringBoot 快速实现 api 接口加解密
lujiawei00的专栏
10-19 2049
该项目使用RSA加密方式对API接口返回的数据加密,让API数据更加安全。别人无法对提供的数据进行破解。Spring Boot接口加密,可以对返回值、参数值通过注解的方式自动加解密。首先我们当然是了解RSA加密RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。
Spring接口统一加密解密
weixin_44604118的博客
03-28 300
直接上代码 ,CV 后简单修改即可使用。因为我是把所有的类都放一起了,真正使用还是看你们自己的项目结构,自行安排!非以上条件会有一些小毛病、自行尝试!
关于servlet利用filter将参数进行加解密
caiqianzhigai0859的博客
07-30 1741
问题描述 我们在日常开发过程中,经常会有在filter中对请求参数进行统一修改,然后对响应数据也要做统一修改的需求。比如出于安全考虑,我们会将请求参数和响应数据进行加密,这个时候就需要在filter中将请求参数进行解密,给后续的接口使用,而且还要将接口响应的数据进行加密,返回给请求端,这里面就涉及到两个问题:数据的加解密和请求数据的修改。 数据加解密 一般我们都会使用https来保证我们和服务端的通信安全,https协议可以保证我们通信的数据是加密的,不会被别人抓包,但是对于一些对安全性要求比较高的公司,h
在springBoot项目内自写的一个过滤器(对请求响应信息做加解密处理,见案例)
qq_35225231的博客
06-06 1346
过滤器使用案例: package Filter; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.StringUtils; import org.springframework.beans.factory.annotation.Autowired; import org..
java rsa 加解密 验证
zhang804633234的专栏
11-05 536
System.out.println("验签成功");System.out.println("验签失败");h.put("nickname","小王");
springboot接口统一加密解密
08-29
Spring Boot提供了很多方便的工具和特性来实现接口统一加密解密。以下是一种可能的解决方案: 1. 安全配置:在Spring Boot的配置文件中,我们可以定义加密解密规则和密钥。可以使用对称加密算法(如AES)或非对称加密算法(如RSA)。 2. 过滤器:可以通过自定义过滤器来拦截所有的请求,并在请求到达控制器之前进行加密解密操作。在过滤器中,可以使用之前定义的加密解密规则和密钥。 3. 加密请求:当客户端发送请求时,可以在请求参数或请求头中添加加密标识以及加密后的数据。过滤器可以解析加密标识并对加密数据进行解密操作。 4. 解密响应:当服务端返回响应时,可以在响应中添加解密标识以及加密后的数据。过滤器可以解析解密标识并对加密数据进行解密操作。 5. 异常处理:如果在解密过程中发生异常,可以返回相应的错误信息给客户端。可以定义自定义异常处理器,在异常处理器中对异常进行捕获和处理。 通过以上步骤,我们可以实现接口的统一加密解密。客户端在发送请求时,将数据进行加密并携带加密标识,服务端在接收到请求后通过过滤器对数据进行解密,并将解密后的数据返回给客户端。这样可以保护接口传输的数据安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小李子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值