zuulFilter的post请求参数解密

已于 2022-06-21 10:32:45 修改
阅读量1.1k 收藏 2
点赞数
文章标签: 微服务 java json
于 2022-06-16 15:12:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42471125/article/details/125316126
版权

问题描述:
在开发的过程中,为了保证请求数据和返回数据的安全性,通常需要进行请求和返回数据加密,但是请求数据通常是密文,会导致Controller层无法获取请求对象。

思路:
使用过滤器或aop统一对请求参数进行拦截,从HttpServletRequest获取加密数据后,进行解密,把解密后的json字符串重新填回HttpServletRequest就,Controller层就可以接收到解密后的json对象了。

httpServletRequest只有getInputStream方法可以获取输入流且只能获取一次,但是没有setRequestBody的功能,

以zuulFilter为例的微服务工程,解决方法如下:
定义一个类(以下示例类名为BodyReaderHttpServletRequestWrapper )继承HttpServletRequestWrapper,在自定义的继承了zuulFilter的类中获取HttpServletRequest,构造一个BodyReaderHttpServletRequestWrapper ,将HttpServletRequest对象传入,setBody将解密后字符串传入然后调用getInputStream(),就可以完成HttpServletRequest中RequestBody的重写;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.net.URLDecoder;
import java.util.*;


public class BodyReaderHttpServletRequestWrapper extends HttpServletRequestWrapper{
    private String getRequestBody(InputStream stream) {
        String line = "";
        StringBuilder body = new StringBuilder();
        int counter = 0;

        // 读取POST提交的数据内容
        BufferedReader reader = new BufferedReader(new InputStreamReader(stream));
        try {
            while ((line = reader.readLine()) != null) {
                if (counter > 0) {
                    body.append("rn");
                }
                body.append(line);
                counter++;
            }
        } catch (IOException e) {
            e.printStackTrace();
        }

        return body.toString();
    }

    private HashMap<String, String[]> getParamMapFromPost(HttpServletRequest request) {

        String body = "";
        try {
            body = getRequestBody(request.getInputStream());
        } catch (IOException e) {
            e.printStackTrace();
        }
        HashMap<String, String[]> result = new HashMap<String, String[]>();

        if (null == body || 0 == body.length()) {
            return result;
        }

        return parseQueryString(body);
    }


    public HashMap<String, String[]> parseQueryString(String s) {
        String valArray[] = null;
        if (s == null) {
            throw new IllegalArgumentException();
        }
        HashMap<String, String[]> ht = new HashMap<String, String[]>();
        StringTokenizer st = new StringTokenizer(s, "&");
        while (st.hasMoreTokens()) {
            String pair = (String) st.nextToken();
            int pos = pair.indexOf('=');
            if (pos == -1) {
                continue;
            }
            String key = pair.substring(0, pos);
            String val = pair.substring(pos + 1, pair.length());
            if (ht.containsKey(key)) {
                String oldVals[] = (String[]) ht.get(key);
                valArray = new String[oldVals.length + 1];
                for (int i = 0; i < oldVals.length; i++) {
                    valArray[i] = oldVals[i];
                }
            } else {
                valArray = new String[1];
            }
            ht.put(key, valArray);
        }
        return ht;
    }

    private Map<String, String[]> getParamMapFromGet(HttpServletRequest request) {
        return parseQueryString(request.getQueryString());
    }

    // 报文
    private byte[] body;

    public String getBody(){
        return new String(body);
    }

    public void setBody(String bodypa){
        body = bodypa.getBytes();
    }

    public BodyReaderHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);

        body = readBytes(request.getInputStream());

        //
        /*if ("POST".equals(request.getMethod().toUpperCase())) {
            paramsMap = getParamMapFromPost(this);
        } else {
            paramsMap = getParamMapFromGet(this);
        }*/

    }


    public BodyReaderHttpServletRequestWrapper(HttpServletRequest request, byte[] encodeBody) throws IOException {

        super(request);

        body = encodeBody;
        //
        /*if ("POST".equals(request.getMethod().toUpperCase())) {
            paramsMap = getParamMapFromPost(this);
        } else {
            paramsMap = getParamMapFromGet(this);
        }*/
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(body);
        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener arg0) {

            }
        };
    }

    private static byte[] readBytes(InputStream in) throws IOException {
        BufferedInputStream bufin = new BufferedInputStream(in);
        int buffSize = 1024;
        ByteArrayOutputStream out = new ByteArrayOutputStream(buffSize);

        byte[] temp = new byte[buffSize];
        int size = 0;
        while ((size = bufin.read(temp)) != -1) {
            out.write(temp, 0, size);
        }
        bufin.close();

        byte[] content = out.toByteArray();
        return content;
    }
}

拦截器或aop中使用:

//获取HttpServletRequest 
 RequestContext ctx = RequestContext.getCurrentContext();
 HttpServletRequest request = ctx.getRequest();
 //获取RequestBody
 ServletInputStream inputStream = request.getInputStream();
  if (inputStream != null) {
     secParamStr = IOUtils.toString(inputStream);
     log.info("入参 = {}", secParamStr);
    //此处进行解密,获取解密后的字符串
    String decodeJson = SM4util.decode(secParamStr);
  }
   
   log.info("解密结果 = {}", decodeJson );
//requestBody明文回填
BodyReaderHttpServletRequestWrapper brtsr = new BodyReaderHttpServletRequestWrapper(request);
 brtsr.setBody(decodeJson );
 brtsr.getInputStream();

上述方法如果不行,可以使用更简单点的:

 /**
     * 重新post请求参数
     * @param ctx RequestContext 对象
     * @param paramBytes 需要重写进post请求体的jsonStr
     */
    public static void rewriteRequest(RequestContext ctx, byte[] paramBytes){
        ctx.setRequest(new HttpServletRequestWrapper(ctx.getRequest()){
            @Override
            public ServletInputStream getInputStream() throws IOException{
                return new ServletInputStreamWrapper(paramBytes);
            }

            @Override
            public int getContentLength(){
                return paramBytes.length;
            }

            @Override
            public long getContentLengthLong(){
                return paramBytes.length;
            }
        });
    }
//---在继承了zuulFilter的类中的run方法使用:这里使用SM4做例子,加解密工具类暂不提供
  RequestContext ctx = RequestContext.getCurrentContext();
  ServletInputStream inputStream = ctx.getRequest().getInputStream();
  String encodeStr = IOUtils.toString(inputStream);
  String decodeParams = SM4Utils.decodeECB(encodeStr);
 rewriteRequest(ctx,decodeParams.getBytes(Charset.defaultCharset()));
南京热心市民
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于ZUUL过滤对请求中文件参数进行编解码/加解密/替换
qingtian_weiwei的博客
03-07 1398
目录 前言 思路流程 代码 相关pom jar 文件上传过滤器 文件下载过滤器 Bse64编码工具类 前言 在项目中遇到需要将前台涉及文件上传或下载的请求中的文件参数进行Base64编码,以便于适应他们本地的中台系统。调用流程为 前台Nginx服务器----->中台服务----->后台Service服务,其中他们的中台服务硬性要求了这种功能。 乍一听感觉好奇怪的需求,但是毕竟甲方爸爸这么要求了,咱也没办法,撸袖子干吧。 为了减少对原后台服务的修改,且减少代码暴露,.
spring cloud-zuulFilter详解
热门推荐
牛奋lch
03-15 7万+
在前面我们使用zuul搭建了网关http://blog.csdn.net/liuchuanhong1/article/details/59056278 关于网关的作用,这里就不再次赘述了,我们今天的重点是zuulFilter。通过Filter,我们可以实现安全控制的,比如,只有请求参数中有用户名和密码的客户端才能访问服务端的资源。那么如果来实现Filter了? 要想实现Filter,需要
开发通用工具 加密解密 post get请求等等
11-15
开发通用工具 加密解密 post get请求等等开发通用工具 加密解密 post get请求等等
Gateway的使用案例,使用httpClient方式来请求网关
09-05
本项目采用Spring Boot作为服务基本框架,用到的组件有eureka、gateway,关注公众号:程序艺术室,回复gatewaydemo,获取启动步骤及效果演示
若依前后端分离版-服务端过滤器对POST请求参数解密(针对指定接口)+添加请求头信息+响应信息拦截并将数据进行加密
yyongsheng的博客
07-12 3276
2、下面对 RepeatedlyRequestWrapper进行改造(数据进行解密)或者自行创建一个新的xxxxRequestWrapper类替换掉RepeatableFilter中的RepeatedlyRequestWrapper。过滤器中的RepeatedlyRequestWrapper对POST请求参数数据允许可重复读取。去除指定接口验证的话,将会是对所有接口请求参数进行解密。1、找到项目中的过滤器:RepeatableFilter
SpringBoot 通过Filter与AOP实现请求加密解密功能
我就是我不一样的美男子!
09-30 5570
SpringBoot 通过Filter与AOP实现请求加密解密功能 对所有请求信息进行解密解密之后传入Controller进行处理,Controller 处理完成之后返回结果信息在进行加密返回; 执行流程: 前端请求(加密) -> Filter(解密) -> AOP -> Controller -> AOP(加密) -> Filter -> 前端(解密) 为什么这么设计?这么设计有什么好处? 通过Filter 可以修改请求入参,对于已经开发完成的接口完全不需要修
zuul实现对post请求参数基于RSA的统一解密
Spirit_NKlaus的专栏
03-12 492
编写一个RSA的加密解密工具类,我这边项目时前后端分离的,所以加密由前端那边完成使用的是jsEncrypt的分段加密,后端进行统一解密操作,防止信息泄露以及SQL或脚本参数入侵,后端生成公私钥,私钥留作解密,公钥给到前端进行加密 /** * RSA算法 加密解密 * * @author: YuanXing on 2021/03/08 */ public class RSAUtils { /** * 加密算法RSA */ public static final
PHP中Http协议post请求参数
12-19
在PHP中,HTTP协议的POST请求参数主要用于向服务器发送数据,这种请求方式通常用于提交表单数据、上传文件等场景,因为POST请求可以承载大量数据且数据不会显示在URL上,提高了数据的安全性。了解HTTP协议是理解PHP...
postman中POST请求参数包含参数list设置方式
08-19
Postman中,进行POST请求时,我们常常需要传递各种类型的参数,包括简单的键值对、文件、甚至复杂的JSON对象。对于包含列表或数组的参数Postman提供了灵活的设置方式。本文将详细讲解如何在Postman中设置POST...
C#Post参数请求+WebService接口.zip
05-23
本压缩包“C#Post参数请求+WebService接口.zip”提供了关于如何使用C#进行POST请求并调用WebService接口的相关代码示例。下面我们将深入探讨这两个核心知识点。 1. **C# 带参数POST请求**: 当需要向服务器发送...
Nginx设置日志打印post请求参数的方法
01-09
【Nginx设置打印POST请求参数的方法】 在Web服务中,日志记录是排查问题、监控系统健康状态的重要工具。Nginx作为一款高性能的HTTP和反向代理服务器,其默认的日志配置并不包含POST请求参数信息。当面对如描述中...
Android WebView通过动态的修改js去拦截post请求参数实例
08-19
Android WebView 通过动态修改 JS 拦截 POST 请求参数实例 Android WebView 通过动态修改 JS 拦截 POST 请求参数实例是指在 Android 应用程序中使用 WebView 组件来加载网页,并通过修改 JavaScript 代码来拦截用户...
Spring Cloud --zuul搭建 之 自定义 filter POST请求返回头信息自定义
qq690452074的专栏
03-07 794
头信息自定义增加“X-Foo” @Component public class addResponseHeaderFilter extends ZuulFilter{ @Override public String filterType() { return POST_TYPE; } @Override public int...
Spring Cloud 通过在 zuul 修改请求参数——对请求参数进行解密
谦虚使人发胖的博客
06-11 5630
一、zuul zuul是netflix开源的一个API Gateway 服务器, 本质上是一个web servlet应用,Zuul 在云平台上提供动态路由,监控,弹性,安全等边缘服务的框架,Zuul 相当于是设备和 Netflix 流应用的 Web 网站后端所有请求的前门。zuul的核心是一系列的filters, 其作用可以类比Servlet框架的Filter,或者AOP。 在基于 sprin...
zuul post请求添加参数
最新发布
进行中
11-22 125
【代码】zuul post请求添加参数
天翼网关 ddns设置_19,微服务网关之Zuul
weixin_39648539的博客
10-27 1625
这一次给大家分享微服务网关的相关知识,这个也是微服务架构中,相当重要的组件之一,来,下面听我徐徐道来1,API网关概览1.1,现有的交互模式存在什么问题?目前,是客户端会直接跟多个微服务直接交互,这种模式存在什么问题?1,客户端会请求多个不同的服务,需要维护不同的请求地址,增加开发难度 2,在某些场景下存在跨域请求的问题,也会降低访问的效率3,加大身份认证的难度,每个微服务都需要独立认证因此,我们...
Zuul关于application/x-www-form-urlencoded踩坑
DJYDFT2831djydft的专栏
12-08 836
一、问题描述: POST请求,A项目调用B项目,空格转码成了%20; POST请求,A项目调用zuulzuul转发到B项目,空格变成了+号; 具体问题: 1、A通过调用FormBody对contentType为application/x-www-form-urlencoded的入参进行编码,其将空格转成了%20 2、通过A直接调用B,因为contentType为application/x-www-form-urlencoded,所以tomcat在处理这个请求的时候,从body里面拿出数.
后端Aes256加解密改变HttpServletRequest请求参数,或添加请求参数
DravenLeft的博客
09-28 795
后端Aes256加解密改变HttpServletRequest请求参数,或添加请求参数 因为项目中api交互需要进行接口加密,所以把请求参数统一解密,加解密方式就不细说网上很多工具类,详细讲一下如何改变前端或app端请求参数。 首先我们我们接收请求参数的方式有两种,一种是直接拼接在url之后,另一种是@RequestBody的方式包在body中。我们需要重写一个ParameterRequestWrapper 继承HttpServletRequestWrapper import cn.hutool.js
使用javapost请求,携带请求头,并且以json的形式携带请求
weixin_35752233的博客
01-03 1893
好的,下面是在 Java 中使用 HttpURLConnection 发送 HTTP POST 请求的示例代码,携带请求头和以 JSON 的形式携带请求体。 首先,需要导入必要的类: import java.io.BufferedReader; import java.io.DataOutputStream; import java.io.InputStreamReader; import jav...
aop解密post请求参数
07-27
- *2* [zuulFilterpost请求参数解密](https://blog.csdn.net/weixin_42471125/article/details/125316126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值