SpringBoot 接口数据加解密实战

最新推荐文章于 2024-05-18 11:13:35 发布

VIP文章 java晴天过后

最新推荐文章于 2024-05-18 11:13:35 发布

阅读量485

点赞数

文章标签： spring boot 后端 java

本文为博主原创文章，未经博主允许不得转载

本文链接：https://blog.csdn.net/q66562636/article/details/126651830

版权

这日，刚撸完2行代码，正准备掏出手机摸鱼放松放松，只见老大朝我走过来，并露出一个”善意“的微笑，兴伟呀，xx项目有于安全问题，需要对接口整体进行加密处理，你这方面比较有经验，就给你安排上了哈，看这周内提测行不...，额，摸摸头上飘摇着而稀疏的长发，感觉我爱了。

和产品、前端同学对外需求后，梳理了相关技术方案，主要的需求点如下：

尽量少改动，不影响之前的业务逻辑；
考虑到时间紧迫性，可采用对称性加密方式，服务需要对接安卓、IOS、H5三端，另外考虑到H5端存储密钥安全性相对来说会低一些，故分针对H5和安卓、IOS分配两套密钥；
要兼容低版本的接口，后面新开发的接口可不用兼容；
接口有GET和POST两种接口，需要都要进行加解密；

需求解析：

服务端、客户端和H5统一拦截加解密，网上有成熟方案，也可以按其他服务中实现的加解密流程来搞；
使用AES放松加密，考虑到H5端存储密钥安全性相对来说会低一些，故分针对H5和安卓、IOS分配两套密钥；
本次涉及客户端和服务端的整体改造，经讨论，新接口统一加 /secret/ 前缀来区分

按本次需求来简单还原问题，定义两个对象，后面用得着，

用户类：

@Data
public class User {
    private Integer id;
    private String name;
    private UserType userType = UserType.COMMON;
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private LocalDateTime registerTime;
}

用户类型枚举类：

@Getter
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
public enum UserType {
    VIP("VIP用户"),
    COMMON("普通用户");
    private String code;
    private String type;

    UserType(String type) {
        this.code = name();
        this.type = type;
    }
}

构造一个简单的用户列表查询示例：

@RestController
@RequestMapping(value = {"/user", "/secret/user"})
public class UserController {
    @RequestMapping("/list")
    ResponseEntity<List<User>> listUser() {
        List<User> users = new ArrayList<>();
        User u = new User();
        u.setId(1);
        u.setName("boyka");
        u.setRegisterTime(LocalDateTime.now());
        u.setUserType(UserType.COMMON);
        users.add(u);
        ResponseEntity<List<User>> response = new ResponseEntity<>();
        response.setCode(200);
        response.setData(users);
        response.setMsg("用户列表查询成功");
        return response;
    }
}

调用：localhost:8080/user/list

查询结果如下，没毛病：

{
 "code": 200,
 "data": [{
  "id": 1,
  "name": "boyka",
  "userType": {
   "code": "COMMON",
   "type": "普通用户"
  },
  "registerTime": "2022-03-24 23:58:39"
 }],
 "msg": "用户列表查询成功"
}

目前主要是利用ControllerAdvice来对请求和响应体进行拦截，主要定义SecretRequestAdvice对请求进行加密和SecretResponseAdvice对响应进行加密(实际情况会稍微复杂一点，项目中又GET类型请求，自定义了一个Filter进行不同的请求解密处理)。扩展：接私活儿

好了，网上的ControllerAdvice使用示例非常多，我这把两个核心方法给大家展示看看，相信大佬们一看就晓得了，不需多言。上代码：

SecretRequestAdvice请求解密：

@ControllerAdvice
@Order(Ordered.HIGHEST_PRECEDENCE)
@Slf4j
public class SecretRequestAdvice extends RequestBodyAdviceAdapter {
    @Override
    public boolean supports(MethodParameter methodParameter, Type type, Class<? extends Ht

最低0.47元/天解锁文章

java晴天过后

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
SpringBoot 接口数据加解密实战

OK，和非加密版的终于一致了，完了吗？这日，刚撸完2行代码，正准备掏出手机摸鱼放松放松，只见老大朝我走过来，并露出一个”善意“的微笑，兴伟呀，xx项目有于安全问题，需要对接口整体进行加密处理，你这方面比较有经验，就给你安排上了哈，看这周内提测行不...，额，摸摸头上飘摇着而稀疏的长发，感觉我爱了。次日，安卓端反馈，你这个加解密有问题，解密后的数据格式和之前不一样，仔细一看，擦，这个userType和registerTime是不对劲，开始思考：这个能是哪儿的问题呢？
复制链接

扫一扫