springboot如何使用全局拦截器,并且使用过滤器实现快速失败

最新推荐文章于 2024-05-26 05:45:00 发布
最新推荐文章于 2024-05-26 05:45:00 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: SpringBoot系列博客 文章标签: 过滤器 filter springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1515312832/article/details/106871843
版权

前言

简单说一下需求

要做一个项目,简单保证系统内部的安全性,然后还要防止高并发的攻击,于是就要对进入系统的请求做一些限制,其实也就是如何做快速失败,这里我使用的是过滤器来实现的,对于不必要的请求,直接过滤掉就可以了。

思路

  1. 签名算法校验参数有效性,无效直接返回 403
  2. token 校验,拿着 tokenredis 中进行比对,如果 token 校验失败,同样直接返回 403

签名算法是什么

为了防止API调用过程中被黑客恶意篡改,调用任何一个API都需要携带签名,服务端会根据请求参数,对签名进行验证,签名不合法的请求将会被拒绝。

如果我们正常的http请求参数是这样的

{
	"param1": "aaa",
	"param2": "bbb"
}

加了签名之后的参数就是这样的

{
	"param1": "aaa",
	"param2": "bbb",
	"sign": "f2f8ba7d0ac080bf"
}

加了签名之后多了一个名为 sign 的参数,这个sign就是在客户端或者web端对参数进行加密的结果
大概加密就是把参数全部合在一起进行md5加密的结果,到了服务端,再对参数进行一次加密,比对一下和参数重的sign是否相同就好了
在这里插入图片描述

说几句

  1. 逻辑不复杂,稍微用心看点就可以看明白
  2. md5算法可以更换,换成任意自己喜欢的,但是,要保证客户端与服务端的一致
  3. token校验暂且不写,token校验如果写的话还可以单另写一篇,这篇主要讲过滤器实现
  4. 如果有需要,我上传github之后,再来贴链接,或者在下面评论也可以,我每条评论都看
  5. 我认为,大家需要学习的不是代码怎么写,而是要怎么去思考,一旦思考停止了,那就都没意义了

贴代码

ValidParamsFilter

校验参数有效性的过滤器

package com.stu.filter;

import com.alibaba.fastjson.JSON;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import java.io.*;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;

/**
 * <p>
 * 校验参数有效性的过滤器
 * </p>
 *
 * @author Banana
 * @since 2021/1/30
 */

//@WebFilter(filterName = "validParamsFilter", urlPatterns = "/*")
@Component
public class ValidParamsFilter implements Filter {


    //这里面 填写不需要 被拦截的地址
    private static final Set<String> ALLOWED_PATHS = Collections.unmodifiableSet(
            new HashSet<String>(Arrays.asList("/login", "/isLogin", "/findCategory"))
    );

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        Map<String, String> map;

        // 一个request的包装类,初始化时缓存了body,重写了getInputStream返回缓存的body,实现重复读取body
        BodyReaderRequestWrapper requestWrapper = new BodyReaderRequestWrapper(request);
        String body = ReqGetBody.getBody(requestWrapper);

        boolean flag = false;
        try {
            if (!body.isEmpty()) {
                map = (Map<String, String>) JSON.parse(body);
                // 签名校验算法
                flag = ValidParamUtils.valid(map);
            }
        } catch (Exception e) {
            // 可以记录一下用户行为
        }

        if (flag) {
            filterChain.doFilter(requestWrapper, response);
        } else {
            response.sendError(403, "param valid fail!!!");
        }

    }
}

ValidParamUtils

用来校验参数有效性的小算法

package com.stu.filter;

import java.util.Arrays;
import java.util.Map;

/**
 * <p>
 *
 * </p>
 *
 * @author Banana
 * @since 2021/2/1
 */

public class ValidParamUtils {

    public static Boolean valid(Map<String, String> params) {
        String headerSign = params.get("sign");
        if (headerSign == null) return false;

        params.remove("sign");

        // 第一步:检查参数是否已经排序
        String[] keys = params.keySet().toArray(new String[0]);
        Arrays.sort(keys);

        // 第二步:把所有参数名和参数值串在一起
        StringBuilder query = new StringBuilder();
        for (String key : keys) {
            String value = params.get(key);
            query.append(key).append(value);
        }

        String paramsString = query.toString();
        String sign = MD5Utils.getMD5Str(paramsString);

        return sign.equals(headerSign);
    }
}

FilterConfig

这里用来注入filter,因为需要控制filter开启关闭,所以我把开关抽象在了配置文件中

package com.stu.config;

import com.stu.filter.ValidParamsFilter;
import com.stu.filter.ValidTokenFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * <p>
 *
 * </p>
 *
 * @author 刁琳童
 * @since 2021/1/30
 */

@Configuration
public class FilterConfig {

    @Value("${filter.valid-param}")
    private Boolean validParam;

    @Value("${filter.valid-token}")
    private Boolean validToken;

    @Autowired
    private ValidParamsFilter validParamsFilter;

    @Autowired
    private ValidTokenFilter validTokenFilter;

    @Bean
    public FilterRegistrationBean validParamsFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean(validParamsFilter);
        registration.addUrlPatterns("/*");
        registration.setName("validParamsFilter");
        registration.setEnabled(validParam);
        registration.setOrder(1);
        return registration;
    }

    @Bean
    public FilterRegistrationBean validTokenFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean(validTokenFilter);
        registration.addUrlPatterns("/*");
        registration.setName("validTokenFilter");
        registration.setEnabled(validToken);
        registration.setOrder(2);
        return registration;
    }
}
Geek-Banana
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Springboot过滤器禁止ip频繁访问功能实现
08-19
"Springboot过滤器禁止ip频繁访问功能实现" Springboot过滤器禁止ip频繁访问功能实现是指在Springboot项目中,通过编写一个过滤器来限制ip频繁访问的功能实现。这项功能可以防止恶意ip的访问,保护服务的安全。 ...
Springboot 过滤器拦截全局异常处理
shaopengjie的博客
03-04 2031
1.创建一个类,实现接口,并且实现其方法。拦截是一种动态拦截方法调用的机制,与过滤器类似。是Spring框架中提供的,用来动态拦截控制方法的执行。它的主要作用是拦截请求,在指定的方法前后调用,根据业务需要执行预先设定的代码。定义一个拦截,继承,并实现其方法。中的方法都提供了默认实现,可根据业务需求来决定重写哪些方法。注意要为拦截添加@Component注解,将其交给IOC容管理。@Component@Override//在目标资源方法执行前执行,返回true放行,false 不放行。
OOP与AOP—浅谈
冯瑞姣
12-05 281
【前言】 今天小编来总结一下对OOP与AOP的认识。 主题: 1.OOP是什么? 2.AOP是什么? 【内容】 1.OOP,面向对象编程(Object Oriented Programming),是什么? 是一种利用对象进行编程的思想。 面向对象三大特征: 封装,继承,多态。 那什么是封装、继承、多态? 封装:隐藏对象的属性和实现细节,仅对外公开接口,控制在程序...
springboot实现过滤器
最新发布
东风麦芽糖
05-26 805
注解方式实现过滤器、非注解方式实现过滤器
【UML】UML图--交互图(时序图和协作图)
GEEK-BANANA
09-11 2063
交互图    用来描述系统中对象是如何进行相互作用(消息传递)的。(主要用于描述写作的动态行为方面。)     当对交互建模时,通常既包括对象(每个对象都扮演某一特定的角色),又包括消息(每个消息都代表对象之间的通信活动,并导致一定的动作发生)。     交互图包括时序图和协作图,这两种图也可以进行相互的转换,在Rationl Rose中一键即可实现转换。区别时序图:强调消息的时间顺序 协作图
spring boot环境搭建一
dsl
12-01 177
环境搭建有三种方式 第一种 是刁琳童同学告诉我的:直接在一个网址上搭建:https://start.spring.io/ 然后直接使用idea打开你解压缩的文件就搭建成功了一个简单的spring-boot框架 然后直接运行main方法,点击三角,看是否成功 pom文件中的东西 ...
Springboot项目快速实现过滤器功能
凡夫编程
03-20 2785
很多时候,当你以为掌握了事实真相的时间,如果你能再深入一点,你可能会发现另外一些真相。比如面向切面编程的最佳编程实践是AOP,AOP的主要作用就是可以定义切入点,并在切入点纵向织入一些额外的统一操作,避免与业务代码过度耦合。熟悉java web项目的都知道,另外还有过滤器(filter)、拦截(interceptor)也有类似AOP的功能特性,那么问题来了:为什么一般说面向切面编程就是指AOP,而不是过滤器拦截过滤器拦截在Spring boot中怎么实现?这三者之间有什么区别?Springboo
springboot中配置addResourceHandler和addResourceLocations,使得可以从磁盘中读取图片、视频、音频等
ajax_yan的博客
02-10 1586
https://blog.csdn.net/ajklaclk/article/details/80804137/
spring boot实现过滤器拦截demo
08-31
在Spring Boot应用中,过滤器(Filter)和拦截(Interceptor...过滤器更底层,适用于全局的请求处理,而拦截更关注业务逻辑层,适用于Spring MVC的Controller方法调用。根据实际需求,可以选择合适的机制进行实现
spring boot拦截使用场景示例详解
08-19
Spring Boot 拦截是基于Spring MVC的拦截机制,用于在请求处理之前、之后以及发生异常时执行特定的业务逻辑。...对于需要全局处理的场景,如权限控制、数据过滤等,使用拦截是最佳实践之一。
springboot拦截实现拦截 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
SpringBoot第 4 讲:SpringBoot+Rest+拦截
10-10
rest_demo.zip
springmvc入门
GEEK-BANANA
01-27 231
我今天失去了一只鸡腿
全面了解SpringBoot拦截
热门推荐
万猫学社
06-28 1万+
拦截(Interceptor)是一种特殊的组件,它可以在请求处理的过程中对请求和响应进行拦截和处理。拦截可以在请求到达目标处理之前、处理处理请求之后以及视图渲染之前执行特定的操作。拦截的主要目的是在不修改原有代码的情况下,实现对请求和响应的统一处理。本文详细介绍了SpringBoot中的拦截,包括拦截的概念、作用、实现方式、执行顺序、生命周期以及高级应用。我们还探讨了拦截的性能优化策略和常见问题。希望本文能帮助您更好地理解和使用SpringBoot中的拦截
Spring Boot统一处理功能——拦截
m0_57248630的博客
08-08 584
*** 创建一个拦截*/@Component@Override//判断是否登录if(session!=null){//通过,不进行处理//表示没有权限@Autowired//添加拦截@Override//添加拦截//拦截哪些url//放过哪些url// 所有的接⼝添加 api 前缀@Override其中:●addPathPatterns:表示需要拦截的 URL,“**”表示拦截任意⽅法(也就是所有⽅法)。
机房重构----设计模式那点儿事儿
wangdan1030的博客
09-11 1166
这次做机房重构的总结,我主要说说设计模式。      开始做的时候是不想做,抵触,认为机房很难,三层总是理解不了。三层理解了,查询这条线做完之后我开始添加别的功能,期间会加上别的设计模式。在这期间出了很多的问题,设计模式总是加不上去,这里我用了很长的时间。后来我就在想,为什么设计模式我加不上?于是我想到了一下几个方面: 1:设计模式理解不够,没有理解到实质的东西,不知道每个类怎么写,不知道加
springboot设置全局异常拦截
weixin_72979483的博客
05-29 707
需求:程序运行时遇到的异常,我们需要通过异常拦截把这些异常拦截之后,给客户端发送异常出错原因。1.创建捕获异常的包,创建ClobalExceptionHandler类。2.编写全局异常拦截类内部代码。
SpringBootSpringboot实现过滤器
weixin_45618869的博客
07-12 1547
在上述示例中,使用了@WebFilter注解将MyFilter类标记为过滤器,并通过urlPatterns拦截全部。在Spring Boot中,过滤器是一种用于对HTTP请求进行预处理和后处理的组件。为了使Spring Boot能够扫描到自定义的过滤器类,需要在启动类上使用。的一部分,它能够在请求进入Web容之前或返回给客户端之前进行操作。通过实现过滤器,可以对HTTP请求进行一些通用操作,如。其中若用户未登录 ,执行下列的语句:给前端响应。“/user/login”,//移动端登录。
springboot异常拦截
07-27
在Spring Boot中,可以使用@ControllerAdvice注解和@ExceptionHandler注解来实现异常拦截。在给定的引用\[1\]中,GlobalExceptionHandler类使用@ControllerAdvice注解和@ExceptionHandler注解来处理全局异常。该类中的exceptionHandler方法接收HttpServletRequest和Exception参数,并根据异常的类型进行不同的处理逻辑。如果异常是GlobalException类型,则返回对应的错误信息;如果异常是BindException类型,则返回绑定错误的信息;否则返回服务错误的信息。 与拦截相比,过滤器(Filter)是Servlet技术的一部分,用于对所有访问进行增强。而拦截(Interceptor)是Spring MVC技术的一部分,仅对Spring MVC的访问进行增强。引用\[2\]中提到了拦截过滤器的区别,拦截只对Spring MVC的访问进行增强,而过滤器对所有访问进行增强。 在给定的引用\[3\]中,展示了一个处理登录业务的service代码。该代码中的login方法接收一个LoginVal对象作为参数,并根据参数进行登录验证。如果参数为null,则抛出全局异常;如果根据手机号查询不到用户,则抛出相应的异常;如果密码不匹配,则抛出密码错误的异常;否则返回true表示登录成功。 综上所述,Spring Boot中的异常拦截可以通过@ControllerAdvice注解和@ExceptionHandler注解来实现拦截过滤器的区别在于归属和内容,而service中的代码可以根据业务需求进行异常处理。 #### 引用[.reference_title] - *1* *3* [SpringBoot 全局异常拦截](https://blog.csdn.net/weixin_38405253/article/details/122019429)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Springboot——拦截](https://blog.csdn.net/weixin_51351637/article/details/128058053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Geek-Banana

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值