通过HandlerInterceptor、HttpServletRequestWrapper、Filter实现接口前置参数处理后依然触发注解式参数校验(日志、参数加解密等)

已于 2024-08-22 09:39:39 修改
阅读量207 收藏
点赞数 4
文章标签: spring boot java
于 2024-08-22 09:22:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36438844/article/details/141414792
版权

1、因为正常HttpServletRequest只能获取一次body参数,无法进行修改,所以需要通过Wrapper(包装)自定义一个request

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;

/**
 * getInputStream获取流 然后在流中获取数据 但是这个方法只能获取一次
 * 重写httpservletrequestwrapper把request保存下来
 * 用过滤器把保存的request填进去 就可以多次读取了
 */
public class RequestWrapper extends HttpServletRequestWrapper {

    private String body;

    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
            throw ex;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException ex) {
                    throw ex;
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            public boolean isFinished() {
                return false;
            }

            public boolean isReady() {
                return false;
            }

            public void setReadListener(ReadListener readListener) {
            }

            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

    // 赋值给body字段
    public void setBody(String body) {
        this.body = body;
    }
}

2、虽然自定义了request但是,请求不会直接使用自定义的Request,需要通过拦截器将所有的请求都转换成自定义的Request

public class WebFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)
            throws IOException, ServletException {
        ServletRequest request = null;
        if (servletRequest instanceof HttpServletRequest) {
            request = new RequestWrapper((HttpServletRequest) servletRequest);
        }
        if (request == null) {
            chain.doFilter(servletRequest, servletResponse);
        } else {
            chain.doFilter(request, servletResponse);
        }
    }

    @Override
    public void destroy() {
    }
}

3、为WebFilter进行配置,此步骤可以省略,可以采用纯注解方式配置过滤器

@Configuration
public class FilterConfig {
    @Bean
    FilterRegistrationBean<WebFilter> myFilterFilterRegistrationBean() {
        FilterRegistrationBean<WebFilter> bean = new FilterRegistrationBean<>();
        bean.setFilter(new WebFilter());
        bean.setOrder(-1);
        bean.setUrlPatterns(Collections.singletonList("/*"));
        return bean;
    }
}

4、自定义注解,这里时为了实现加解密

@Retention(RetentionPolicy.RUNTIME)
@Target({ ElementType.METHOD, ElementType.TYPE })
public @interface DesDecrypt {
}

4、创建拦截器,对所有的标注了@DesDecrypt 的接口进行拦截,并使用自定义的request进行处理,将body参数取出,处理之后在注入回去

参数使用json字符串传递,使用data参数传递,接口中的参数依然正常使用自定义对象承接并且使用@Validated @RequestBody 注解,并出发参数校验

@Slf4j
@Component
public class DesDecryptInterceptor implements HandlerInterceptor {
    private final ObjectMapper objectMapper;

    public DesDecryptInterceptor(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            DesDecrypt desDecryptAnnotation = handlerMethod.getMethodAnnotation(DesDecrypt.class);

            if (desDecryptAnnotation != null) {
                RequestWrapper requestWrapper = (RequestWrapper) request;
                String requestBody = requestWrapper.getBody();
                if (requestBody == null || requestBody.isEmpty()) {
                    throw new RuntimeException("请求体为空");
                }
                JSONObject jsonObject = JSON.parseObject(requestBody);
                if (!jsonObject.containsKey("data")) {
                    throw new RuntimeException("请求体中不存在data字段");
                }
                String data = jsonObject.getString("data");
                log.info("Decrypted request data: {}", data);
                requestWrapper.setBody(data);
            }
        }

        return true;
    }

    private String readRequestBody(HttpServletRequest request) throws IOException {
        byte[] buffer = new byte[request.getContentLength()];
        int bytesRead = request.getInputStream().read(buffer);
        return new String(buffer, 0, bytesRead, StandardCharsets.UTF_8);
    }
}

5、性能测试

5.1 创建一个测试接口

@DesDecrypt
    @PostMapping("/parameterPreProcess")
    public String parameterPreProcess(@Validated @RequestBody ControlFrontParam param) {
        log.info("param json: {}", JSON.toJSONString(param));
        return JSON.toJSONString(param);
    }

5.2 在使用DesDecrypt注解标记下进行访问(经过过滤器和拦截器)

{

    "data": "{\"name\": \"qR)\",\"age\": 51,\"idCard\": \"54829220331210989X\"}"

}

访问多次,Time在21~29ms之间,多数在21~25ms

5.3 在不使用DesDecrypt注解标记下进行访问

{
  "idCard": "54829220331210989X",
  "name": "zq",
  "age": 10
}

访问多次,Time在17~28ms之间,多数在18~23ms

*总体来说,经过过滤器和拦截器处理后,会影响响应时间,但是影响不大,对于带给整个项目在加解密方面的便捷性来说,是值得的;

通过这种方式实现的参数加密传输,只需要通过修改注解,即改变接口是否加密,对接口的结构、参数、以及参数校验都没有影响。

起风了小猪仔
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
java注解加密参数,如何优雅的实现 Spring Boot 接口参数加密解密?
weixin_40006965的博客
03-22 895
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处...
springmvc拦截器对请求参数解密_通过拦截器Interceptor实现Spring MVCController接口访问信息的记录...
weixin_30418225的博客
01-13 731
java web工程项目使用了Spring+Spring MVC+Hibernate的结构,在Controller的方法都是用于处理前端的访问信息,Controller通过调用Service进行业务处理后给前端返回ModelAndView对象或者只返回Json格数据。如果能够获得Http请求在后端程序处理的相关信息,对于开发和调试时十分方便的。工程使用了Spring MVC的Interce...
Spring 拦截器实现请求拦截与参数处理拦截器Interceptor)和过滤器(Filter)的区别】
最新发布
weixin_42118323的博客
03-15 1232
项目需要使用请求头传输一个密文字符串,后端服务获取密文字符串后,进行解密验证,然后执行响应的业务,这里有好几个接口都用需要使用这个密文字符串,如果我们在每个接口进行校验处理,就显得太笨拙了,那有没有统一的处理方法呢?总结:过滤器只能在 Servlet 前后起作用,而拦截器能够到方法前后、异常抛出等,明显拦截器根具备深度,并且拦截器Spring 的一个组件,因此拦截器的使用具有更大的使用空间,在Spring沟架的程序建议优先使用拦截器,而非过滤器。如有不正确的地方请各位指出纠正。
HandlerInterceptor 拦截post参数进行校验字段合法性
liuhao0610的博客
04-25 362
/用于参数比较//在需要校验接口上加上注解,并传入需要比较dto。
拦截器HandlerInterceptor
热门推荐
爪哇人的博客
10-12 2万+
拦截器是相对于Spring来说的,它和过滤器不一样,过滤器的范围更广一些是相对于Tomcat容器来说的。拦截器可以对用户进行拦截过滤处理。请求进入Controller之前,通过拦截器执行代码逻辑Controller执行之后(只是Controller执行完毕,视图还没有开始渲染),通过拦截器执行代码逻辑Controller完全执行完毕(整个请求全部结束),通过拦截器执行代码逻辑。
HandlerInterceptorAdapter/HandlerInterceptor拦截器,并重复读取HttpServletRequest的getInputStream()方法
杨杨杨~~的博客
12-21 1210
HandlerInterceptorAdapter/HandlerInterceptor拦截器,并重复读取HttpServletRequest的getInputStream()方法
HandlerInterceptor拦截器使用
weixin_46649054的博客
06-30 2305
HandlerInterceptor拦截器使用 1.在springboot的使用 1.2自定义类实现HandlerInterceptor接口,重写三个方法 public class JWTInterceptor implements HandlerInterceptor { // 重写preHandle方法,在请求发生前执行,此处对每个请求的token进行校验 // 但是登陆的时候没有token就不能对登陆的接口进行拦截,所以要设置自定义的拦截规则 @Override
SpringBoot HandlerInterceptor实战
Myron_007的博客
10-17 528
HandlerInterceptorAdapter 是 Spring MVC 拦截器Interceptor)类,用于拦截请求的处理流程,包括请求的预处理、后处理和渲染视图等操作。它可以用于实现一些全局性的处理逻辑,例如日志记录、权限验证、请求参数处理等// 在请求处理之前执行,可以进行权限验证等操作 System . out . println("Pre Handle method is Calling");
Spring -- 通过拦截器使用注解校验参数
_William_Cheung的博客
12-01 1万+
前言: 上一篇介绍了,使用AOP的方去拦截校验参数,本章讲解使用拦截器校验参数,以及遇到的问题。 简介: Spring web mvc 处理拦截器,就是案例所用到的去校验参数,类似与serlvet开发里的filter过滤器。用于对拦截前及后处理。 常见场景: 日记记录、校验参数、权限检查等等。比喻我们在学习jdbc的时候,获取连接,最后关闭连接。其实本质也是AOP的方法(面向切面编
JavaScript实现QueryString获取GET参数的方法
10-27
无论是在页面初次加载时获取特定参数,还是在用户行为触发时动态调整页面状态,查询字符串都是传递数据的一个有效方。通过上述示例和详细解释,我们可以看到JavaScript提供了强大的API来处理这些需求。随着Web应用...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入
阿啄debugIT
02-09 2138
前言 SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入,以下是涉及的主要类: 原理过程 Springboot会使用FilterRegistrationBean来注册FilterFilterServlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...
HttpServletRequestWrapperspringmvc拦截器 搭配使用 拦截request请求获取 body的内容...
weixin_34101229的博客
04-11 2494
2019独角兽企业重金招聘Python工程师标准>>> ...
HandlerInterceptor拦截器使用总结
dayformyjob
06-01 3707
转载自 https://blog.csdn.net/weixin_36832313/article/details/79115693简介SpringMVC的处理拦截器,类似于Servlet开发的过滤器Filter,用于对请求进行拦截和处理。常见应用场景1、权限检查:如检测请求是否具有登录权限,如果没有直接返回到登陆页面。 2、性能监控:用请求处理前和请求处理后的时间差计算整个请求响应完成所消耗...
Java学习-5 折腾了几晚的FilterHandlerInterceptorAdapter、RequestWrapper
weixin_30624825的博客
08-14 430
直接上代码吧,懒得写了 1、过滤器,难点: service的调用,网上说可以Autowired,我试了半天不行,最后在init里去手动是可以了,而且观察也只会初始化一次,一样的。 body参数的获取后,流会关闭。如果不考虑其它地方还要再取值,可用ContentCachingRequestWrapper。 如果在拦截器等地方还要再取的话,要用RequestWrapper,代码...
慎用Spring HandlerInterceptorAdapter HandlerInterceptor 拦截器
lanicc's blog
03-15 1490
对于AsyncHandlerInterceptor这个实现,请求处理结束后,Spring并不会调用它的 postHandle 和afterCompletion方法,而是会异步的调用afterConcurrentHandlingStarted。HandlerInterceptorSpring提供的拦截器的拓展接口,一搬我们可能会通过这个拓展,实现用户登录信息的校验,把用户信息放到ThreadLocal向后传递,看这个方法的java doc描述,可知,不会。因此要小心,例如下面的代码。
Filter操作Request/Response数据】HttpServletRequestWrapper使用技巧(自定义session和缓存InputStream)
MayMatrix 的博客
09-11 1064
一、前言   javax.servlet.http.HttpServletRequestWrapper 是一个开发者可以继承的类,我们可以重写相应的方法来实现session的自定义以及缓存InputStream,在程序可以多次获取request body的内容。 二、自定义seesion import javax.servlet.http.*; public class CustomizeHttpServletRequest extends HttpServletRequestWrapper {
阿昌教你自定义拦截器&自定义参数解析器&自定义包装HttpServletRequest
阿昌爱Java
11-05 1321
前言 这次也是依然在学习开源项目Tduck-填鸭收集器的时,阿昌在研究这项目是如何进行安全校验的,我一开始在项目里面查Shiro/SpringSecurity,我以为他使用了市面主流的安全框架,但是发现,他根本没有使用,而是自定义了一系列的 拦截器&过滤器 来实现安全的校验。 比如,通过自定义注解来决定这个资源是否需要用户登录才能够访问。 在项目我发现的自定义注解有三个 @Login @LoginUser @NoRepeatSubmit 在开始前,放上SpringMVC的执行流程 镇场:
Springboot Shiro 诡异的POST请求第一次请求接收参数都为null 第二次请求正常
隔壁老瓦的专栏
06-19 3398
看现象: 第一次请求: 后端接收请求数据为null Shirohttpservlet 里面参数size 为0 第二次请求: var data = {id: 6, name: "cs", pid:"", description: "cs", available: 1}; $.ajax({type:"PO...
sql注入,XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求
wst260的博客
12-25 1226
首先创建一个类继承ServletRequestWrapper类,重写request请求 import java.io.StringReader; import java.io.StringWriter; import java.text.CharacterIterator; import java.text.StringCharacterIterator; import javax.serv...
为什么在HandlerInterceptor修改参数后Controller得到的参数依然修改前的呢
07-14
如果在HandlerInterceptor修改了GET请求的参数,但在Controller获取到的参数依然修改前的值,可能是因为HandlerInterceptor没有正确地将修改后的请求对象传递给下一个处理器。 在HandlerInterceptor的preHandle方法,我们可以通过修改请求对象的方修改参数值。然后,我们需要使用FilterChain的doFilter方法将修改后的请求对象传递给下一个处理器(可以是下一个拦截器或Controller)。 以下是一个示例代码,演示了如何在HandlerInterceptor正确传递修改后的请求对象: ```java import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class ModifyGetParameterInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { if (request.getMethod().equals("GET")) { // 获取原始参数值 String originalParamValue = request.getParameter("paramName"); // 修改参数值 String modifiedParamValue = originalParamValue + "_modified"; // 创建一个新的请求对象,并设置修改后的参数值 ModifiedRequestWrapper modifiedRequest = new ModifiedRequestWrapper(request); modifiedRequest.addParameter("paramName", modifiedParamValue); // 将修改后的请求对象传递给下一个处理器 return super.preHandle(modifiedRequest, response, handler); } return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 在postHandle方法不需要进行任何操作 } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 在afterCompletion方法不需要进行任何操作 } } ``` 在上述示例代码,我们使用super.preHandle方法将修改后的请求对象传递给下一个处理器。这样,在Controller获取到的参数将会是修改后的值。 需要注意的是,如果有多个HandlerInterceptor,确保在每个HandlerInterceptor的preHandle方法都正确地传递修改后的请求对象。只有在最后一个HandlerInterceptor的preHandle方法调用super.preHandle方法才能将请求传递给Controller。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

起风了小猪仔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值