Spring MVC系列(一): 利用切面编程进行加密

最新推荐文章于 2023-11-08 16:07:34 发布
最新推荐文章于 2023-11-08 16:07:34 发布
阅读量728 收藏 2
点赞数
文章标签: java 测试 web.xml
原文链接:https://my.oschina.net/u/3959491/blog/2253160
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

问题描述

以一个常见的场景举例。

  • 客户端传个服务器一个用户ID和token值,服务器验证token并根据ID返回数据
  • 传来的token参数已经加密,服务器要根据用户ID查出AES密钥,进行解密,再验证token,并把返回信息加密。

基本功能

使用Spring MVC构建这个简单的接口。

UserController类

使用@Controller注解声明控制器。@RequestMapping注解映射地址。@Autowired注解自动注入UserService对象,执行业务逻辑。@RequestParam注解绑定参数。

@Controller
@RequestMapping(value = "/user")
public class UserController {
    
    @Autowired
    @Qualifier("userService")
    private UserService userService;
    
    
    @RequestMapping(value="/message",method=RequestMethod.GET)
    public @ResponseBody UserModel message(@RequestParam("id") String id,@RequestParam("token") String token){
        return userService.message(id,token);
    }
}

UserService类

@Service注解声明服务类。从UserDao中查到用户信息并返回。

@Service("userService")
public class UserService {
    @Autowired
    @Qualifier("userDao")
    private UserDao userDao;
    
    public UserModel message(String id,String token){
        
        /*验证token......*/
        return userDao.getUserById(id);
    }
}

UserDao类

@Repository注解声明仓库类。此处模拟一个数据返回。(Spring MVC 提供的JDBC工具类还是不错的)

@Repository("userDao")
public class UserDao {

    public UserModel getUserById(String id){
        UserModel user=new UserModel();
        user.setUserName("MagicWolf");
        user.setEmail("dai.dongliang@foxmail.com");
        return user;
    }
}
UserModel类

一个简单的POJO对象

public class UserModel{
    private String userName;
    private String email;
    public String getUserName() {
        return userName;
    }
    public void setUserName(String userName) {
        this.userName = userName;
    }
    public String getEmail() {
        return email;
    }
    public void setEmail(String email) {
        this.email = email;
    }
}
web.xml

配置Spring MVC。此处简化了些配置,没有使用模块化配置。

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="WebApp_ID" version="3.0">
    <!--字符过滤器-->
    <filter>
        <filter-name>CharacterEncodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>utf-8</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CharacterEncodingFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
            
    <!-- spring 前端控制器 -->
    <servlet>
        <servlet-name>WebTest</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>WebTest</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

</web-app>
WebTest-Servlet.xml

Spring配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
    xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:context="http://www.springframework.org/schema/context"
    xmlns:aop="http://www.springframework.org/schema/aop"
    xsi:schemaLocation="
        http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/aop
        http://www.springframework.org/schema/aop/spring-aop.xsd
        http://www.springframework.org/schema/mvc
        http://www.springframework.org/schema/mvc/spring-mvc.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context.xsd">

    <!-- 注册注解驱动特性 -->
    <mvc:annotation-driven />  
    <!-- 开启注解装配 -->
    <context:annotation-config />
    <!-- 扫描注解 -->
    <context:component-scan base-package="com.magicwolf" />       
    <!-- 内容视图解析器 -->
    <bean class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver">
        <property name="mediaTypes">
            <map>
                <entry key="json" value="application/json" />
            </map>
        </property>
        <property name="defaultContentType" value="application/json" />
    </bean>
    <!-- 视图解析器 -->
    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix" value="/WEB-INF/jsp/" />
        <property name="suffix" value=".jsp" />
    </bean>
</beans>
测试

在浏览器输入http://localhost:8080/WebTest/user/message?id=123&token=123
可以看到返回了用户信息,基本功能完成。

返回值
{
userName: "MagicWolf",
email: "dai.dongliang@foxmail.com"
}

解密/加密功能

方案一:过滤器+拦截器

  • Spring MVC中有拦截器可以在处理方法执行前拦截,其实内部也是用的切面编程。
  • 由于`HttpServletRequest``没有提供改变请求参数的接口,所以需要包装一下,使用自己的Request。
HttpRequestWapperFilter类

doFilter方法中,使用自己的包装类替换HttpServletRequest

public class HttpRequestWapperFilter implements Filter{
    @Override
    public void destroy() {}
    @Override
    public void init(FilterConfig arg0) throws ServletException {}

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        request=new HttpRequestWapper((HttpServletRequest)request);
        chain.doFilter(request, response);
    }
}
HttpRequestWapper类
  • 继承HttpServletRequestWrapper。
  • Spring MVC在绑定参数过程中使用getParameterValues方法,所以我们重写这个方法。
  • 增加一个私有属性key表示加密密钥。
  • 如果不怕麻烦完全可以在这一步从request中得到ID参数,然后写JDBC操作查到用户密钥进行解密。但是我想在Spring中使用之前写好的数据库操作类UserDao,所以把查密钥这一步放到了拦截器中。
class HttpRequestWapper extends HttpServletRequestWrapper{
    private String key;
    public HttpRequestWapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] strs=super.getParameterValues(name);
        if(name.equals("id")){
            for(int i=0;i<strs.length;i++)
                strs[i]=AESCodec.decrypt(strs[i], key);//AES解密
        }
        return strs;
    }
    public void setKey(String key) {
        this.key = key;
    }
}
UserMessageInterceptor类

在拦截器里可以方便的使用SPring注入UserDao。在preHandle方法中设置key的值

public class UserMessageInterceptor extends HandlerInterceptorAdapter{
    @Autowired
    @Qualifier("userDao")
    private UserDao userDao;
    
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        String key=userDao.getAESKeyByUserId(request.getParameter("id"));
        ((HttpRequestWapper)request).setKey(key);
        return true;
    }
}
web.xml

在配置文件中加入包装类的过滤器

    <filter>
       <filter-name>HttpWapperFilter</filter-name>
       <filter-class>com.magicwolf.HttpRequestWapperFilter</filter-class>
    </filter>
    <filter-mapping>
       <filter-name>HttpWapperFilter</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>
WebTest-Servlet.xml

加入拦截器配置

<mvc:interceptors>    
   <mvc:interceptor>    
       <mvc:mapping path="/user/**" />  
       <bean class="com.magicwolf.UserMessageInterceptor"></bean>    
   </mvc:interceptor>  
</mvc:interceptors>
测试
  • 在浏览器输入http://localhost:8080/WebTest/user/message?id=123&token=0lCQPVTc8WCNP2FxocbC7Q==
  • 此时token值已经经过加密,在控制器message方法中打印token参数,可以成功打印出123
返回信息加密

返回信息的加密原理上跟解密一样,而且本文重点也不在这,所以这里就简单说一下思路。

  • 包装HttpServletResponse对象,添加一个toByteArray()方法返回输出缓冲区的内容
  • 在过滤器中先调用doFilter执行请求,之后使用toByteArray()方法得到缓冲区字节,在进行加密。

方案二:切面编程

使用了Spring的AOP后,解决这个问题就变的轻松加愉快了。关于AOP这里就不做详细描述了。

AESAspect类

声明切面。

  • @Component注解用于声明组件。
  • @Aspect注解用于声明切面。
  • @Pointcut注解声明切点,括号里是切点表达式,这里定位到UserService类的message方法
  • @Around声明是环绕通知方法
@Component("AESAspect")
@Aspect
public class AESAspect {

    @Autowired
    @Qualifier("userDao")
    private UserDao userDao;

    @Pointcut("execution(* com.magicwolf.UserService.message(..))")
    public void messagePointcut() {}

    @Around("messagePointcut()")
    public UserModel messagePointcut(ProceedingJoinPoint point) throws Throwable {
        Object[] args = point.getArgs();
        String id = (String) args[0];
        String key = userDao.getAESKeyByUserId(id);
        AESCodec.decrypt((String) args[1], key);
        // 执行
        UserModel result = (UserModel) point.proceed(args);
        // 返回值加密
        result.encrypt(key);
        // 返回结果
        return result;
    }
}
UserModel类

在UserModel中添加一个加密成员变量的方法

public void encrypt(String key){
    this.userName=AESCodec.encrypt(userName, key);
    this.email=AESCodec.encrypt(email, key);
}
WebTest-servlet.xml

更改代理方式,使用cglib代理来替换JDK代理。

<aop:aspectj-autoproxy proxy-target-class="true" />
测试

在浏览器中输入http://localhost:8080/WebTest/user/message?id=123&token=0lCQPVTc8WCNP2FxocbC7Q==

返回值

此时返回值已经加密

{
userName: "U/6CJMzF1IRV/HpEjDJPEQ==",
email: "kQAV7t4611RYADmDC69odyQmES+MXv+p4OmYMC8fSoU="
}

总结

  • 通过两种方法的对比可以看到,使用切面编程,模块间耦合程度很低,架构清晰,易于实现。
  • 但是这仅仅是一个小小的测试,如果项目规模扩大,想要织入一个功能就需要经过精心的设计,从何处切入,切点如何组织都是需要考虑的。如果没设计好,切面部位或许将成为一个重灾区(认证系统里的加密切面就显得有些凌乱,庞杂,但我也不知道该如何优化)
  • 还有个小问题,拦截器里应该是可以直接对request对象进行包装的,可是我在拦截器里进行包装却没有效果,可能是此处的request对象只是一个拷贝吧。

欢迎工作一到五年的Java工程师朋友们加入Java架构开发:855801563

群内提供免费的Java架构学习资料(里面有高可用、高并发、高性能及分布式、Jvm性能调优、Spring源码,MyBatis,Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等多个知识点的架构资料)合理利用自己每一分每一秒的时间来学习提升自己,不要再用"没有时间“来掩饰自己思想上的懒惰!趁年轻,使劲拼,给未来的自己一个交代

转载于:https://my.oschina.net/u/3959491/blog/2253160

weixin_33835690
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
针对SpringBoot项目中的参数传递使用 RSA加密机制保证安全性进行封装成工具(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
springboot 对 RequestBody入参统一加解密处理
weixin_40951507的博客
12-30 555
在使用的过程中,大家注意1、开启 加密的同时,需要在springboot启动类上面加@EnableSecurity 注解便spring初始化对应的bean信息2、在生成环境使用,请注意关闭openlog3、开发的过程中,可以将open设置为false4、如果使用其它加密算法可以自行修改EncryptResponseBodyAdvice 类5、最后加密比较耗性能,注意只有在安全级别较高时使用,对具体的方法加密需要添加@Decrypt。
Spring AOP面向切面编程之基于@Aspect或者@RestControllerAdvice实现的全局参数校验器ParamValidateAspect
lin451791119的博客
08-06 1742
Spring framework框架为我们提供了很多有用的工具,比如Validation类用于处于HTTP请求的参数校验。 import org.springframework.validation.Errors; import org.springframework.validation.FieldError; import org.springframework.validation.ObjectError; 我们可以在Controller层获取Error来判断是否校验失败,但是这样每一个Cont
SpringBoot 实现数据加密存储的五种方式
庄周de蝴蝶的博客
11-08 1311
最近由于项目需要做等保,其中有一项要求是系统中的个人信息和业务信息需要进行加密存储。经过一番搜索,最终总结出了五种数据加密存储的方法(结合SpringBoot和框架进行实现),不知道家人们在项目中使用的是哪种方式🤔,如果有更好地方式也欢迎一起交流😊~~~,本文所贴出的完整代码已上传到GitHub。
AOP实现对多数据类型字段进行加密解密
qq_41683000的博客
12-01 1166
AOP实现对多数据类型字段进行加密解密
Springboot AOP实现指定敏感字段数据加密 (数据加密篇 二)
默默不代表沉默
11-17 9501
前言 最近项目组开始关注一些敏感数据的明文相关的事宜 , 其实这些东西也是都有非常成熟的解决方案。 既然最近着手去解决这些事情,那么也顺便给还未了解的大伙普及一下。 这个系列就暂短的分成两篇 : 第一篇 yml配置文件里敏感数据的加密 第二篇 传入数据敏感数据的加密存储 本篇是第二篇 正文 先看看效果 : 数据存入数据库表内, 手机号phone和邮箱email 属于敏感数据,我们需要密文存储 : 但是我们想动态一点, 那些插入接口 需...
springboot通过AOP使接口参数加密&解密
qq_15076569的博客
09-17 8797
1.通过AOP在每个接口请求之前将前端传来的加密数据进行解密,将解密后的参数通过反射赋值给接口参数上。将接口返回的结果值进行加密返回个前端。 import com.alibaba.fastjson.JSON; import com.company.project.common.annotations.InterfaceFace; import com.company.project.comm...
springboot 自定义注解使用AOP实现请求参数解密以及响应数据加密
11-23 6430
一、前言 本篇文章将依托与SpringBoot平台,自定义注解用来标识接口请求是否实现加密解密。使用AOP切面来具体操作解密加密,实现对源代码的低耦合,不在原基础上做很大的改动。 本篇文章的所有示例,都上传到我的github中,欢迎大家拉取测试,欢迎stargithub 实现要求: 自定义一个注解@Secret,用来标识需要实现加密解密 作用在Controller类上,表示此Controller类的所有接口都实现加密解密 作用来单一方法上,表示此接口方法需要实现加密解密 使用AOP.
利用aop 在访问接口修改之前 将前端参数修改(加密aes)
qq_43028226的博客
09-21 331
import java.lang.annotation.*; /** * @author :Nan * @date :Created in 2021/9/19 13:26 * @description:注解 * @version: $ */ @Target({ElementType.PARAMETER, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Interface
请求参数和应答数据统一加解密
gjp014的专栏
02-28 718
一,针对请求参数和应答数据都是json格式时,可以通过,下面的方式,进行统一的的加解密。 1. 设置配置文件。 @Bean public MappingJackson2HttpMessageConverter customJackson2HttpMessageConverter() { MappingJackson2HttpMessageConverter jsonConverter = new MappingJackson2HttpMessageConverter();
spring mvc+spring+mybatis+maven的联合联系,附带数据库脚本
01-23
搭建基于spring mvc,spring,mybatis的一个练习小demo,可帮助练习三大框架的搭建,demo设计的小知识点也比较多,登录的拦截器、aop的切面配置、国际化、以及.properties文件中敏感内容的加密与对应的spring配置。
JAVAspring学习资料
03-29
它提供了一种轻量级的、非侵入式的开发方式,通过依赖注入和面向切面编程等特性,简化了Java应用程序的开发过程。 Java Spring框架由多个模块组成,每个模块都提供了不同的功能,可以根据项目需求选择使用。其中最...
采用Spring+SpringMVC+Hibernate实现的网络招标平台
最新发布
04-26
该平台整合了Spring框架的依赖注入和面向切面编程的特性,SpringMVC框架的MVC模式以及Hibernate框架的对象关系映射和数据库操作功能,为用户提供了高效、稳定的招标解决方案。 这个网络招标平台为招标方和投标方...
spring-boot示例项目
03-25
该项目包含helloworld(快速入门)、web(ssh项目快速搭建)、aop(切面编程)、data-redis(redis缓存)、quartz(集群任务实现)、shiro(权限管理)、oauth2(四种认证模式)、shign(接口参数防篡改重放)、encoder(用户...
Java实现http接口参数和返回值加密
站在墙头上的博客
12-05 9235
Java实现接口参数和返回值加解密
AOP切面实现加密解密遇到的问题
Mango_yoo的博客
08-25 870
一、需求 被@EncryptMethod标注的方法为切入点,对被@EncryptField注解标注的参数进行加密解密。 二、问题列表 (基本等于初次使用切面,遇到的问题有些许智障,不许嘲笑,嘲笑我就打你????) 问题一: 能进入增强方法,但无法进入目标业务方法 解决: 没有调用 point.proceed(),该方法旨在调用目标方法,并获取其返回值。(没有调用该方法又怎么会进入业务呢????,我是白痴) 问题二: 获取参数上的注解(刚开始一直着眼于单个参数上的注解,比如其中一个参数@EncryptFiel
Spring 简单实现AOP 以及利用@Around获取返回值
Naokiz的博客
12-14 9234
提起AOP都明白,面向切面编程,但到了具体实现,就开始犯愁了,这里举个例子 先写个测试接口用来调用 package com.MySpringBootTest.start.Controller; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import org.springframework.web.bind.annotation.RequestMapping; import org.sprin
注解+切面实现对外开放接口加解密
Ying的博客
01-08 1008
需求 有这么个需求,要做一个对外接口,请求body只有一个加密串,首先要对获取的加密串解密,然后用ObjectMapper转换为对象,然后进入业务逻辑,然后不管业务逻辑怎么样,最后返回的结果也需要加密成一个加密串返回。如下图,请求和返回都加密了然后直接放body中。 如果说在每个Controller都加上加密解密逻辑很繁琐,那么用注解+切面就是个不错的选择。在实现过程中发现,要把切面处理后的结果...
HttpServletRequestWrapper 与 springmvc拦截器 搭配使用 拦截request请求获取 body中的内容...
weixin_34101229的博客
04-11 2404
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring 框架的基本组成:
07-11
2. Spring AOP:面向切面编程(AOP)的支持模块。它提供了一种将横切关注点(如日志记录、事务管理)与核心业务逻辑分离的方式,通过配置或注解实现横切逻辑的织入。 3. Spring JDBC:用于简化数据库访问的模块。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值