springboot中使用filter实现body参数解密,header版本效验(接口加密)

最新推荐文章于 2024-05-01 13:12:46 发布
最新推荐文章于 2024-05-01 13:12:46 发布
阅读量3.4k 收藏 5
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40237472/article/details/105786321
版权

参数加密是当前比较流行的项目安全保护方式,防止接口被恶意调用。主要是利用RSA或者其他方式生成公钥和私钥。前端使用公钥对参数进行加密生成密文作为新的参数。后台在接收到密文参数后,使用私钥对密文进行解密后在使用明文参数。解密参数可以使用filter对指定请求进行参数解密,也可以在接口里面对参数进行解密。

springboot配置filter过滤器:

        1.创建filter类:

               

import com.hpm.blog.model.Appapk;
import com.hpm.blog.service.AppapkService;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.support.WebApplicationContextUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;

public class KevinTokenFilter implements Filter {

    private FilterConfig config;
    private AppapkService appapkService;


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        config = filterConfig;
        /**
         * 注入AppapkService对象  用户查询数据库

         */
        ServletContext sc = filterConfig.getServletContext();

        WebApplicationContext cxt = WebApplicationContextUtils.getWebApplicationContext(sc);

        if (cxt != null && cxt.getBean(AppapkService.class) != null && appapkService == null) {

            appapkService = (AppapkService) cxt.getBean(AppapkService.class);
        }
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        //如果这是个http请求
        if(request instanceof HttpServletRequest) {
          //强转成http请求
          HttpServletRequest req1 = (HttpServletRequest) request;
            //3.创建LogHttpServletRequestWrapper类继承HttpServletRequestWrapper,并且将http请求 req1放入到创建的LogHttpServletRequestWrapper类中。并且在此类中做解密操作。
            LogHttpServletRequestWrapper req = new LogHttpServletRequestWrapper(req1);
            Map<String, Object> parameterMap=new LinkedHashMap<>();
            String apk = req.getHeader("user-agent");//取出header中的版本信息
            int num = apk.indexOf("_");
            String apktype = apk.substring(0,num);
            String edition = apk.substring(num+1,apk.length());
            Appapk appapk = appapkService.queryAppapkbyheader(edition,apktype);
            //判断版本信息是否放行
            if (null != appapk) {
                /*if("GET".equals(req.getMethod())){
                    parameterMap= JSONUtil.parseObj(ServletUtil.getParams(request));
                }else{
                    parameterMap= JSONUtil.parseObj(req.getBody());
                }*/
                //放行访问
                chain.doFilter(req, response);
            } else {
                //否则默认访问index接口
//                wrapper.sendRedirect("https://www.baidu.com");
                req.getRequestDispatcher("/index").forward(request,response);
            }
        }

//        chain.doFilter(request, response);

//    HttpServletRequest request, HttpServletResponse response
    }

    @Override
    public void destroy() {

    }
}

2.将filter对象放入对象池中:

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class WebComponent2Config {
    @Bean
    public FilterRegistrationBean someFilterRegistration1() {
        //新建过滤器注册类
        FilterRegistrationBean registration = new FilterRegistrationBean();
        // 添加我们写好的过滤器
        registration.setFilter( new KevinTokenFilter());
        // 设置过滤器的URL模式
        registration.addUrlPatterns("/*");
        return registration;
    }
}

  3. //创建LogHttpServletRequestWrapper类继承HttpServletRequestWrapper

import com.hpm.blog.util.RSAEncrypt;
import net.sf.json.JSONObject;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;

public class LogHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private final String body;

    public LogHttpServletRequestWrapper(HttpServletRequest request){
        super(request);
        //创建字符缓冲区
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                //将输入流里面的参数读取到字符缓冲区
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        //s为接口请求参数字符串类型
        String s = stringBuilder.toString();
        if(!"".equals(s)){
            开始解密字符串类型参数
            JSONObject json = RSAEncrypt.decryptJson( JSONObject.fromObject(stringBuilder.toString()));
            body = json.toString();
        }else{
            body=s;
        }
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

}

关于参数加密、解密、生成RSA秘钥的方法:

import com.hpm.blog.model.ReturnResult;
import com.hpm.blog.util.Constants;
import com.hpm.blog.util.RSAEncrypt;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@RestController
public class RsamessageApi {

    @RequestMapping("/shengchengmiyao")
    public ReturnResult generatersakey(@RequestBody Map<String, String> map) throws Exception {
        String message = String.valueOf(map.get("message"));
        ReturnResult result = new ReturnResult();
        Map keyMap = RSAEncrypt.genKeyPair();
        //加密字符串
//        String message = "maojungang";
        System.out.println("随机生成的公钥为:" + keyMap.get(0));
        System.out.println("随机生成的私钥为:" + keyMap.get(1));
        String messageEn = RSAEncrypt.encrypt(message,(String)keyMap.get(0));
        System.out.println(message + "\t加密后的字符串为:" + messageEn);
        String messageDe = RSAEncrypt.decrypt(messageEn,(String)keyMap.get(1));
        System.out.println("还原后的字符串为:" + messageDe);
        Map Maps = new HashMap();
        Maps.put("随机公钥",keyMap.get(0));
        Maps.put("随机私钥",keyMap.get(1));
        Maps.put("加密字符串","maojungang");
        Maps.put("加密后字符串",messageEn);
        Maps.put("解密后字符串",messageDe);
        result.setData(Maps);
        result.setCode("10000");
        result.setMessage("查询成功");
        return result;
    }
    @RequestMapping(value = "/jiemi",method = RequestMethod.POST)
    public ReturnResult testrsakey(@RequestBody Map<String, String> map) throws Exception {
        String messageEn = String.valueOf(map.get("message"));
        ReturnResult result = new ReturnResult();
 //       Map keyMap = RSAEncrypt.genKeyPair();

        //加密字符串
//        String message = "maojungang";
        /*System.out.println("随机生成的公钥为:" + keyMap.get(0));
        System.out.println("随机生成的私钥为:" + keyMap.get(1));
        String messageEn = RSAEncrypt.encrypt(message,(String)keyMap.get(0));
        System.out.println(message + "\t加密后的字符串为:" + messageEn);*/
        //Constants.RSAPRIVITEKEY是用上面方法生成的私钥,用解密密文字符串
        String messageDe = RSAEncrypt.decrypt(messageEn, Constants.RSAPRIVITEKEY);
        System.out.println("还原后的字符串为:" + messageDe);
        Map Maps = new HashMap();
        Maps.put("加密后字符串",messageEn);
        Maps.put("解密后字符串",messageDe);
        result.setData(Maps);
        result.setCode("10000");
        result.setMessage("查询成功");
        return result;
    }
    @RequestMapping(value = "/jiami",method = RequestMethod.POST)
    public ReturnResult jiamikey(@RequestBody Map<String, String> map) throws Exception {
        String message = String.valueOf(map.get("message"));
        ReturnResult result = new ReturnResult();
        //Constants.PUBLICKEY是用上面方法生成的公钥,用于前端加密字符串生成密文
        String messageEn = RSAEncrypt.encrypt(message,Constants.PUBLICKEY);
        System.out.println(message + "\t加密后的字符串为:" + messageEn);
        Map Maps = new HashMap();
        Maps.put("加密后字符串",messageEn);
        result.setData(Maps);
        result.setCode("10000");
        result.setMessage("查询成功");
        return result;
    }
}

参数解密封装的工具类:

import net.sf.json.JSONObject;
import org.apache.commons.codec.binary.Base64;

import javax.crypto.Cipher;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.util.HashMap;
import java.util.Map;


public class RSAEncrypt {

    private static Map<Integer, String> keyMap = new HashMap<Integer, String>();  //用于封装随机产生的公钥与私钥

    /**
     * 随机生成密钥对
     * @throws NoSuchAlgorithmException
     */
    public static Map genKeyPair() throws NoSuchAlgorithmException {
        // KeyPairGenerator类用于生成公钥和私钥对,基于RSA算法生成对象
        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA");
        // 初始化密钥对生成器,密钥大小为96-1024位
        keyPairGen.initialize(1024,new SecureRandom());
        // 生成一个密钥对,保存在keyPair中
        KeyPair keyPair = keyPairGen.generateKeyPair();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();   // 得到私钥
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();  // 得到公钥
        String publicKeyString = new String(Base64.encodeBase64(publicKey.getEncoded()));
        // 得到私钥字符串
        String privateKeyString = new String(Base64.encodeBase64((privateKey.getEncoded())));
        // 将公钥和私钥保存到Map
        keyMap.put(0,publicKeyString);  //0表示公钥
        keyMap.put(1,privateKeyString);  //1表示私钥
        return keyMap;
    }
    /**
     * RSA公钥加密
     *
     * @param str
     *            加密字符串
     * @param publicKey
     *            公钥
     * @return 密文
     * @throws Exception
     *             加密过程中的异常信息
     */
    public static String encrypt( String str, String publicKey ) throws Exception{
        //base64编码的公钥
        byte[] decoded = Base64.decodeBase64(publicKey);
        RSAPublicKey pubKey = (RSAPublicKey) KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(decoded));
        //RSA加密
        Cipher cipher = Cipher.getInstance("RSA");
        cipher.init(Cipher.ENCRYPT_MODE, pubKey);
        String outStr = Base64.encodeBase64String(cipher.doFinal(str.getBytes("UTF-8")));
        return outStr;
    }

    /**
     * RSA私钥解密
     *
     * @param str
     *            加密字符串
     * @param privateKey
     *            私钥
     * @return 铭文
     * @throws Exception
     *             解密过程中的异常信息
     */
    public static String decrypt(String str, String privateKey) throws Exception{
        //64位解码加密后的字符串
        byte[] inputByte = Base64.decodeBase64(str.getBytes("UTF-8"));
        //base64编码的私钥
        byte[] decoded = Base64.decodeBase64(privateKey);
        RSAPrivateKey priKey = (RSAPrivateKey) KeyFactory.getInstance("RSA").generatePrivate(new PKCS8EncodedKeySpec(decoded));
        //RSA解密
        Cipher cipher = Cipher.getInstance("RSA");
        cipher.init(Cipher.DECRYPT_MODE, priKey);
        String outStr = new String(cipher.doFinal(inputByte));
        return outStr;
    }

    public static Map<String, Object> decryptMap(Map<String, Object> map){
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            entry.setValue(fordecrypt(String.valueOf(entry.getValue())));
        }
        return map;
    }
    public static JSONObject decryptJson(JSONObject jsonObject){
        Map<String, Object> map = new HashMap<String, Object>();
        map.putAll(jsonObject);
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            entry.setValue(fordecrypt(String.valueOf(entry.getValue())));
        }
        JSONObject json = JSONObject.fromObject(map);
        return json;
    }
    public static String fordecrypt(String str){
        String outStr = "";
        try{
            //64位解码加密后的字符串
            byte[] inputByte = Base64.decodeBase64(str.getBytes("UTF-8"));
            //base64编码的私钥
            byte[] decoded = Base64.decodeBase64(Constants.RSAPRIVITEKEY);
            RSAPrivateKey priKey = (RSAPrivateKey) KeyFactory.getInstance("RSA").generatePrivate(new PKCS8EncodedKeySpec(decoded));
            //RSA解密
            Cipher cipher = Cipher.getInstance("RSA");
            cipher.init(Cipher.DECRYPT_MODE, priKey);
            outStr = new String(cipher.doFinal(inputByte));
        }catch (Exception e){

        }

        return outStr;
    }


    /**
     * 解密算法 cryptograph:密文分段解密
     */
    public static String fordecrypts(String str){
/** 将文件中的私钥对象读出 */
        String outStr = "";
        try{
            //64位解码加密后的字符串
            byte[] inputByte = Base64.decodeBase64(str.getBytes("UTF-8"));
            byte[] keyBytes = Base64.decodeBase64(Constants.RSAPRIVITEKEY);
            PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
            KeyFactory keyFactory = KeyFactory.getInstance("RSA");
            Key privateK = keyFactory.generatePrivate(pkcs8KeySpec);
            Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
            cipher.init(Cipher.DECRYPT_MODE, privateK);
            int inputLen = inputByte.length;
            ByteArrayOutputStream out = new ByteArrayOutputStream();
            int offSet = 0;
            byte[] cache;
            int i = 0;
            // 对数据分段解密
            while (inputLen - offSet > 0) {
                if (inputLen - offSet > MAX_DECRYPT_BLOCK) {
                    cache = cipher.doFinal(inputByte, offSet, MAX_DECRYPT_BLOCK);
                } else {
                    cache = cipher.doFinal(inputByte, offSet, inputLen - offSet);
                }
                out.write(cache, 0, cache.length);
                i++;
                offSet = i * MAX_DECRYPT_BLOCK;
            }
            byte[] decryptedData = out.toByteArray();
            outStr = new String(decryptedData);
            out.close();
        }catch (Exception e){
            outStr="解密失败!";
        }
        return outStr;
    }
}
童心(成都)
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot项目报文加密(AES、RSAFilter动态加密
qq_38254635的博客
02-06 1603
Springboot项目报文加密(AES、RSAFilter动态加密
Spring boot + 前端RSA+AES加密后端解密整合Shiro
qq_38727189的博客
10-30 2464
&为了提高用户的安全性,明文传递有很大可能造成用户资料泄露,利用RSA和AES来进行前端加密和后端解密 RSA原理可以自行百度。 创建spring boot web项目,这个略过,项目基本依赖 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>...
Spring Boot对API参数进行RSA加密解密、签名、验签
laolitou_1024的博客
04-24 2741
在spring boot环境下,实现对rest api的参数rsa解密的方法类
基于Springboot拦截器对请求参数统一解密
最新发布
aa2325727631的博客
05-01 1330
基于Springboot拦截器对请求参数统一解密。因为每一个API接口的请求数据是不一样,如果直接在控制器进行解密那么就会产生大量的冗余代码,这是我们不希望看到的,最好的办法就是使用Springboot的拦截器在请求到达控制器之前将加密的数据进行解密,再继续发送给控制器,之后控制器就能愉快的处理解密完成的数据了。:此处做了一个判断,如果是上传文件就不需要对参数进行解密,直接把原本的request继续往下传递就可以,不然上传文件的流会被损害,导致无法上传文件。将解密后的参数覆盖之前的流。
SpringBoot 通过Filter与AOP实现请求加密解密功能
我就是我不一样的美男子!
09-30 5541
SpringBoot 通过Filter与AOP实现请求加密解密功能 对所有请求信息进行解密解密之后传入Controller进行处理,Controller 处理完成之后返回结果信息在进行加密返回; 执行流程: 前端请求(加密) -> Filter(解密) -> AOP -> Controller -> AOP(加密) -> Filter -> 前端(解密) 为什么这么设计?这么设计有什么好处? 通过Filter 可以修改请求入参,对于已经开发完成的接口完全不需要修
spring boot-使用Filter实现Header认证
热门推荐
牛奋lch
05-23 2万+
前言 假设客户端在http请求,已经加入了Header的认证信息,例如: HttpPost post = new HttpPost("http://localhost:8990/sendMail"); StringEntity entity = new StringEntity(json, "utf-8"); entity.setContentType("applicatio
接口安全防线加解密springboot 全局/指定接口解密(同时支持参数body和param)
LATER
03-21 3871
优势:通过注解形式,不需要改变原接口请求参数,在拦截器里面把加密数据解密为原接口请求参数 接口安全防线加解密springboot 全局/指定接口解密(同时支持参数body和param) 1.原理 1.1.过滤器,过滤所有请求,利用HttpServletRequestWrapper解决request流读取一次的处理,方便后续修改请求内容 1.2.自定义注解,通过自定义注解可以标识,指定哪些接口在拦截器处理数据 1.3.拦截器,拦截带有指定注解的请求,把数据进行加密解密后返回处理
SpringBoot使用Filter和Interceptor的示例代码
08-25
SpringBoot使用Filter和Interceptor的示例代码 在SpringBoot框架Filter和Interceptor是两个非常重要的概念,它们都可以用来拦截和处理HTTP请求,但是它们的实现机制和使用场景却有所不同。下面将详细介绍...
详解在Spring MVC或Spring Boot使用Filter打印请求参数问题
08-19
总之,正确处理在Spring MVC或Spring Boot使用Filter打印请求参数的关键在于在传递给过滤链之前先读取和保存请求体,以避免“Stream closed”异常。同时,了解和利用Spring提供的高级API如`WebMvcConfigurer`和`...
springboot使用filter获取自定义请求头的实现代码
08-26
在 Spring Boot Filter 可以通过实现 Filter 接口来创建。例如,下面是一个简单的 Filter 实现: ```java public class MyFilter implements Filter { @Override public void doFilter(ServletRequest ...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Springboot使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现...
在Spring MVC或Spring Boot使用Filter打印请求参数问题
12-21
通常,我们会使用AOP(面向切面编程)来实现这个功能,但有时我们也会选择在Filter实现Filter是Servlet技术的一部分,允许我们在请求到达Controller之前或离开Controller之后对请求和响应进行处理。 Spring提供...
springboot2-RSA加密解密(1)RequestBodyAdvice
个人工作学习内容总结
03-29 984
rsa解密方法可以在拦截器使用、也可以在RequestBodyAdvice使用,二者都是在请求到controller之前获取到参数,进行解密处理 1. vue安装encryptlong npm install encryptlong 在这里说明一下,使用encryptlong不会报加密数据过长 2. 创建jsencrypt.js /***** * RSA加密解密工具类 * **/ const {JSEncrypt} = require('encryptlong') // import { JSEn
SpringBoot使用RSA接口的请求和相应进行加密解密
中年人
06-24 556
SpringBoot使用RSA接口的请求和相应进行加密解密
Springboot 过虑器统一处理参数空格
Q604986394的博客
09-03 1010
废话不多说,代码仅供参考! package com.xyz.reports.configuration.filter; import cn.hutool.http.Header; import com.alibaba.fastjson.JSONArray; import com.alibaba.fastjson.JSONObject; import lombok.extern.slf4j.Slf4j; import org.apache.http.entity.ContentType; import
springboot项目实现 RSA 加密/解密工具
qq_36438844的博客
07-28 804
调用一次generateKeyPair生成公钥和私钥,pem文件保存在target的resources,而不是原码的目录下,不影响使用,可以自己复制过来,之后就不要在调用这个方法,否则密钥将被更新;前提说明:计划放置密钥的位置是resources下。
过滤器作为全局加解密的用法案例
liudaka的博客
03-09 1283
基于spring boot下的filter配置如下 解密的requestwrapper的实质是重写过滤器的方法达到全局的效果: /** * 全局解密filter * @package: com.i2f.training.comm.filter * @date: 2020/3/3 21:44 */ @Slf4j @WebFilter(urlPatterns = "/*",filterNam...
SpringBoot解压zip包,读取每个文件内容
m0_55841258的博客
10-27 1248
获取本地压缩包,解压后根据文件名称及类型,对读取的文件内容进行业务处理。
springboot接口数据加密参数和返回结果)
qq_45016971的博客
12-19 4470
springboot接口数据加密参数和返回结果)
springboot如何优雅的对接口数据进行加密解密
FighterLiu的专栏
11-08 4715
在系统开发的过程我们经常需要对外提供相应的API接口,为了保证系统数据的安全性,我们常常需要对传输的数据进行对称的加密。防止数据在传输的过程被抓包,造成信息的泄露。通常的做法是我们在每个接口方法的前面先对请求的数据进行解密解密完成后处理相应的业务逻辑,然后在对返回数据进行加密。这样做的坏处是代码太过于冗余,每写一个接口都要处理加密解密方法。有没有什么办法可以把加密解密的逻辑提取出来,在接口的方法我们只关注处理业务逻辑。答案肯定是有的,springboot的RequestBodyAdvice 和

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值