springBoot修改request的body实现CryptoJS前端加密后台Java解密

已于 2025-01-06 18:00:18 修改
阅读量3.6k 收藏 4
点赞数 1
分类专栏: java 文章标签: java
于 2022-04-27 11:28:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40918145/article/details/124446462
版权

背景:客户端将加密的数据通过post请求发送到服务端,服务端修改request里的body,将解密后的body给到controller,服务器端请求处理后,统一在响应拦截处将加密后的数据返回给客户端

看效果

 1、加解密方法

package com.hi.hailiaowenan.base.utils;

import org.springframework.util.StringUtils;

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;

// CryptoJS前端加密后台Java解密
public class DesCipherUtil {
    private static String decryptKey = "aaaabbbbccccdddd";
    private static String encryptKey = "aaaabbbbccccdddd";
    /**
     * AES解密
     * @param encryptStr 密文
     * @param decryptKey 秘钥,必须为16个字符组成
     * @return 明文
     * @throws Exception
     */
    public static String aesDecrypt(String encryptStr) throws Exception {
        if (StringUtils.isEmpty(encryptStr) || StringUtils.isEmpty(decryptKey)) {
            return null;
        }
        byte[] encryptByte = Base64.getDecoder().decode(encryptStr);
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
        cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(decryptKey.getBytes(), "AES"));
        byte[] decryptBytes = cipher.doFinal(encryptByte);
        return new String(decryptBytes);
    }

    /**
     * AES加密
     * @param content 明文
     * @param encryptKey 秘钥,必须为16个字符组成
     * @return 密文
     * @throws Exception
     */
    public static String aesEncrypt(String content) throws Exception {
        if (StringUtils.isEmpty(content) || StringUtils.isEmpty(encryptKey)) {
            return null;
        }

        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
        cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(encryptKey.getBytes(), "AES"));

        byte[] encryptStr = cipher.doFinal(content.getBytes(StandardCharsets.UTF_8));
        return Base64.getEncoder().encodeToString(encryptStr);
     }

     // 测试加密与解密
    //  public static void main(String[] args) {
    //     try {
    //         String secretKey = "aaaabbbbccccdddd";
    //         String content = "{ a: 1, b: 2}";
    //         String s1 = aesEncrypt(content, secretKey);
    //         System.out.println(s1);
    //         String s = aesDecrypt(s1, secretKey);
    //         System.out.println(s);
    //     } catch (Exception e) {
    //         e.printStackTrace();
    //     }
    // }
}

2、通过自定义过滤器,实现controller层的接口解密,并将流继续保存下去

package com.hi.hailiaowenan.filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.hi.hailiaowenan.base.bean.ReturnCode;
import com.hi.hailiaowenan.base.exception.UserException;
import com.hi.hailiaowenan.base.utils.DesCipherUtil;
import com.hi.hailiaowenan.wrapper.RequestWrapper;
import com.hi.hailiaowenan.wrapper.ResponseWrapper;

import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.Map;

@WebFilter(urlPatterns = "/*", filterName = "channelFilter")
// 通过自定义过滤器,将流继续保存下去 https://www.codenong.com/cs107098749/
public class ChannelFilter implements Filter {

    private static final Logger logger = LoggerFactory.getLogger(ChannelFilter.class);

    // 项目启动初始化的时候会被加载。
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    // 过滤请求,预处理。
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {

        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;

        ResponseWrapper responseWrapper = null;

        String desnet = httpServletRequest.getHeader("Desnet"); // 是否需要加密
        String afterparams = ""; // 将参数放入重写的方法中
        Object aesparams = null;
        // 判断需要解密 且 post请求 且 body有值
        if (StringUtils.isNotEmpty(desnet)) {
            if ("POST".equals(httpServletRequest.getMethod().toUpperCase())) {
                String allparams = getBody(httpServletRequest); // 请求body
                // 获取httpServletRequest的body参数
                if (StringUtils.isNotEmpty(allparams)) {
                	try {
	                    Map<String, Object> allparamsMap = JSONObject.parseObject(allparams);
	                    aesparams = allparamsMap.get("params");
	                    if (aesparams != null) {
	                        String desparams = "";
	                        try {
	                            desparams = DesCipherUtil.aesDecrypt(aesparams.toString());
	                        } catch (Exception e) {
	                            throw new UserException(ReturnCode.BAD_REQUEST, "解密出错");
	                        }
	                        JSONObject jsStr = JSONObject.parseObject(desparams);
	                        afterparams = jsStr.toJSONString();
	                    }
                    } catch (Exception e) {
                    	throw new UserException(ReturnCode.BAD_REQUEST, "数据解密出错");
                    }
                }
            }
            // 执行将参数放入重写的方法中
            httpServletRequest = new RequestWrapper(httpServletRequest, afterparams);
            responseWrapper = new ResponseWrapper(httpServletResponse);
            filterChain.doFilter(httpServletRequest, responseWrapper); // 执行过滤

            String encryptStr = "";
            // 判断是否有值
            if (responseWrapper != null) {
                byte[] contentByte = responseWrapper.getContent(); // 获取返回值
                // 返回值有值
                if (contentByte.length > 0) {
                    String result = new String(contentByte, "UTF-8");
                    logger.info(
                            httpServletRequest.getRequestURL() + "===> return origin data ===> "
                                    + JSON.toJSONString(result));
                    try {
                        encryptStr = DesCipherUtil.aesEncrypt(result); // 加密
                        logger.info("<=== 分割线 ===> ");
                        logger.info(httpServletRequest.getRequestURL() + "===> return aesEncrypt data ===> "
                                + JSON.toJSONString(encryptStr));
                    } catch (Exception e) {
                        throw new UserException(ReturnCode.BAD_REQUEST, "加密出错");
                    }
                }
            }
            // 把返回值输出到客户端 这里用的 servletResponse,比较特殊
            ServletOutputStream out = servletResponse.getOutputStream();
            out.write(encryptStr.getBytes());
            out.flush();
        } else {
            filterChain.doFilter(httpServletRequest, httpServletResponse); // 执行过滤
        }
    }

    // 获取Request的body数据
    private String getBody(ServletRequest request) {
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return stringBuilder.toString();
    }

    /**
     * 哪些路径不处理
     * 
     * @param request
     * @param strArr
     * @return
     */
    public boolean isIgnore(HttpServletRequest request, String[] strArr) {
        String path = request.getRequestURI();
        for (String ignore : strArr) {
            if (path.contains(ignore)) {
                return true;
            }
        }
        return false;
    }

    // 项目停止前,会执行该方法。
    @Override
    public void destroy() {

    }
}

3、 重写HttpServletRequestWrapper方法,由于HttpServletRequest中的body数据只能get不能set,即不能重新赋值,并且只能读取一次,但是我们的场景却是需要对body重新赋值,这个时候需要我们想办法重写

package com.hi.hailiaowenan.wrapper;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

// 重写HttpServletRequestWrapper方法
public class RequestWrapper extends HttpServletRequestWrapper {
    private String body;

    public RequestWrapper(HttpServletRequest request, String context) {
        super(request);
        body = context;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

    public void setBodyJsonStr(String bodyJsonStr) {
        this.body = bodyJsonStr;
    }
}

4、 重写HttpServletResponseWrapper 方法

package com.hi.hailiaowenan.wrapper;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import javax.servlet.ServletOutputStream;
import javax.servlet.WriteListener;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

// 重写HttpServletResponseWrapper方法
public class ResponseWrapper extends HttpServletResponseWrapper {

    private ByteArrayOutputStream buffer;
    private ServletOutputStream out;

    public ResponseWrapper(HttpServletResponse httpServletResponse) {
        super(httpServletResponse);
        buffer = new ByteArrayOutputStream();
        out = new WrapperOutputStream(buffer);
    }

    @Override
    public ServletOutputStream getOutputStream() throws IOException {
        return out;
    }

    @Override
    public void flushBuffer() throws IOException {
        if (out != null) {
            out.flush();
        }
    }

    public byte[] getContent() throws IOException {
        flushBuffer();
        return buffer.toByteArray();
    }

    private static class WrapperOutputStream extends ServletOutputStream {
        private ByteArrayOutputStream bos;

        WrapperOutputStream(ByteArrayOutputStream bos) {
            this.bos = bos;
        }

        @Override
        public void write(int b)
                throws IOException {
            bos.write(b);
        }

        @Override
        public boolean isReady() {

            // TODO Auto-generated method stub
            return false;

        }

        @Override
        public void setWriteListener(WriteListener arg0) {

            // TODO Auto-generated method stub

        }
    }
}

4、在启动类中注入

@SpringBootApplication
@ServletComponentScan  //注册过滤器注解 对应filter/ChannelFiliter

完整代码 

package com.hi.hailiaowenan;

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.jdbc.DataSourceAutoConfiguration;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.boot.web.servlet.ServletComponentScan;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.GenericJackson2JsonRedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;

import com.hi.hailiaowenan.base.config.AliConfig;
import com.hi.hailiaowenan.base.config.QqConfig;
import com.hi.hailiaowenan.base.config.WxConfig;
import com.hi.hailiaowenan.base.config.ToutiaoConfig;

@EnableAutoConfiguration(exclude = {DataSourceAutoConfiguration.class})
@EnableConfigurationProperties({WxConfig.class, AliConfig.class, ToutiaoConfig.class, QqConfig.class})
@ComponentScan(basePackages = "com.hi.hailiaowenan.**")
@MapperScan("com.hi.hailiaowenan.**.**.mapper")
@SpringBootApplication
@ServletComponentScan  //注册过滤器注解 对应filter/ChannelFiliter
public class HailiaowenanApplication {
    public static void main(String[] args) {
        SpringApplication.run(HailiaowenanApplication.class, args);
    }
    
    //	redis 乱码序列化、
    @Bean(name = "redisTemplate")
    public RedisTemplate<String, String> redisTemplate(RedisConnectionFactory factory) {
        RedisTemplate<String, String> template = new RedisTemplate<>();
        template.setConnectionFactory(factory);
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(new GenericJackson2JsonRedisSerializer());
        template.setHashKeySerializer(new GenericJackson2JsonRedisSerializer());
        template.setHashValueSerializer(new GenericJackson2JsonRedisSerializer());
        template.afterPropertiesSet();
        return template;
    }
}

至此,完成了客户端加密,服务器端解密参数,并将加密后的数据返回给客户端

参考文章:

SpringBoot通过拦截器获取请求参数和返回结果进行操作 | 码农家园

CryptoJS前端加密后台Java解密 - 简书

springboot过滤器中将form表单和body(json)形式的进参拦截修改里面参数内容(重写HttpServletRequestWrapper里边的方法)_酸菜鱼(szy)的博客-CSDN博客_formbody json

重写Request,修改Request中的Body内容 - 简书

SpringBoot实现数据加密传输_酷酷小饼干的博客-CSDN博客_springboot 加密传输

vue+SpringBoot项目前后端数据加解密实现登录密码前端加密,后端来解密
qq_37635012的博客
12-07 1264
有个需求就是登录时,前端需要将用户输入的密码进行加密后作为参数传递给后端,后端进行解密。 1.前端方面:Vue 先安装crypto-js npm install crypto-js 如果失败了就用cnpm安装吧 cnpm install crypto-js 前端在src文件夹下的utils文件夹下新建一个Secret.js文件,其代码如下: import CryptoJS from 'crypto-js' // 默认的 KEY 与 iv 如果没有给 const KEY = CryptoJS.enc.U
SpringBoot 接口如何加密解密
hymuuuu的博客
07-03 825
自定义starter步骤创建工厂,编写功能代码声明自动配置类,把需要对外提供的对象创建好,通过配置类统一向外暴露在resource目录下准备一个名为的文件,以为key,自动配置类为value列表,进行注册接口相应数据的时候,返回的是加密之后的数据 接口入参的时候,接收的是解密之后的数据,但是在进入接口之前,会自动解密,取得对应的数据。
SpringBoot中接口加密解密统一处理!
程序员闪充宝
11-20 1837
大家好,我是宝哥!1. 介绍在我们日常的Java开发中,免不了和其他系统的业务交互,或者微服务之间的接口调用如果我们想保证数据传输的安全,对接口出参加密,入参解密。但是不想写重复代码,我们可以提供一个通用starter,提供通用加密解密功能2. 前置知识2.1 hutool-crypto加密解密工具hutool-crypto提供了很多加密解密工具,包括对称加密,非对称加密,摘要加密等等,这不做详细...
springBoot修改requestbody
iBuDongIt的博客
03-31 4555
springBoot修改requestbody 普通的参数可以从request的getParameterMap中获取,而@RequestBody的参数需要从request的InputStream中获取。但是InputStream只能读取一次,如果过滤器读取了参数,后面拦截器和controler层就读取不到参数了,所以这类参数需要单独获取,可以把request封装一下,copy一份requet,一个用于在拦截器(过滤器)中读取参数,一个放行给controller使用 修改requestbody 的重点在于
springbootRequestBody入参统一加解密处理
weixin_40951507的博客
12-30 1397
在使用的过程中,大家注意1、开启 加密的同时,需要在springboot启动类上面加@EnableSecurity 注解便spring初始化对应的bean信息2、在生成环境使用,请注意关闭openlog3、开发的过程中,可以将open设置为false4、如果使用其它加密算法可以自行修改EncryptResponseBodyAdvice 类5、最后加密比较耗性能,注意只有在安全级别较高时使用,对具体的方法加密需要添加@Decrypt。
使用CryptoJS实现Vue前端加密,Java后台解密的步骤和方法
向心行者
09-11 7172
CryptoJS 是一个 JavaScript 库,提供了一系列密码学函数和工具,用于加密解密、生成摘要等任务。它支持多种加密算法,包括常见的对称加密算法(如 AES、DES)和非对称加密算法(如 RSA)。同时,CryptoJS还包括了ECB和CBC两种模式,其中ECB模式:全称Electronic Codebook(电码本),在ECB模式中,每个明文分组都被单独加密,且每个明文分组都被加密为相同的密文分组。也就是说,如果两个明文分组相同,那么它们的密文分组也相同。CBC模式。
Springboot实现RequestBody中的值进行统一修改的几种方式
weixin_41386753的博客
12-08 7567
背景 最近在项目中遇到需要统一对Request请求中的某一个自定义对象的属性进行统一修改的需求。 考虑了几种实现方式,现在记录一下。由于原项目过于复杂,自己写几个demo进行记录。 解决方式 方式一:利用filter进行处理。 大坑: ​ 如果你想要改变加了RequestBody注解的数据,无论如何你都要通过getInputStream()方法来获取流来拿到对应的参数,然后更改。在不经过拿取流的情况下,spring的RequestBody注解也是通过getInputStream()方法来获取流来映射为.
SpringBoot实现接口数据的加解密功能
08-25
SpringBoot实现接口数据的加解密功能可以使用自定义消息转换器或使用Spring提供的接口RequestBodyAdvice和ResponseBodyAdvice两种方式实现,前者简单易用,但不灵活,后者可以按照请求的特定需要进行加密解密操作。
SpringBoot控制器统一的响应体加密与请求体解密的注解处理方式
08-08
在本主题中,我们将探讨如何利用自定义注解来实现SpringBoot中统一的响应体加密和请求体解密,支持MD5、SHA、AES、DES以及RSA等加密算法。 首先,我们需要创建自定义注解,用于标记哪些控制器方法需要执行加密和...
国密SM2前端加密Java后台解密问题
ww_1997的博客
04-01 7495
背景:要实现请求参数加密的功能,使用的是国密SM2算法,前端后台发送请求获取公钥,将请求加密发送到后台后台用对应的私钥进行解密 问题:前端进行加密的请求,后台无法进行解析 解决方案:(此处所用的类都为Hutool里的工具类) 当前的前端的SM2加密js库都是使用SM2公钥的q值转成16进制进行加密,所以在后台前端发送公钥时,需要提取公钥的q值并且转成16进制 UserPrivateKey userPrivateKey; KeyPair pair = Secure
springboot 实现获取加密数据和解密数据
wang1hong2lu3的专栏
04-22 2814
1 自定义注解 该注解放在作用再controller上 @Retention(RetentionPolicy.RUNTIME) @Documented @Target({ElementType.TYPE, ElementType.METHOD}) public @interface EncryptFilter { /** * 对入参是否解密 * @return */ boolean decryptRequest() default true;
java 请求加密_如何对Java请求的@requestBody前端加密后端解密?
weixin_33612966的博客
02-12 1624
背景随着 Spring Boot 使用越来越广泛,Spring Boot 已经成为 Java 程序员面试的知识点,很多同学对 Spring Boot 理解不是那么深刻,经常就会被几个连环跑给干趴下了!这一文章主要讲解如何对Java请求的@requestBody前端加密后端解密。为了方便所以我采用的最简单的base64加解密作为讲解。直接上干货。技术讲解Spring中处理JSON请求使用@Reque...
在 Spring Boot 中通过 RequestBodyAdvice 统一解码请求体
竹林幽深
10-27 927
*** 需要对请求体进行解码*/该注解用于 Controller 参数,只有注解了的请求体()才需要解码。通过实现接口,并注册为 Spring 的 Bean,可以在请求到达 Controller 之前或之后对请求体进行定制化的处理。这样可以实现一些常见的需求,例如请求体解密、数据验签、日志记录等。「Spring系列框架的中文文档」:中文互联网上现有的关于spring的文档要么已经多年未更新,要么就是机器直接翻译,质量太次!于是我们花了一些时间,整理翻译出了全网最优质,最新的spring。
vue前端使用CryptoJS加密传输请求参数,后端使用java解密
Mr丶GUO
08-17 1376
安装完成后引入CryptoJS(路径按需引入)单独新建一个des.js写加解密代码。直接复制即可使用,但是前端CryptoJS需要自己安装。此文章使用 CryptoJS作为加解密。没有安装的直接在项目的根目录下安装即可。在vue页面引入该js。......
SpringBoot系列】vue+SpringBoot实现前后端数据加解密
热门推荐
Venus's Blog
04-25 5万+
​ 需要安装node环境​ 安装好之后然后执行。
Vue + SpringBoot 实现API加解密
weixin_42277430的博客
01-30 606
测试得到一个结论,对称加密的性能远高于非对称加密,因此,对请求体、响应体这类长文本,最好使用对称加密。现代CPU大都内置AES编解码加速器,估计可以提升AES编解码性能,猜测也能减少AES加解密对常规运算的CPU占用影响。基于以上结论,设计如下的整体加解密思路。
springbootspringboot接口参数全局加解密,解决request内容修改后如何重新设置回去的问题
最新发布
孟秋与你的博客
08-19 1610
这个时候就需要打个断点调试了,博主经过调试后发现 最后是动态代理传的参改变了,servlet到controller层的过程中 虽然一开始确实是传的reqeust 但在某一步时 它去获取了parameterValues!我们先把锁打开后,往map里面修改了内容,还需要把锁关上, 我们看ParameterMap类的源码也能看到 它有很多地方是通过判断是否锁了 我们不能改变原来的逻辑。所以我们在过滤器中进行解密,并将request的值修改后传递,这样可以保证每个过滤器拿到的都是解密后的值。
SpringBoot Controller层传入的参数进行解密
Julie的博客
05-25 2652
*** 解密请求/*** 加密响应体。
springboot + vue 前后端加密传输 RSA互相加解密、加签验签、密钥对生成
nalanxiaoxiao2011的博客
01-05 5123
springboot + vue RSA加密传输 加签 验签 非对称加密
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值