SpringBoot项目中,拦截器获取Post方法的请求body

已于 2023-03-10 16:21:51 修改
阅读量8.5k 收藏 32
点赞数 9
分类专栏: 实战项目 文章标签: java springboot json
于 2020-11-05 16:16:57 首次发布
原文链接:https://blog.51cto.com/zero01/category7.html
版权

前因交代:最近对接了第三方接口,我负责的部分是第三方来调用我们的接口,需要验签,本来按照常规的方法,我直接在service层写一个验签方法,然后被第三方访问的接口都调用这个验签方法就ok了,但是这个领导要求,验签不要写在业务里,不要每个方法都来调用,直接在controller层前面拦住,在拦截器里拦住,这可难倒了我,于是求救朋友,他发给了我这篇文章,仔细阅读后尝试,真的可行,所以想分享给大家(其中也有不懂的地方我放到文末了,希望看到的大神指教~~)

背景
通常对安全性有要求的接口都会对请求参数做一些签名验证,而我们一般会把验签的逻辑统一放到过滤器或拦截器里,这样就不用每个接口都去重复编写验签的逻辑。

在一个项目中会有很多的接口,而不同的接口可能接收不同类型的数据,例如表单数据和json数据,表单数据还好说,调用request的getParameterMap就能全部取出来。而json数据就有些麻烦了,因为json数据放在body中,我们需要通过request的输入流去读取。

但问题在于request的输入流只能读取一次不能重复读取,所以我们在过滤器或拦截器里读取了request的输入流之后,请求走到controller层时就会报错。而本文的目的就是介绍如何解决在这种场景下遇到HttpServletRequest的输入流只能读取一次的问题。

注:本文代码基于SpringBoot框架
HttpServletRequest的输入流只能读取一次的原因
我们先来看看为什么HttpServletRequest的输入流只能读一次,当我们调用getInputStream()方法获取输入流时得到的是一个InputStream对象,而实际类型是ServletInputStream,它继承于InputStream。

InputStream的read()方法内部有一个postion,标志当前流被读取到的位置,每读取一次,该标志就会移动一次,如果读到最后,read()会返回-1,表示已经读取完了。如果想要重新读取则需要调用reset()方法,position就会移动到上次调用mark的位置,mark默认是0,所以就能从头再读了。调用reset()方法的前提是已经重写了reset()方法,当然能否reset也是有条件的,它取决于markSupported()方法是否返回true。
InputStream默认不实现reset(),并且markSupported()默认也是返回false,这一点查看其源码便知:
在这里插入图片描述
我们再来看看ServletInputStream,可以看到该类没有重写mark(),reset()以及markSupported()方法:
在这里插入图片描述
综上,InputStream默认不实现reset的相关方法,而ServletInputStream也没有重写reset的相关方法,这样就无法重复读取流,这就是我们从request对象中获取的输入流就只能读取一次的原因。

解决办法:
把流第一次读的时候存起来,然后后续用这个存起来的流反复使用
那么问题就来了,要如何存储这个流呢?
所幸JavaEE提供了一个 HttpServletRequestWrapper类,从类名也可以知道它是一个http请求包装器,其基于装饰者模式实现了HttpServletRequest界面,部分源码如下:
源码图片
从上图中的部分源码可以看到,该类并没有真正去实现HttpServletRequest的方法,而只是在方法内又去调用HttpServletRequest的方法,所以我们可以通过继承该类并实现想要重新定义的方法以达到包装原生HttpServletRequest对象的目的。

首先我们要定义一个容器,将输入流里面的数据存储到这个容器里,这个容器可以是数组或集合。然后我们重写getInputStream方法,每次都从这个容器里读数据,这样我们的输入流就可以读取任意次了。

具体的实现代码如下:

package com.example.wrapperdemo.controller.wrapper;

import lombok.extern.slf4j.Slf4j;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;

/**
 * @author 01
 * @program wrapper-demo
 * @description 包装HttpServletRequest,目的是让其输入流可重复读
 * @create 2018-12-24 20:48
 * @since 1.0
 **/
@Slf4j
public class RequestWrapper extends HttpServletRequestWrapper {
    /**
     * 存储body数据的容器
     */
    private final byte[] body;

    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);

        // 将body数据存储起来
        String bodyStr = getBodyString(request);
        body = bodyStr.getBytes(Charset.defaultCharset());
    }

    /**
     * 获取请求Body
     *
     * @param request request
     * @return String
     */
    public String getBodyString(final ServletRequest request) {
        try {
            return inputStream2String(request.getInputStream());
        } catch (IOException e) {
            log.error("", e);
            throw new RuntimeException(e);
        }
    }

    /**
     * 获取请求Body
     *
     * @return String
     */
    public String getBodyString() {
        final InputStream inputStream = new ByteArrayInputStream(body);

        return inputStream2String(inputStream);
    }

    /**
     * 将inputStream里的数据读取出来并转换成字符串
     *
     * @param inputStream inputStream
     * @return String
     */
    private String inputStream2String(InputStream inputStream) {
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;

        try {
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.defaultCharset()));
            String line;
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            log.error("", e);
            throw new RuntimeException(e);
        } finally {
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    log.error("", e);
                }
            }
        }

        return sb.toString();
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream inputStream = new ByteArrayInputStream(body);

        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return inputStream.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }
}

除了要写一个包装器外,我们还需要在过滤器里将原生的HttpServletRequest对象替换成我们的RequestWrapper对象,代码如下:

 package com.example.wrapperdemo.controller.filter;
    
    import com.example.wrapperdemo.controller.wrapper.RequestWrapper;
    import lombok.extern.slf4j.Slf4j;
    
    import javax.servlet.*;
    import javax.servlet.http.HttpServletRequest;
    import java.io.IOException;
    
    /**
     * @author 01
     * @program wrapper-demo
     * @description 替换HttpServletRequest

 * @create 2018-12-24 21:04
 * @since 1.0
 **/
@Slf4j
@Component
public class ReplaceStreamFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("StreamFilter初始化...");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        ServletRequest requestWrapper = new RequestWrapper((HttpServletRequest) request);
        chain.doFilter(requestWrapper, response);
    }

    @Override
    public void destroy() {
        log.info("StreamFilter销毁...");
    }
}

注意:@Component注解一定要加上,否则会报以下错误:

HttpMessageNotReadableException: I/O error while reading input message; nested exception is java.io.IOException: Stream closed

(猜测@Component注解是代表这是一个组件,能够识别出来这个是一个filter)

然后我们就可以在拦截器中愉快的获取json数据也不慌controller层会报错了:

package com.example.wrapperdemo.controller.interceptor;

import com.example.wrapperdemo.controller.wrapper.RequestWrapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.MediaType;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author 01
 * @program wrapper-demo
 * @description 签名拦截器
 * @create 2018-12-24 21:08
 * @since 1.0
 **/
@Slf4j
public class SignatureInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        log.info("[preHandle] executing... request uri is {}", request.getRequestURI());
        if (isJson(request)) {
            // 获取json字符串
            String jsonParam = new RequestWrapper(request).getBodyString();
            log.info("[preHandle] json数据 : {}", jsonParam);

            // 验签逻辑...略...
        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

    /**
     * 判断本次请求的数据类型是否为json
     *
     * @param request request
     * @return boolean
     */
    private boolean isJson(HttpServletRequest request) {
        if (request.getContentType() != null) {
            return request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE) ||
                    request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE);
        }

        return false;
    }
}

编写完以上的代码后,还需要将拦截器在配置类中进行注册才会生效(因为在配置类配置了要拦住他,才会走拦截器,才能在拦截器验签)
在这里插入图片描述
在这里插入图片描述
此处不再详细描述

此处过后就可以试一下在拦截器中验签,controller层继续处理其他逻辑了

疑问:
1、“如果想要重新读取则需要调用reset()方法,position就会移动到上次调用mark的位置,mark默认是0,所以就能从头再读了。” 这个mark指的是什么?
2、“调用reset()方法的前提是已经重写了reset()方法”,为什么要重写他?
3、“当然能否reset也是有条件的,它取决于markSupported()方法是否返回true。”为什么要取决于这个方法?
4、“ServletInputStream,可以看到该类没有重写mark()”,mark()是干啥的,上文中提到的mark是这个吗?

希望路过的明白人可以指教一下~~~

转载自:SpringBoot项目中,拦截器获取Post方法的请求body

https://blog.51cto.com/zero01/2334836

释然狗
关注
专栏目录
SpringBoot项目, 拦截器获取Post方法请求body
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
03-28 2351
获取前端调用接口传递的body参数
拦截器获取请求参数post_SpringBoot拦截器如何获取http请求参数
weixin_29331015的博客
12-24 1448
1.1、获取http请求参数是一种刚需我想有的小伙伴肯定有过获取http请求的需要,比如想前置获取参数,统计请求数据做服务的接口签名校验敏感接口监控日志敏感接口防重复提交等等各式各样的场景,这时你就需要获取 HTTP 请求参数或者请求body,一般思路有两种,一种就是自定义个AOP去拦截目标方法,第二种就是使用拦截器。整体比较来说,使用拦截器更灵活些,因为每个接口的请求参数定义不同,使用AOP很...
SpringBoot拦截器获取Request的body数据
pursuitK的博客
05-16 9770
SpringBoot拦截器获取Request的body数据
拦截器与过滤器(二)拦截器集成与使用
w_t_y_y的博客
12-05 8101
业务,我们经常需要自定义拦截器来记录用户行为日志,普通的参数可以从request的getParameterMap获取,而@RequestBody参数需要从request的InputStream获取,但是InputStream只能读取一次,如果拦截器读取了参数,controler层就读取不到参数了,所以这类参数需要单独获取,可以把request封装一下,copy一份requet,一个用于在拦...
spring:拦截器(HandlerInterceptor)获取POST请求参数
最新发布
10km的专栏
07-27 813
spring的拦截器(HandlerInterceptor)机制工作在收到HTTP请求之后,参数解析(反序列化)之前阶段。所以拦截器(HandlerInterceptor)获取POST请求参数本身并不是问题,问题就是要解决。就可以正常读HttpServletRequest的InputStream,而不影响后续的参数反序列化了。这个阶段,因为请求方法参数还没有被反序列化,所以要想获取HTTP的请求参数,就要自己从。是单向的,一次性的,如果在拦截器直接调用。获取了数据,后续方法调用解析参数时再调用。
spring boot拦截器获取request post请求参数
dark868的专栏
10-14 1343
最近有一个需要从拦截器获取post请求参数的需求,这里记录一下处理过程出现的问题。 首先想到的就是request.getParameter(String )方法,但是这个方法只能在get请求取到参数post是不行的,后来想到了使用流的方式,调用request.getInputStream()获取流,然后从流读取参数,如下代码所示: String body = ""; StringBuilder stringBuilder = new StringBuilder(); BufferedR.
springboot拦截器或者过滤器获取请求
小草飞上天
03-21 1467
开发,经常会有这样的需求 ,需要从请求拿出特殊的参数进行处理或者将整个请求体做为日志记录。那应该如何获取请求体或者响应体呢?方法很多,这里给出一个方法进行处理。下面是demo可以直接使用。
springboot不能获取post请求参数的解决方法
08-19
在Spring Boot,处理POST请求时,通常可以方便地通过控制器方法参数直接获取请求参数。然而,当遇到无法获取POST请求参数的情况,这可能是由于客户端发送请求的方式与服务器端期望的数据格式不匹配导致的。在...
spring mvc 拦截器获取请求数据信息.rar
06-12
spring mvc 拦截器获取请求数据信息 解压之后放到项目 直接运行就可以了 (将流多次运用)
Spring拦截器,高级参数绑定
03-31
spring拦截器,高级参数绑定,controller返回值
springboot利用拦截器和过滤器获取post请求参数
zhou_zhao_xu的博客
10-09 3418
示例1. 继承HttpServletRequestWrapper2. 配置拦截器3. 注册拦截器4. 配置过滤器,用来把request请求传递下去5. 在启动类注册拦截器 1. 继承HttpServletRequestWrapper package com.example.springboot.wrapper; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servlet.
springboot拦截请求路径_SpringBoot拦截器如何获取http请求参数
weixin_36138385的博客
01-12 4582
1.1、获取http请求参数是一种刚需我想有的小伙伴肯定有过获取http请求的需要,比如想前置获取参数,统计请求数据做服务的接口签名校验敏感接口监控日志敏感接口防重复提交等等各式各样的场景,这时你就需要获取 HTTP 请求参数或者请求body,一般思路有两种,一种就是自定义个AOP去拦截目标方法,第二种就是使用拦截器。整体比较来说,使用拦截器更灵活些,因为每个接口的请求参数定义不同,使用AOP很...
SpringBoot - 获取POST请求参数详解
热门推荐
思月行云
03-06 1万+
SpringBoot - 获取POST请求参数详解(附样例:表单数据、json、数组、对象)SpringBoot - 获取POST请求参数详解(附样例:表单数据、json、数组、对象)在前文我介绍了 Controller 如何接收通过 GET 方式传递过来的参数,下面接着演示如何接收通过 POST 方式传递过来的参数
SpringBoot配置拦截器获取请求内容
qq_33140257的博客
03-20 2304
做这个需求时还遇到过一个小问题,因为拦截后想要获取post请求参数需要用getInputStream()或getReader()来获取内容,但因为在整个请求io流只能获取一次,我在这里就获取的话,后面会报相应的错误,故要重写类和方法,将获取到的流保存下来。配置拦截器,重写preHandle(),postHandle(),afterCompletion()方法处理入参,这三个方法的作用。afterCompletion():请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
一文带你了解如何使用spring拦截器获取请求体和响应体的内容
qq_41625866的博客
10-13 2980
一文带你了解如何使用spring拦截器获取请求体和响应体的内容
怎么搭建一个springboot项目拦截器编写登录接口
03-21
你可以按照以下步骤搭建一个Spring Boot项目并编写登录接口: 1. 打开IDE,创建一个新的Spring Boot项目。 2. 在pom.xml文件添加Spring Security和Thymeleaf依赖。 3. 创建一个登录页面,使用Thymeleaf模板引擎渲染页面。 4. 创建一个控制器类,处理登录请求并返回登录页面。 5. 创建一个拦截器类,拦截所有请求并检查用户是否已登录。 6. 在Spring Security配置文件配置登录认证和授权规则。 7. 运行项目,访问登录页面并输入正确的用户名和密码即可登录。 以下是一个简单的示例代码: 1. pom.xml文件添加依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> ``` 2. 创建一个登录页面: ``` <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>Login Page</title> </head> <body> <h1>Login Page</h1> <form th:action="@{/login}" method="post"> <div> <label for="username">Username:</label> <input type="text" id="username" name="username" /> </div> <div> <label for="password">Password:</label> <input type="password" id="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 3. 创建一个控制器类: ``` @Controller public class LoginController { @GetMapping("/login") public String login() { return "login"; } } ``` 4. 创建一个拦截器类: ``` public class LoginInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { HttpSession session = request.getSession(); if (session.getAttribute("user") == null) { response.sendRedirect("/login"); return false; } return true; } } ``` 5. 在Spring Security配置文件配置登录认证和授权规则: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER"); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/") .permitAll() .and() .logout() .permitAll(); } } ``` 6. 运行项目,访问登录页面并输入正确的用户名和密码即可登录。 注意:以上代码仅供参考,实际项目需要根据具体需求进行修改和完善。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值