过滤器 + 签名拦截器 + 签名工具类

已于 2022-10-24 17:14:15 修改
阅读量731 收藏 4
点赞数 1
分类专栏: Spring Boot 文章标签: java springboot 1024程序员节
于 2022-10-24 17:12:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54355172/article/details/127496464
版权

1. 拦截器和过滤器的概述

过滤器与拦截器的执行流程:

  • 过滤器implements Filter
    • 作用:
      • 拦截配置好的客户端请求,然后对Request和Response进行处理(对字符编码、跨域等问题进行过滤)
      • 随着web应用的启动而启动,只初始化一次
    • 方法:
      • init 容器启动时调用初始化方法,只会初始化一次
      • doFilter 每次请求都会调用doFilter方法,通过FilterChain 调用后续的方法
      • destroy 当容器销毁时,执行destory方法,只会被调用一次
  • 拦截器implements HandlerInterceptor
    • 作用
      • 对请求进行拦截,比如说验证请求的登录账号和密码,或者验证请求参数签名等
    • 方法:

      • preHandle 请求方法前置拦截,当注册的所有拦截器的 preHandle 执行完毕之后, DispatcherServlet 会根据返回结果来分配具体的 hanler 处理请求

      • postHandle preHandle 返回结果为true时,在Controller方法执行之后,视图渲染之前被调用

      • afterCompletionpreHandle 返回ture,并且整个请求结束之后,执行该方法

    • 注册
      • 编写一个类 implements WebMvcConfigurer
      • addInterceptors 中注册
        • addPathPatterns 需要拦截的请求
        • excludePathPatterns 不需要拦截的请求

2. 存储HttpServletRequest的输入流

因为 HttpServletRequest的输入流只能读取一次 , 而工程中会有多个地方需要获取 HttpServletRequest 的信息,所以需要先存储 HttpServletRequest的输入流

1.http请求包装类

HttpServletRequestWrapper 一个http请求包装类。

  • 使用方法:
    • extends HttpServletRequestWrapper
    • 实例化一个容器来存储流数据(数组或集合)
    • 重写getInputStream() 读取请求正文
    • 重写getReader() 读取请求正文

代码:

package com.chenjy.transfer.common.conf;

import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StreamUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;

/**
 * @Author: chenJY
 * @Description:
 * @Date: 2022-10-24 10:37
 */
@Slf4j
public class RequestWrapper extends HttpServletRequestWrapper {

    // 存储流的容器
    private byte[] requestBody =null;

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        // 将流复制到字节数组 requestBody 中
        requestBody = StreamUtils.copyToByteArray(request.getInputStream());
    }

    /**
     * @Description 获取请求体
     * @author chenJY
     * @date 2022/10/24 14:21
     * @param request
     * @return String
    */
    public String getBodyString(final ServletRequest request) {
        try {
            return inputStream2String(request.getInputStream());
        } catch (IOException e) {
            log.error("", e);
            throw new RuntimeException(e);
        }
    }


    /**
     * @Description 获取请求体
     * @author chenJY
     * @date 2022/10/24 14:23
     * @return String
    */
    public String getBodyString() {
        final InputStream inputStream = new ByteArrayInputStream(requestBody);

        return inputStream2String(inputStream);
    }

    /**
     * @Description 读取inputStream数据,并转换为String
     * @author chenJY
     * @date 2022/10/24 14:24
     * @param inputStream
     * @return String
    */
    private String inputStream2String(InputStream inputStream) {
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;

        try {
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.defaultCharset()));
            String line;
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            log.error("异常:", e);
            throw new RuntimeException(e);
        } finally {
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    log.error("", e);
                }
            }
        }

        return sb.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
                log.info("保存输入流......");
            }
        };
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

}

2.过滤器

除了要写一个包装器外,我们还需要在过滤器里将原生的 HttpServletRequest 对象替换成我们自定义的RequestWrapper对象。

package com.chenjy.transfer.common.filter;

import com.chenjy.transfer.common.conf.RequestWrapper;
import lombok.extern.slf4j.Slf4j;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @Author: chenJY
 * @Description:
 * @Date: 2022-10-24 9:41
 */
@Slf4j
@WebFilter(urlPatterns = "/*")
public class RequestFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("过滤器初始化......");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        ServletRequest requestWrapper = new RequestWrapper((HttpServletRequest) request);
        chain.doFilter(requestWrapper, response);
    }

    @Override
    public void destroy() {
        log.info("过滤器销毁......");
    }
}

3. 签名生成

1.常量类

package com.chenjy.transfer.constant;

/**
 * @Author: chenJY
 * @Description: 签名验证相关常量
 * @Date: 2022-10-24 11:18
 */
public interface MyConstant {
    // 签名的key(参数名)
    String SIGN_KEY = "MySignKey";
    // 签名的标志
    String SIGN_FLAG = "MySFlag";
    // 签名后缀内容
    String SIGN_STR = "zuilitiaodengkanjian_XQJ";
}

2.签名工具类

package com.chenjy.transfer.common.util;

import com.chenjy.transfer.constant.MyConstant;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.codec.binary.Hex;

import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.util.Arrays;
import java.util.Map;

/**
 * @Author: chenJY
 * @Description: 签名工具类(生成签名、签名加密)
 * @Date: 2022-10-24 11:21
 */
@Slf4j
public class SignUtil {

    /**
     * @Description 签名生成逻辑 (请求发送方法):
     *                  - 获取参数key,排序key(防止因参数顺序问题而导致签名不一致)
     *                  - 拼接key和value,并在末尾拼接上后缀内容 SIGN_STR
     *                  - 对拼接好的字符串进行 md5 加密
     * @author chenJY
     * @date 2022/10/24 11:24
     * @param params
     * @return String
    */
    public static String createSign(Map<String, Object> params) throws Exception {
        log.info("开始拼接签名......");
        StringBuilder ketStr = new StringBuilder();
        Object[] keys = params.keySet().toArray();
        Arrays.sort(keys);
        for (Object key : keys) {
            String valueStr = "";
            Object value = params.get(key);
            if (value != "") {
                valueStr = String.valueOf(value);
            }
            ketStr.append(key)
                    .append("=")
                    .append(valueStr)
                    .append("——");
        }
        ketStr.append(MyConstant.SIGN_STR);
        log.info("待验签名串:" + ketStr);
        return md5(ketStr.toString());
    }

    public static String md5(String str) throws Exception{
        // 指定加密类型
        MessageDigest messageDigest = MessageDigest.getInstance("MD5");
        // 将字节数组转换为表示每个字节的十六进制值的字符串
        return Hex.encodeHexString(messageDigest.digest(str.getBytes(StandardCharsets.UTF_8)));
    }
}

4.签名拦截器

1.拦截器类

package com.chenjy.transfer.common.interceptor;

import com.alibaba.fastjson.JSONObject;
import com.chenjy.transfer.common.conf.RequestWrapper;
import com.chenjy.transfer.common.util.SignUtil;
import com.chenjy.transfer.constant.MyConstant;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

/**
 * @Author: chenJY
 * @Description:
 * @Date: 2022-10-24 11:13
 */
@Slf4j
@Component
public class SignInterceptor implements HandlerInterceptor {
    /**
     * @Description 拦截器的前置处理器
     * @author chenJY
     * @date 2022/10/24 14:38
     * @param request
     * @param response
     * @param handler
     * @return boolean
    */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String strParam = new RequestWrapper(request).getBodyString();
        Map<String, Object> paramsMap = str2Map(strParam);
        if (paramsMap.get(MyConstant.SIGN_FLAG) == null) {
            log.error("参数未签名");
            return false;
        }
        if (!verifySign(paramsMap)) {
            log.error("签名错误");
            return false;
        }

        log.info("签名验证通过");
        return true;
    }

    /**
     * @Description 验证签名是否一致
     * @author chenJY
     * @date 2022/10/24 14:43
     * @param paramsMap
     * @return boolean
    */
    public boolean verifySign(Map<String, Object> paramsMap) throws Exception {
        Set pNames = paramsMap.keySet();
        Iterator it = pNames.iterator();
        Map<String, Object> newParams = new HashMap<>();
        String originSign = paramsMap.get(MyConstant.SIGN_KEY).toString();
        while (it.hasNext()) {
            String pName = (String) it.next();
            if (MyConstant.SIGN_KEY.equals(pName)) {
                continue;
            }
            Object pValue = paramsMap.get(pName);
            newParams.put(pName, pValue);
        }
        String sign = SignUtil.createSign(newParams);
        log.info("sign-result:" + sign);
        return sign.equalsIgnoreCase(originSign);
    }

    /**
     * @Description json字符串转Map
     * @author chenJY
     * @date 2022/10/24 14:32
     * @param str
     * @return Map<Object>
    */
    public Map<String, Object> str2Map(String str) {
        /*先转换为JSON对象*/
        JSONObject jsonParam = JSONObject.parseObject(str);
        Map<String, Object> resMap = new HashMap<>();
        Iterator it = jsonParam.entrySet().iterator();
        while (it.hasNext()) {
            Map.Entry<String, Object> entry = (Map.Entry<String, Object>) it.next();
            resMap.put(entry.getKey(), entry.getValue());
        }
        return resMap;
    }
}

2.注册拦截器

实现WebMvcConfigurer接口中的addInterceptors方法把自定义的拦截器类添加进来

package com.chenjy.transfer.common.conf;

import com.chenjy.transfer.common.interceptor.SignInterceptor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @Author: chenJY
 * @Description:
 * @Date: 2022-10-24 14:48
 */
@Slf4j
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Bean
    public HandlerInterceptor getSignInterceptor() {
        return new SignInterceptor();
    }

    /**
     * @Description 注册拦截器,声明要拦截的url
     * @author chenJY
     * @date 2022/10/24 14:50
     * @param registry
    */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 签名拦截
        InterceptorRegistration signInterceptor = registry.addInterceptor(getSignInterceptor());
        signInterceptor.addPathPatterns("/verify/**");
    }
}

5.项目依赖

        <!--基础依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--提供Slf4j日志-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <!--测试-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!--fastjson:json与java object数据转换-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.83</version>
        </dependency>

        <!--十六进制转换(加密使用)-->
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
        </dependency>
364.99°
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot使用过滤器进行接口签名防参数篡改
qq_41243828的博客
01-11 551
这样,当有请求到达时,SignatureFilter过滤器会自动对请求参数进行排序和签名,然后根据签名结果进行验签。如果验签通过,请求将继续被处理;否则,将返回错误响应。在Spring Boot中,可以使用过滤器(Filter)来实现接口签名验签。
java拦截处理用户登录信息,以及app接口校验
07-13
拦截统一处理用户的请求信息,包含网站的用户登录验证以及app的接口规范。
验证签名拦截还是过滤器_使用过滤器功能进行输入验证
culi3182的博客
08-11 1351
验证签名拦截还是过滤器I’d like to start off this article by thanking you for making it even this far. I’m fully aware that “Input Validation Using Filter Functions” isn’t exactly the sexiest article title in t...
java签名算法阻止 设置_coding++:java-自定义签名+拦截
weixin_33347911的博客
02-25 87
packagecom.mlq.exception;importcom.mlq.tools.ErrorPrintUtils;public abstract class AbstractException extendsRuntimeException {private static final long serialVersionUID = -5992753399315247713L;private...
java使用拦截进行接口签名验证
bighacker的博客
11-24 1863
验签 拦截 redis时效 防抓包
java 过滤器 接口(API)验证入参,验签(sign) Demo
java_2017_csdn的博客
09-05 571
2、创建加载配置文件类;/*** @Author*/@Data@Component/*** 系统通讯密钥*//*** 签名验证URL路径*//*** 是否开启签名验证*/3、继承 OncePerRequestFilter 重写方法 doFilterInternal;/*** BIW系统接口鉴权过滤器* @Author*/@Slf4j@Component@Autowired。
vue+axios 拦截实现统一token的案例
10-14
主要介绍了vue+axios 拦截实现统一token的案例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
struts2过滤器拦截的区别分析
09-02
主要介绍了struts2过滤器拦截的区别,简单分析了struts2框架中过滤器拦截的概念与相关使用区别,需要的朋友可以参考下
ssm+maven用拦截实现登录小Demo
09-25
ssm+maven用拦截实现登录小Demo。下载资源里已经包含SQL文件。 演示地址:https://blog.csdn.net/kzw11/article/details/79940449
基于Java的Spring框架拦截过滤器设计源码
最新发布
04-08
Spring框架拦截过滤器:基于Java开发,包含34个文件,包括28个Java类文件、3个XML配置文件、1个.gitignore文件、1个SQL文件和1个YAML配置文件。该项目是关于Spring框架的拦截过滤器的设计,过滤器是Java Web...
Web拦截实现http访问方法和数字签名认证
weixin_30412167的博客
08-17 391
Web拦截实现http访问方法和数字签名认证 当有对外系统对接业务的时候,数字签名能很好的校验非法访问,本文提供拦截实现验证数字签名的方法 1.在项目中把commons-codec-1.3jar放进去以支持MD5加密类 2.在web.xml中添加web拦截 <filter> <filter-name>signFilter</filt...
java 拦截写法 签名拦截 SignInterceptor IP白名单
shengguimin的博客
04-12 656
request.getSession().setAttribute("errorMsg", "签名验证失败!for (String key : content.keySet()) {// 复制并排序,值为空或者会空串,不参与排序。for (String key : map.keySet()) {// 输出到StringBuffer。LOG.info("远端签名:{},本地签名:{}", sign, checkSign);LOG.info("请求的IP地址:{}", reqIp);
springboot自定义注解+拦截完成Token+签名校验
weixin_39724194的博客
11-04 3273
一:为什么需要使用校验 请求校验可以保证数据通信时的安全性: 防止参数被篡改 判断登录用户是否合法(虽然你是你,但是你还需要门票(token)才能进入) 请求的唯一性(防止恶意重复提交–爬虫、网络攻击等) 二:工作流程 不加校验: 获取一个列表:http://api.XXX.com/getproductList?id=value1 这种方式,只需要一个url调用者就可以获取到数据列表,导致数...
java登录过滤_Java过滤器验证登录用户
weixin_33554776的博客
02-25 281
1.首先写一个权限过滤filter类,实现Filter接口/*首先写一个权限过滤filter*/import javax.servlet.Filter;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.ser...
Java数字签名校验
专注基础架构领域
06-15 3498
最近工作中有使用到数字签名校验来验证API请求是否被劫持,从而保证数据安全,特此记录便于日后查阅。 1、签名校验流程图 功能介绍: 用户通过签名来保护数据安全,后端通过比较前端传过来的签名是否相同,来判断数据是否被他人篡改。 处理流程 1、用户发起请求到应用接入网关(AG),进入签名校验过滤器; 2、签名校验过滤器获取参数中的appid,通过appid到redis中获取secret...
java 过滤器 + 拦截 + JWT 原理以及实践
CodeCow
07-27 2271
java 过滤器 + 拦截 + JWT 原理以及实践
过滤器拦截
weixin_51991393的博客
06-03 174
【 定义过滤器】 【配置过滤器】 1.3 代码实现登陆校验 1.3.1 登录校验思路1.3.2 操作步骤 1.3.3 代码实现引入第三方json处理的工具包fastjson依赖 登录校验过滤器:LoginCheckFilter 2.拦截 2.1 拦截Interceptor 拦截是Spring框架中提供的,用来动态拦截控制方法的执行。 是一种动态拦截方法调用的机制,类似于过滤器拦截的作用 拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。 主要用于拦截用户请求并作出相应的处
springboot使用拦截拦截验证签名sign
wuxiao3816的博客
04-25 2607
1生成签名 2使用拦截验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截 2.5配置拦截 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
java登陆网关_网关中自定义登陆验证过滤器
weixin_33305287的博客
02-17 286
zuul原理流程:- 正常流程:- 请求到达首先会经过pre类型过滤器,而后到达routing类型,进行路由,请求就到达真正的服务提供者,执行请求,返回结果后,会到达post过滤器。而后返回响应。- 异常流程:- 整个过程中,pre或者routing过滤器出现异常,都会直接进入error过滤器,再error处理完毕后,会将请求交给POST过滤器,最后返回给用户。- 如果是error过滤器自己出现异...
事件过滤器+pyqt5
03-03
事件过滤器是PyQt5中的一个重要概念,它允许你在应用程序中拦截和处理各种事件。通过使用事件过滤器,你可以对特定的控件或应用程序级别的事件进行自定义处理。 在PyQt5中,事件过滤器是通过QObject类的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

364.99°

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值