利用Filter和HttpServletRequestWrapper实现请求体中token校验

最新推荐文章于 2024-05-09 21:15:00 发布
最新推荐文章于 2024-05-09 21:15:00 发布
阅读量542 收藏 1
点赞数
文章标签: json java
原文链接:http://www.cnblogs.com/hhhshct/p/11228854.html
版权

  先说一下项目的背景,系统传参为json格式,token为其中一个必传参数,此时如果在过滤器中直接读取request,则后续controller中通过RequestBody注解封装请求参数是会报stream closed异常,一位InputStream是一个基础流,只能被读取一次。代码如下:

package com.hellobike.scm.filter;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.google.common.base.Strings;
import com.hellobike.basic.model.sys.ScmUser;
import com.hellobike.basic.util.Utils;
import com.hellobike.scm.conf.UserThread;
import com.hellobike.scm.service.RedisCacheService;
import com.hellobike.scm.service.RedisService;
import com.hellobike.scm.util.LoginUserUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.context.support.SpringBeanAutowiringSupport;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Map;
import java.util.Set;

public class AuthFilter implements Filter {

    private static final Logger logger = LoggerFactory.getLogger(AuthFilter.class);


    @Autowired
    private RedisCacheService redisCacheService;


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        SpringBeanAutowiringSupport.processInjectionBasedOnServletContext(this, filterConfig.getServletContext());
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        String method = httpRequest.getMethod();
        httpResponse.setHeader("Access-Control-Allow-Origin", "*");
        httpResponse.setContentType("application/json; charset=utf-8");
        httpResponse.setHeader("pragma", "no-cache");
        httpResponse.setHeader("cache-control", "no-cache");
        LoginUserUtil.removeCurrentUserInfo();

        String requestUrl = httpRequest.getRequestURI();
        //|| requestUrl.contains("/systemConfig/getUpgradeInfo")
        if (requestUrl.contains(".css") || requestUrl.contains(".js") || requestUrl.contains(".png")
                || requestUrl.contains(".jpg") || requestUrl.contains("/execption/")||requestUrl.contains("/sys/main/login") ||requestUrl.contains("/sys/main/checkCode")) {
            // 如果发现是css或者js文件,直接放行
            filterChain.doFilter(request, response);
            return;
        }
        String userAgent = httpRequest.getHeader("User-Agent");
        String reqCxtType = httpRequest.getContentType();
        boolean isJsonType = shouldLog(reqCxtType);
        String token = null;
        Map<String, String[]> param = request.getParameterMap();
        if (param.containsKey("token")) {
            token = param.get("token")[0];
            logger.info("authFilter中get请求token值为{}"+token);
        }
        if (token == null) {
            String body = null;
            // 再从contentType取token
            if (isJsonType) {
                httpRequest = new RequestWrapper((HttpServletRequest) request);
                body = ((RequestWrapper) httpRequest).getBody();
                JSONObject params = JSON.parseObject(body);
                logger.info("post param is {}", body);
                if (params == null) {
                    request.getRequestDispatcher("/admin/execption/tokenError").forward(request, response);
                    return;
                }
                token = params.getString("token");
            }
        }
        // 最后从form_data里面取token
        if (null == token) {
            if (request.getContentType() != null && request.getContentType().contains("multipart/form")) {
                MultipartHttpServletRequest multiReq = null;
                try {
                    multiReq = new CommonsMultipartResolver().resolveMultipart(httpRequest);
                    token = multiReq.getParameter("token");
                    logger.info("multiReq token=" + token);
                    // request = multiReq;
                } catch (Exception e) {
                    logger.info("MultipartHttpServletRequest异常");
                    e.printStackTrace();
                }
            }
        } 
        if (isJsonType && !tokenAvailable(token, userAgent)) {
            request.getRequestDispatcher("/admin/execption/tokenError").forward(request, response);
            return;
        } 
        if (!tokenAvailable(token, userAgent)) {
            request.getRequestDispatcher("/admin/execption/tokenError").forward(request, response);
            return;
        }
        // url权限校验
           ScmUser adminUser = JSON.parseObject(redisCacheService.getToken(token),ScmUser.class);
           UserThread.setValue(adminUser);
            String userName = null;
            if (adminUser != null) {
                userName=adminUser.getUserName();
                LoginUserUtil.setCurrentUserName(userName);
            }
            //判断是否系统升级
            if(upgrade(userName,requestUrl)){
                request.getRequestDispatcher("/systemConfig/getUpgradeInfo").forward(httpRequest, response);
                return;
            }

            logger.info("data的值{}", userName);
            String permiCode = (String) redisCacheService.getUserPermission(userName, requestUrl);
            logger.info("requestUrl={},permiCode={}", requestUrl, permiCode);
            if (permiCode != null && "None".equals(permiCode)) {
                // returnTokenError(httpResponse,ErrorCode.UNAUTHORIZED);
                request.getRequestDispatcher("/admin/execption/unauthorized").forward(request, response);
                return;
            }
        filterChain.doFilter(httpRequest, httpResponse);
    }

    private boolean upgrade(String userName,String requestUrl){
        Set<String> userNames = redisCacheService.get("scm_upgrade_tag" , Set.class);
        if (userNames != null&& (!requestUrl.equals("/systemConfig/getUpgradeInfo")) &&(!userNames.contains(userName))) {
            return true;
        }
        return false;
    }

    private boolean tokenAvailable(String token, String userAgent) {
        if (Strings.isNullOrEmpty(token)) {
            return false;
        }
        try {
            String data = redisCacheService.getToken(token);
            if (Utils.isEmpty(data)) {
                return false;
            }
            redisCacheService.set(token, data, 1200);
        } catch (Exception e) {
            logger.info("校验token失败");
        }
        return true;
    }

    @Override
    public void destroy() {

    }

    private boolean shouldLog(String contentType) {
        String jsonType = "application/json";

        if (contentType == null) {
            return false;
        }
        String[] cells = contentType.split(";");
        for (String cell : cells) {
            if (cell.trim().toLowerCase().equals(jsonType)) {
                return true;
            }
        }

        return false;
    }
}
package com.hellobike.manage.flter;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.HashMap;
import java.util.Map;

public class RequestWrapper extends HttpServletRequestWrapper {
    private final String body;
    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        try {
            InputStream inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
            throw ex;
        } finally {
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException ex) {
                    throw ex;
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new     ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

    private Map<String , String[]> params = new HashMap<String, String[]>();


    public void setParameter(String name, Object value) {
        if (value != null) {
            System.out.println(value);
            if (value instanceof String[]) {
                params.put(name, (String[]) value);
            } else if (value instanceof String) {
                params.put(name, new String[]{(String) value});
            } else {
                params.put(name, new String[]{String.valueOf(value)});
            }
        }
    }

    @Override
    public String getParameter(String name) {
        String[]values = params.get(name);
        if(values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }

}

  下面说一下我遇到的坑,系统要做一个简单的系统升级界面,此时用户不可访问,因此做了个请求转发,在springboot1.5.1版本中,FilterRegistrationBean默认会拦截转发的请求,此时request.getRequestDispatcher("/systemConfig/getUpgradeInfo").forward(request, response)会被再次拦截,因为request中流已被读取,所以此时RequestWrapper会报stream closed。在springboot2.0.4版本中,FilterRegistrationBean默认不会拦截转发(FORWARD)类型的请求,所以不会报stream closed,所以第一个坑就是FilterRegistrationBean默认的拦截类型的设置。修改转发方法传参为httpRequest,即使用RequestWrapper封装后的httpRquest,转发方式变为request.getRequestDispatcher("/systemConfig/getUpgradeInfo").forward(httpRquest, response),此时在配置FilterRegistrationBean拦截转发(FORWARD)类型的请求后,会出现无限循环的现象,一直转发下去,这也是第二个坑,因此我们要在转发是否的判断条件是将我们要转发的URL排除在外,即

requestUrl.equals("/systemConfig/getUpgradeInfo")不再进行转发。

  问题虽然简单,但是前前后后还是浪费不少时间,特记录一下

转载于:https://www.cnblogs.com/hhhshct/p/11228854.html

weixin_30426065
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HttpServletRequest
qq_57756904的博客
08-26 319
调用第三方接口、拦截器以及过滤器等场景都要求对HttpServletRequestServletRequest有一定深度的认识,才可以应对相应的需求。
使用HttpServletRequestWrapperfilter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
FilterHttpServletRequestWrapper 用法
weixin_34072458的博客
04-26 962
2019独角兽企业重金招聘Python工程师标准>>> ...
Servlet 会话管理详解(HttpSession、Token和Cookie)
swadian2008的博客
03-01 2655
会话(session)是指用户与服务器之间的一种交互模式,也称为服务器端会话(server-side session)或会话状态(session state)。在 Web 开发中,会话可以在用户登录网站时创建,并在用户退出或超时时结束。在会话期间,服务器可以在不同的页面之间共享数据,并跟踪用户的行为。会话的实现通常使用 session ID 来标识一个会话。
关于HttpServletRequestWrapperFilter过滤器的使用
最新发布
f374157531的博客
05-09 580
解决HttpServletRequest只能读取一次流后无法获取的问题。解决整合Filter过滤器时遇到的问题:过滤器urlPatterns不生效、过滤器不起作用。
在Spring MVC或Spring Boot中使用Filter打印请求参数问题
12-21
通常,我们会使用AOP(面向切面编程)来实现这个功能,但有时我们也会选择在Filter实现FilterServlet技术的一部分,允许我们在请求到达Controller之前或离开Controller之后对请求和响应进行处理。 Spring提供...
javaFilter过滤器处理中文乱码的方法
09-05
- 对于POST请求,如果请求体的数据是乱码,需要在`doFilter()`方法中使用`HttpServletRequestWrapper`包装原始请求,并覆盖`getInputStream()`方法,以便在读取输入流之前设置字符编码。 5. **其他解决方案**: -...
filterrequest请求拦截,对请求参数进行修改
10-08
request请求进行拦截,对请求参数修改。常用于前台提交表单参数关键字的过滤。此工具可以对参数拦截并转义后提交到对应的处理类。 除了添加两个JsFilter.java和GetHttpServletRequestWrapper.java之外,需要在web....
java filter打印请求返回参数
11-08
通过以上步骤,我们可以实现Java Web应用中通过Filter来打印请求和响应的数据。这种方法不仅能够帮助我们更好地理解和调试程序逻辑,还能为后续的日志记录和性能分析提供有用的信息。此外,通过对请求和响应的封装...
Filter过滤器及HttpServletRequestWrapper使用
热门推荐
进修的CODER
05-07 1万+
Filter过滤器是一种比较实用的东西,可以过滤不良信息,对提交来的信息进行处理。是Request和Response之间的传输纽带。 具有重要作用,下面用一个Filter过滤器的程序来熟悉过滤器的使用。在提交的数据信息中,有一些信息需要过滤掉。例如, 一些暴力情色信息,我们可以通过过滤器来过滤掉这些信息,过滤器功能代码如下: public class WordFilter im...
编程校验token有效性
Wangyunqian_piu的博客
11-05 2287
2021SC@SDUSC 每次访问接口的时候都需要验证传递token的有效性,常规的办法就是在每个接口中判断token的有效性,但是如果在较大的项目中有太多接口的情况下,每次都进行token校验会太过麻烦。所以写出程序进行编程校验token有效性。 首先,获取request中传递的token public class TokenUtils { public static String getTokenByRequest(HttpServletRequest request) {
关于postman中传参TOKEN的位置,HttpServletRequest请求头中设置,设置heaher
weixin_61503139的博客
11-28 1096
1.直接传值2.在请求头中传值。
登录拦截器LoginFilter正确打开方式(Token验证、将统一参数放入ServletRequest中)
weixin_45100257的博客
04-28 793
登录拦截器LoginFilter正确打开方式(Token验证、将统一参数放入ServletRequest中)
基于httpServer的web服务器简易搭建+基于jwt的token鉴权 身份验证【java/postman】
qq_43129107的博客
06-21 738
使用用户名和密码去请求,通过算法生成token,但是token不存储在服务器,随后直接把token返回给客户端。一个token分为三个部分,第一部分是Header,第二部分是用户相关信息,第三个部分是签名,相当于一把锁,前两个部分通过HMAC-SHA256算法生成一把钥匙。 需要判断钥匙和锁是否匹配,但是不会直接拿密钥和签名对比,而是重新计算出一个签名(锁),比较两把锁是否相同。......
HttpServletRequest入参校验方法
meser88的博客
05-17 886
/*** HttpRequest的转换类*/public class RequestUtil { private static Pattern filePattern1 = Pattern.compile("[/./.\\\\/:,&lt;&gt;+\"^]"); private static Pattern filePattern2 = Pattern.compile("[/./.\\\\...
(下篇)java通过http请求请求三方接口:设置请求头,请求
qq_61367293的博客
10-25 2274
通过http请求调用三方接口
通过拦截器和注解方式,实现HttpServletRequest方式参数校验
nnmxyz的博客
12-16 2552
本例基于springboot,HttpServletRequest传参方式作参数校验,通过自定义拦截器获取HttpServletRequest请求,在拦截器里根据自定义注解做参数校验。代码如下: 首先是两个用于指定校验类型的注解: @CheckParams和@CheckRule,@CheckParams中有一个CheckRule[]数组,用于实现可指定多个参数的校验规则: @Target(Elem...
基于jetty httpservlet JWTtoken cookie实现一个api 的验证安全机制
潜行IT的博客
11-08 546
先介绍HttpServletRequest 用户请求对象 1.用户请求对象包含:  请求行  请求头   请求体      // 获取请求的网址     System.out.println(request.getRequestURL());     // http://localhost:8080/sh-web-servlet02/demo08     System.out.println(...
java中的token认证
qq_39554240的博客
04-28 793
上篇博文写了限制ip访问次数,这次写token认证。token认证必须是在用户登录之后,用jwt生成,然后将token信息存到response的消息头中来实现的。首先要放行登录的controller,未登录之前不需要token认证,登录之后再进行token认证。验证过程为:首先获取头信息,取出头信息中的内容。调用工具类获取出用户名,根据已登录的用户名集合判断是否是登录状态,登录的用户名集合是存放在...
HandlerInterceptor如何重新设置请求
09-06
在SpringMVC中,如果需要重新设置请求体,可以使用HttpServletRequestWrapper来包装请求。首先,在自定义的Interceptor中,我们可以通过HttpServletRequest的getInputStream方法获取到请求体的内容。然而,一旦读取了请求体,后续的流程就无法再次读取了,导致请求处理失败。为了解决这个问题,我们可以使用HttpServletRequestWrapper类来对原始请求进行包装,以实现请求体的重复读取。 具体的代码如下所示: ```java public class MyHttpServletRequestWrapper extends HttpServletRequestWrapper { private final String body; public MyHttpServletRequestWrapper(HttpServletRequest request) throws IOException { super(request); body = getRequestBody(request); } @Override public ServletInputStream getInputStream() throws IOException { final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes()); return new ServletInputStream() { @Override public int read() throws IOException { return byteArrayInputStream.read(); } }; } private String getRequestBody(HttpServletRequest request) throws IOException { // 从原始请求中获取请求体 BufferedReader reader = request.getReader(); StringBuilder sb = new StringBuilder(); String line; while ((line = reader.readLine()) != null) { sb.append(line); } return sb.toString(); } } ``` 在Interceptor的preHandle方法中,我们可以将原始的HttpServletRequest替换为自定义的HttpServletRequestWrapper,以实现请求体的重新设置。具体代码如下所示: ```java @Component @Slf4j public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求体的内容 String body = StringUtils.EMPTY; if (request instanceof MyHttpServletRequestWrapper) { body = ((MyHttpServletRequestWrapper) request).getBody(); } // 在这里可以对请求体进行处理或重新设置 // ... return true; } } ``` 通过这种方式,我们就可以在Interceptor中重新设置请求体,并且不会影响到后续的请求处理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [在Springboot HandlerInterceptor中获取GET和POST请求参数](https://blog.csdn.net/xindoo/article/details/127464604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [浅谈SpringMVC HandlerInterceptor诡异问题排查](https://download.csdn.net/download/weixin_38659248/12749173)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值