主键id 请求参数用什么类型_Spring Mvc全局id自动加密处理

最新推荐文章于 2023-08-10 10:06:26 发布
最新推荐文章于 2023-08-10 10:06:26 发布
阅读量512 收藏 2
点赞数 1
文章标签: 主键id 请求参数用什么类型

性能与安全的权衡

对数据库Id字段的设计,各种五花八门的都有。

  • Long类型Id

数据库查询,数值比字符串性能高,正常来说会把主键设计为自增的Long类型,其他表关联也通过该字段来关联,但字段暴露到前端去,用户可以通过简单的修改id获取刷取整站的记录,安全性上存在一定的问题。

  • 字符类型Id

使用字符串如uuid之类的做主键,字段安全属性,但查询效率低下。

如何做到安全与高效兼得呢。

思路

在接口层面将所有id在输出到前端的时候自动做加密,前端提交过来的时候,再自动解密处理成数值类型。

这样是不是就能满足要求了。

  • 对前端来说是一个String,顺便解决了大整数javascript无法处理的问题。

  • 对服务端业务层来说,因框架层面做了解密处理,看到的永远是Long类型的。

需要处理的请求信息包括,query、body、header及respnose里面的id字段

方案

对于互联网来说,任何问题都可以加入一个虚拟的层来解决。

本问题的层,可以在api层,可以在存储层。

  • 存储层

所有Id字段在数据库中是Long类型,但在代码模型上定义为String类型,对DAO做一层封装,统一对Id进行转换,如where id =“xxxxx” 会变成 where id = 111 ,where id in (“xxx”,“yyy”) 变为 where id in(111,222),查询出来的id,在装载模型的时候,自动进行加密处理。

但这存在一个问题,代码中的所有id数据都是加密的,管理后台根C端都会被加密

  • API层

Spring MVC的扩展性足够好,我们可以通过对C端的API进行扩展来满足需求。

  • 雪花算法

类型还是Long,值空间也挺大,只要原样通过ToStringSerializer解析成字符串给前端,就能解决javascript大整数的问题。query参数转化问题,也天然支持。

次方法,高性能、易使用,在一定程度上也不容易刷参数,是一个折中的好选择

实现细节

本文只对API层的处理,做介绍。

为了实现简单对系统做了如下约束:

  • 字段或变量名为id或Id结尾的,Long类型的id字段的充要条件。

  • id不会在header中出现,即我们可以不用处理header

定义个序列化器

    • 重写serialize方法,从gen参数中,可以获取到对应字段的名称

    • 对接口的输出参数识别id字段,并对其进行加密处理,否则原样输出

    • 加密逻辑可以任意替换

  • @JacksonStdImplpublic class LongStringSerializer extends ToStringSerializerBase {    public static final LongStringSerializer instance = new LongStringSerializer();    public LongStringSerializer() {        super(Object.class);    }    public LongStringSerializer(Class> handledType) {        super(handledType);    }    @Override    public void serialize(Object value, JsonGenerator gen, SerializerProvider provider) throws IOException {        if(gen.getOutputContext().getCurrentName()!=null                && (gen.getOutputContext().getCurrentName().equals("id") ||                gen.getOutputContext().getCurrentName().endsWith("Id"))){            super.serialize(value, gen, provider);        }        else{            gen.writeNumber((Long)value);        }    }    @SneakyThrows    public final String valueToString(Object value) {        if(value == null ){            return null;        }        return CryptUtils.encrypt(value + "", "idEn");    }}

定义一个反序列化器

    • 覆盖deserialize方法,从jsonParser参数中可获取字段的名称

    • 判断id字段,并对其进行解密操作

    • 解密方法需跟加密方法配套

@JacksonStdImplpublic class LongStringDeSerializer extends JsonDeserializer<Long> {    public static final LongStringDeSerializer instance = new LongStringDeSerializer();    @SneakyThrows    @Override    public Long deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {        if (jsonParser.getCurrentName() == null                || jsonParser.getCurrentName().equals("id")                || jsonParser.getCurrentName().endsWith("Id")) {            return (Long.parseLong(CryptUtils.decrypt(UriEncoder.decode(jsonParser.getText()), "idEn")));        } else {            return Long.parseLong(jsonParser.getText());        }    }}

定义一个Long类型解析器

    • 这个解析器主要用来解析请求参数

    • 处理Long类型即Search对象类型

    • 调用上面的 LongStringDeSerializer对字段进行解密处理

    • 这里暂时只处理了满足项目需求的场景,更多场景需自行细化

public class LongArgumentResolver implements HandlerMethodArgumentResolver {    @Override    public boolean supportsParameter(MethodParameter parameter) {        return parameter.getParameterType().equals(Long.class) || SearchBase.class.isAssignableFrom(parameter.getParameterType());    }    @Override    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {        ObjectMapper objectMapper = new ObjectMapper();        SimpleModule simpleModule = new SimpleModule();        simpleModule.addDeserializer(Long.class, LongStringDeSerializer.instance);        simpleModule.addDeserializer(Long.TYPE, LongStringDeSerializer.instance);        objectMapper.registerModule(simpleModule);        if (parameter.getParameterType().equals(Long.class)) {            var query = ((ServletWebRequest) webRequest).getRequest().getQueryString();            var map = getQueryParams(query);            var data = UriEncoder.decode(map.entrySet().stream().findFirst().map(Map.Entry::getValue).orElse(null));            if (Longs.tryParse(data) != null) {                return data;            }            return objectMapper.readValue(JSON.toJSONString(data)                    , parameter.getParameterType());        }        if (SearchBase.class.isAssignableFrom(parameter.getParameterType())) {            if (((ServletWebRequest) webRequest).getHttpMethod().equals(HttpMethod.GET)) {                var query = ((ServletWebRequest) webRequest).getRequest().getQueryString();                var map = getQueryParams(query);                return objectMapper.readValue(                        JSON.toJSONString(map), parameter.getParameterType());            }        }        return null;    }    /**     * Retrieve the query parameters from given url     *     * @return params     Map with query parameters     * @throws IOException     */    static public Map getQueryParams(String query)            throws IOException {        Map params = new HashMap();        if (query == null) {            return params;        }        Arrays.stream(query.split("&")).forEach(e -> {            var token = e.split("=");            if (token.length == 2) {                params.put(token[0], token[1]);            }        });        return params;    }}

修改Mvc配置

    • 添加HttpMessageConverter,将LongStringSerializer及LongStringDeSerializer配置为Long类型的序列化处理器

    • 添加HandlerMethodArgumentResolver,将LongArgumentResolver配置为请求参数的处理器

@Configurationpublic class InterceptorConfig implements WebMvcConfigurer {    @Override    public void configureMessageConverters(List> converters) {        MappingJackson2HttpMessageConverter jackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();        ObjectMapper objectMapper = objectMapper();        jackson2HttpMessageConverter.setObjectMapper(objectMapper);        converters.add(jackson2HttpMessageConverter);    }    @Bean    ObjectMapper objectMapper() {        ObjectMapper objectMapper = new ObjectMapper();        SimpleModule simpleModule = new SimpleModule();        simpleModule.addSerializer(Long.class, LongStringSerializer.instance);        simpleModule.addSerializer(Long.TYPE, LongStringSerializer.instance);        simpleModule.addDeserializer(Long.class, LongStringDeSerializer.instance);        simpleModule.addDeserializer(Long.TYPE, LongStringDeSerializer.instance);        objectMapper.registerModule(simpleModule);        return objectMapper;    }    @Bean    public WebMvcConfigurer webMvcConfigurer() {        return new WebMvcConfigurerAdapter() {            @Override            public void addArgumentResolvers(List argumentResolvers) {                argumentResolvers.add(new LongArgumentResolver());            }        };    }}

类关系图

9d8d61e496c74fa58f4ebef779070b4b.png

weixin_39970855
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Spring Boot工程集成全局唯一ID生成器 UidGenerator的操作步骤
08-26
本文就在项目中来集成 UidGenerator这一工程来作为项目的全局唯一 ID生成器。接下来通过实例代码给大家详解详解Spring Boot工程集成全局唯一ID生成器 UidGenerator的操作步骤,感兴趣的朋友一起看看吧
Android开发时遇到的一些问题
divaid的博客
01-26 635
一、 id最好不要用long类型:(使用原生Json解析时如果是String类型的会先转成double型的,如果数字比较大的话可能会因为duoble精度问题导致获取的id不正确) 二、 Intent intent = new Intent(this, MainActivity.class); intent.addFlags(Intent.FLAG_ACTIVITY_CLEAR_TOP)
协议设计:只要是ID,其数据类型建议为String
yeshen.org
03-25 1943
最近在支援一个项目,因为是后期过去的,所以协议的校对都没从我这里过,然后刚好要用到一个uid,突然看到一个数字 5 。不由得几分抗拒。 首先说ID是什么,通常是指唯一标示,比如系统唯一的一位用户。 从安全性:如果ID是int类型 只要接口设计稍不合理,系统用户信息就可能被爬虫盗刷。 用户数量只要试一试接口就知道了。 从可维护性:如果ID是int32/int64类型 不利于扩展的点在于,一般说...
分布式ID总结
01-12 1104
分布式ID 生成的ID使用场景 几乎所有的业务系统,都有生成一个记录标识的需求,例如:messageid, orderid。这个记录标识往往就是数据库中的唯一主键,数据库上会建立聚集索引(cluster index),即在物理存储上以这个字段排序。 在数据量大时往往需要分库分表,这些ID经常作为取模分库分表的依据,为了分库分表后数据均匀,ID生成往往有“取模随机性”的需求,所以我们通常把每...
java 泛型 注解_java中的泛型,注解
weixin_29374181的博客
02-12 396
泛型泛型是JDK1.5以后才有的, 可以在编译时期进行类型检查,且可以避免频繁类型转化!// 运行时期异常@Testpublic void testGeneric() throws Exception {// 集合的声明List list = new ArrayList();list.add("China");list.add(1);// 集合的使用String str = (String) li...
数据库字段类型选择
个人资源网站:https://www.xygalaxy.com
02-14 530
原文链接:https://www.xygalaxy.com/navLink/blog/article/fc9d50688efb432ca5f4ce309bc8ac98前言数据库设计一直都是比较复杂的,好的数据库设计能让项目开发起来更加的顺利,无需反复修改,修改数据库表对于开发人员来说真是折磨。修改数据库表字段,也是一个比较常见的问题,其中修改字段类型可能更为常见,所以这里写一份字段类型参考对照表,如何选择字段类型,减少后期对于数据表的维护,减少数据库内存的开销,合理的选择数据库字段类型
java泛型与注解基础
qchallen的博客
08-10 280
java泛型,注解基础及其使用.
java注解和泛型
m0_66278959的博客
11-27 985
以上就是今天要讲的内容,本文仅仅简单介绍了注解和泛型的使用,当然,笔者深度欠缺,如有不足,还请指正。
Spring 中 @Value 注解使用和源码分析
龚小帅的博客
12-18 2315
先配置本地可以看到最终在 Apple 中可以获取到配置文件中的值,那么 Spring 是怎样解析获取到该值的呢?下面开始分析下。
Java泛型基础与注解
cccy的博客
08-09 88
泛型可以解决数据类型的安全性问题,其主要原理是在类声明时通过一个表示类中某个属性的数据类型或者是某个方法的返回值及参数类型。这样在类声明或者实例化时只要指定好需要的类型即可。语法:public class 类名{泛型标志可以是任意字符。习惯使用Tthis.x = x;this.y = y;return x;this.x = x;return y;this.y = y;
基于多语言优化的分布式主键ID生成器设计源码
04-12
本分布式主键ID生成器基于多语言优化,包含204个文件,包括Markdown文档、Dockerfile、Go源代码、Java源代码、GIT忽略文件、Header文件、C#源代码、C源代码、Pascal源代码、Rust源代码。系统采用优化的雪花算法...
深入分析mysql为什么不推荐使用uuid或者雪花id作为主键
12-14
前言:在mysql中设计表的时候,mysql官方推荐不要使用uuid或者不连续不重复的雪花id(long形且唯一),而是推荐连续自增的主键id,官方的推荐是auto_increment,那么为什么不建议采用uuid,使用uuid究竟有什么坏处?...
spring_mvc_crud_jdbc_template:使用JDBC模板的Spring MVC Crud
04-29
使用JDBC模板的Spring MVC CRUD这是一个简单的SPRING MVC项目,其中我使用了Spring MVC,JDBC模板进行数据操作,而在数据库方面,我使用了MYSQL数据库。脚步- 1.创建名称为“ usersdb”的MYSQL数据库2.使用以下命令...
深入理解Java:注解(Annotation)自定义注解入门
菠萝菠萝派的点滴积累
03-09 618
本文转自:http://www.cnblogs.com/peida/archive/2013/04/24/3036689.html要深入学习注解,我们就必须能定义自己的注解,并使用注解,在定义自己的注解之前,我们就必须要了解Java为我们提供的元注解和相关定义注解的语法。元注解元注解的作用就是负责注解其他注解。Java5.0定义了4个标准的meta-annotation类型,它们被用来提供对其它 a
为什么MySQL里的id字段通常设置成long类型而不是int?
qq_38374562的博客
01-14 6056
如题, int型的取值范围是-2147483648~2147483647. 在MySQL里的id字段通常设置成long类型而不是int型,是为了后续的使用兼容,随着业务增长,大数据的部署,还有第三方的接入使用,比如微信支付宝,它们返回的值。 ...
java高级--泛型--注解
qq_55682798的博客
07-14 491
例子: 要求定义一个Point点类,该类中属性有x坐标和y坐标。 如果我们为坐标一个赋值整数,一个赋值为字符串,这时会不会报错。 3. 如何使用泛型? 4. 通配符 5. 受限泛型 6. 泛型接口 如何实现泛型接口: 7. 泛型方法 9. java高级--注解 9.1 预定义注解---了解 预定义注解就是JDK自带的一些注解,该注解被JVM而解析。 9.3 元注解 10.自定义注解---高级...
java泛型不检查_如何防止使用Java泛型检查根类?
weixin_39907316的博客
02-23 217
您不能使用泛型强制执行此类限制.最好的办法是在方法内部进行类型检查,并在收到Command.class作为参数时引发异常.甚至,为该场景添加文档注释:/**** @param cl* @throws IllegalArgumentException* when type of cl is Command.class* @return*/public T createComma...
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
最新发布
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 数据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础数据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础数据管理等功能。
使用IdType.ID_WORKER_STR,但是没有自动生成主键
03-11
对于这个问题,可以尝试检查以下几个方面:1. 是否正确引入了相关的...2. 是否正确配置了相关的参数;3. 是否在代码中正确调用了相关的方法。如果以上都没有问题,可以尝试查看日志或者调试代码,找出具体的错误原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值