传参统一jwt加密(坑)

最新推荐文章于 2024-05-13 11:53:44 发布
最新推荐文章于 2024-05-13 11:53:44 发布
阅读量355 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/njpkhuan/article/details/114907436
版权

说明

这个涉及到的主要是和前端约定加密方式,我这边主动采用了jwt方式,原因吗就不解释了。

实现起来大致思想就是做拦截,之前尝试了一版注解方式,做了一半想到一个问题。。注解拦截的参数是已经绑定之后的了。。要是自己再去处理的话就会非常麻烦。。

后来果断放弃,想了想还是使用过滤方便,想着只要把请求参数改了不就行了,实际上这样确实是可行的,就是有个坑,得同时修改getParamNames方法,不然参数是绑定不了的

先说实现吧

定义一个过滤器

package com.fedtech.common.filter.jwt;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 将约定的请求头参数使用jwt转化为普通参数,供系统使用
 *
 * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
 * @date 2021/2/9
 * @since 1.0.0
 */
@Component
public class JwtFilter implements Filter {

    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
            throws IOException, ServletException {
        ParameterRequestWrapper paramsRequest = new ParameterRequestWrapper((HttpServletRequest) arg0);
        String[] secretParams = paramsRequest.getParameterMap().get("secretParam");
        if (secretParams == null) {
            arg2.doFilter(arg0, arg1);
        } else {
            arg2.doFilter(paramsRequest, arg1);
        }
    }

    @Override
    public void init(FilterConfig arg0) {

    }

    @Override
    public void destroy() {

    }
}

重写获取参数相关的方法

package com.fedtech.common.filter.jwt;

import com.alibaba.fastjson.JSON;
import com.fedtech.common.util.StringJsonUtils;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.io.IOUtils;
import org.springframework.util.StringUtils;
import org.springframework.web.util.WebUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.util.*;

import static com.fedtech.common.constants.Request.RequestConstants.CONTENT_TYPE;
import static org.apache.commons.lang3.StringUtils.equalsAny;
import static org.apache.commons.lang3.StringUtils.isNotBlank;

/**
 * 1. 接口请求过滤去除前后空格
 * 2. 解析jwt参数
 *
 * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
 * @date 2021/1/26
 * @since 1.0.0
 */
@Slf4j
public class ParameterRequestWrapper extends HttpServletRequestWrapper {

    /**
     * 这个东东就是request.getParam()的params
     */
    private final Map<String, String[]> params = new HashMap<>();


    /**
     * 解析jwt就是在这边做的,主要思想就是修改params,毕竟官方没提供setParam方法
     * 该方法还同时对参数前后空格做了处理
     *
     * @param request 请求
     *
     * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
     * @date 2021/2/9
     * @since 1.0.0
     */
    public ParameterRequestWrapper(HttpServletRequest request) {
        // 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似
        super(request);
        //将参数表,赋予给当前的Map以便于持有request中的参数
        Map<String, String[]> requestMap = new HashMap<>(request.getParameterMap());
        //这边拿到和前端约定的参数名
        String[] secretParams = requestMap.get("secretParam");
        if (secretParams == null) {
            return;
        }
        String secretParam = secretParams[0];
        //没有加密参数的话就不处理了
        if (isNotBlank(secretParam)) {
            //jwt解析一波
            Jws<Claims> jws = Jwts.parser()
                    .setSigningKey("secret".getBytes(StandardCharsets.UTF_8))
                    .parseClaimsJws(secretParam);
            //这边只要过滤掉几个不需要的参数就行啦啦啦啦!!!!
            jws.getBody().forEach((x, y) -> {
                if (!equalsAny(x, "sub", "exp", "lat", "jti", "iat")) {
                    requestMap.put(x, new String[]{String.valueOf(y)});
                }
            });
        }
        //在这边全部存起来哈!!
        this.params.putAll(requestMap);
        //这个是div的,去除前后空格
        this.modifyParameterValues();
    }

    /**
     * 重写getInputStream方法  post类型的请求参数必须通过流才能获取到值
     *
     * @return javax.servlet.ServletInputStream
     *
     * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
     * @date 2021/2/9
     * @since 1.0.0
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        //非json类型,直接返回
        if (!super.getHeader(CONTENT_TYPE).equalsIgnoreCase("json")) {
            return super.getInputStream();
        }
        //为空,直接返回
        String json = IOUtils.toString(super.getInputStream(), StandardCharsets.UTF_8);
        if (StringUtils.isEmpty(json)) {
            return super.getInputStream();
        }
        log.info("转化前参数:{}", json);
        Map<String, Object> map = StringJsonUtils.jsonStringToMap(json);
        log.info("转化后参数:{}", JSON.toJSONString(map));
        ByteArrayInputStream bis = new ByteArrayInputStream(JSON.toJSONString(map).getBytes(StandardCharsets.UTF_8));
        return new MyServletInputStream(bis);
    }

    /**
     * 将parameter的值去除空格并且空串返回 null值
     *
     * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
     * @date 2021/2/9
     * @since 1.0.0
     */
    private void modifyParameterValues() {
        Set<String> set = params.keySet();
        for (String key : set) {
            String[] values = params.get(key);
            String[] newValues = new String[values.length];
            for (int i = 0; i < values.length; i++) {
                newValues[i] = values[i].trim();
                if (newValues[i].length() <= 0) {
                    newValues[i] = null;
                }
            }
            params.put(key, newValues);
        }
    }

    /**
     * 这个吗是最主要的,去看mvn解析链的话,在{@link WebUtils#getParametersStartingWith(ServletRequest, String)}这个里面获取参数就是走的这个方法
     *
     * @return java.util.Enumeration<java.lang.String>
     *
     * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
     * @date 2021/2/9
     * @since 1.0.0
     */
    @Override
    public Enumeration<String> getParameterNames() {
        Vector<String> vector = new Vector<>(params.keySet());
        return vector.elements();
    }

    /**
     * 重写getParameter 参数从当前类中的map获取
     *
     * @return java.lang.String
     *
     * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
     * @date 2021/2/9
     * @since 1.0.0
     */
    @Override
    public String getParameter(String name) {
        String[] values = params.get(name);
        if (values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }

    /**
     * 重写getParameterValues
     *
     * @return java.lang.String[]
     *
     * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
     * @date 2021/2/9
     * @since 1.0.0
     */
    @Override
    public String[] getParameterValues(String name) {//同上
        return params.get(name);
    }

    static class MyServletInputStream extends ServletInputStream {
        private final ByteArrayInputStream bis;

        public MyServletInputStream(ByteArrayInputStream bis) {
            this.bis = bis;
        }

        @Override
        public boolean isFinished() {
            return true;
        }

        @Override
        public boolean isReady() {
            return true;
        }

        @Override
        public void setReadListener(ReadListener listener) {

        }

        @Override
        public int read() {
            return bis.read();
        }
    }
}

这边就说下入口和重点方法吧

SpringMVC源码之参数解析绑定原理 - leanring - 博客园

Debug最后找到获取参数的地方,这个方法是必须重写的,不然绑定的时候是拿不到的

file

程序员朱永胜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【网络安全 | 密码学】JWT基础知识及攻击方式详析
等风来
04-17 1182
JWT(Json Web Token)是一种用于在网络应用之间安全地传输信息的开放标准。它通过将用户信息以JSON格式加密并封装在一个token中,然后将该token发送给服务端进行验证,从而实现身份验证和授权。
Android 网络请求加密
m0_67401228的博客
03-19 2731
防止反编译 1.在网络请求的时候,把代理关了 2.服务器进行数据加密 ,如果网址被人拿到了,需要服务器对数据进行加密,具体好像阿里云或者其他的服务器有自己的私有API,防止外人访问数据 3.manifest <network-security-config xmlns:tools="http://schemas.android.com/tools"> <base-config cleartextTrafficPermitted="true" /> <t
JWT介绍
qq_51726114的博客
03-20 956
JWT介绍 JWT工具 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就是对 token信息的防伪作用。 JWT的原理, 一个JWT由三个部分组成:公共部分、私有部分、签名部分。最后由这三者组合进行base64编码得到JWT。 介绍 1、公共部分 主要是该JWT的相关配置参数,比如签名的加密算法、格式.
【网络安全 密码学】JWT基础知识及攻击方式详析
最新发布
2401_84968977的博客
05-13 1001
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
JWT 加密
T525174893的博客
04-26 547
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
J WT
weixin_46597615的博客
05-02 111
J WT
JWT 网关TOKEN 加密
05-15
在现代Web应用中,安全是至关重要的,尤其是涉及到用户身份...此外,由于JWT的结构,我们可以将载荷部分进行AES加密,然后将加密后的结果与其他部分一起签名,形成一个安全的加密JWT,从而实现对系统无侵入的安全升级。
java jwt 统一认证
11-08
Java JWT(JSON Web Token)统一认证是一种常见的身份验证机制,广泛应用于现代Web应用程序和服务中。JWT是一种轻量级的身份认证和授权标准,它允许服务端为客户端生成一个令牌,这个令牌包含了用户的相关信息,且是...
java jwt 统一认证 demo
05-07
Java JWT(JSON Web Token)统一认证Demo是一个基于Java实现的JWT认证系统示例,它包含了必要的库文件和源代码,方便开发者快速理解和应用JWT技术。JWT是一种轻量级的身份认证和授权机制,常用于分布式系统中,以...
springboot整合Shiro与Jwt并封装统一返回值
11-15
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
base64.js jwt加密使用到的文件
07-06
base64.js jwt加密使用到的文件
两个rest服务之间的安全jwt
05-26
demo发起rest请求,demo1接收请求。 demo首先请求demo1的login接口,post用户名密码,demo1验证通过后生产token返回给demo demo请求其他的demo1的接口,在json中加入token,demo1验证token,验证通过执行请求的方法。验证不通过返回error。 这个例子中token中的signature部分只存了username,还可以存其他的比如请求ip。 很多方法、json格式等细节写的还是不地道。
JWT认证介绍、JWT数据结构、JWT认证流程】
仙女肖消乐的博客
05-31 1657
JWT认证结构 Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗来讲,JWT是一个含签名并携带用户相关信息的加密串,页面请求校验登录接口时,请求头中携
加解密方法简介
猎户星座
11-28 1412
一、对称加密 采用单钥密码的加密方法,同一个密钥可以同时用来加密和解密,这种加密方法称为对称加密,也称为单密钥加密。常用的对称加密算法:  DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;  3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高;  AES(Advanced Encry...
JWT-基于token的认证方式
学习
06-20 815
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 认证是用来判断用户身份。 为了避免每次都要重新认证,可以在认证成功后创建会话,
Spring-Security通过Json web token 进行登录认证
weixin_51722520的博客
10-12 539
JWT
node:<10>jwt 加密机制
aiwanchengxu的博客
04-20 1709
jwt加密是一种简单的加密,虽说是加密,但是建议大家不要将自己的密码放在jwt加密的行列,因为会导致泄露,jwt加密就有解密,我们需要用到两个模块,express-jwt jsonwebtoken ; 先来了解一下到底jwt是什么,其实就是一种字符串,只是有Header.Payload.Signature三部分组成的,不过只有Payload存储的使我们的信息数据,其他两部分是jwt用来加密的机制,可以有效的防止别人破解; 接下来就是如何实现这个加密: 1、导入安装模块: npm i expres
Spring Session 整合 JWT Token
pomer_huang的博客
12-07 5229
依赖库 pom.xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>1.3.1.RELEASE</version>
JWT登录信息加密
MiChong的博客
04-11 3923
1、背景 对于传统的单点登录系统,使用cookie和session的方式存储用户登录信息,但是对于安全性要求较高的企业–金融企业,就需要对用户的信息进行加密存储,防止客户信息泄露。 2、JWT构成 JWT—-JSON Web Token 第一部分我们称它为头部(header) 完整的头部就像下面这样的JSON: { "typ": "JWT", //声明类...
js jwt 加密解密
09-17
JWT(JSON Web Token)是一种用于在网络通信中安全传输信息的加密和解密技术。JWT使用密钥对信息进行加密和解密,以确保数据在传输过程中的机密性和完整性。 在JavaScript中,可以使用第三方库jsonwebtoken来实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员朱永胜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值