重复提交校验+HttpServletRequest 流数据不可重复读

最新推荐文章于 2024-04-21 17:03:00 发布
最新推荐文章于 2024-04-21 17:03:00 发布
阅读量543 收藏
点赞数 1
分类专栏: 工作常用 文章标签: java servlet spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43832604/article/details/128784080
版权

功能背景

第三方想要获取我们的接口数据,我们对请求进行统一鉴权校验、还有对于重复提交进行拦截,这些都要获取当前请求的参数,在进行校验,防止重复提交。

实现

①编写自定义注解类

import java.lang.annotation.*;

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface RedisLock {
    int expire() default 5;
}

然后在我们需要验证重复提交的方法上加上@RedisLock注解
在这里插入图片描述
②编写自定义拦截器,书写业务逻辑

import org.apache.commons.lang3.exception.ExceptionUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.lang.reflect.Method;
import java.nio.charset.Charset;
public class RepeatSubmitInterceptor extends HandlerInterceptorAdapter {

    private static final Logger LOGGER = LoggerFactory.getLogger(RepeatSubmitInterceptor.class);

    @Value("${spring.profiles.active}")
    private String springProfilesActive;
    @Value("${spring.application.name}")
    private String springApplicationName;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            RedisLock redisLock = method.getAnnotation(RedisLock.class);
            if (redisLock != null) {
                //设置缓存时间
                Integer expire = redisLock.expire();
                if (expire < 0) {
                    expire = 5;
                }
                LOGGER.info("进入重复提交效验");
                //就行重复效验
                if (isRepeatSubmit(request, expire)) {
                    ServletUtils.writeResponse(response, ResultEnum.CODE_6__REPETITION_OPERATION);
                    return false;
                }
            }
        }
        return true;
    }

    private Boolean isRepeatSubmit(HttpServletRequest request, Integer expire) throws IOException {
//        String currParams = getBodyString(request);
//        if (StringUtils.isBlank(currParams)) {
//            currParams = JSON.toJSONString(request.getParameterMap());
//        }
//        //参数加密
//        String md5Params = MD5Utils.getMD5(currParams);
        //设置Key值
        //同一个人,5秒内不能重复保存同一个接口
        LoginUserBo userBo = UserUtils.getUserFromSession();
        String key = "repeatSubmitLock:" + springApplicationName + ":" + springProfilesActive + ":" + userBo.getOrgNum() + ":" + userBo.getName() + ":" + request.getRequestURI();
        LOGGER.info(key);
        //加入分布式事务锁
        boolean exist = JedisUtils.tryGetDistributedLock(key, request.getRequestURI(), expire);
        if (!exist) {
            return true;
        }
        return false;
    }

    public static String getBodyString(ServletRequest request) {
        //暂时不加参数效验,未解决request流只读一次
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try (InputStream inputStream = request.getInputStream()) {
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            LOGGER.warn("getBodyString出现问题!");
        } finally {
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    LOGGER.error(ExceptionUtils.getMessage(e));
                }
            }
        }
        return sb.toString();
    }
}

以上代码仅实现了同一个人,5秒内不能重复保存同一个接口,对于getBodyString中的request流只读一次问题未解决。

HttpServletRequest 流数据不可重复读

成熟且常见的解决方案就是通过拦截器对任何请求,进行拦截,只要在拦截器中获取当前请求的参数即可。奈何在拦截器中只有拿到request使用 request.getParameter() 等方法时,只能拿到表单数据和地址栏参数,并不能拿到请求头数据。当使用request.getInputStream(),能拿到参数。但是在具体接口业务流程中,再使用request.getParameter() 等方法,传入参数就获取不到了。
在这里插入图片描述
我们会发现在拦截器中使用request.getInputStream()方法拿到参数后,再走我们实际的调用接口是会拿不到参数,说流已关闭,因为流只能被读一次。

解决方案

重写HttpServletRequestWrapper包装类,使用过滤器在任何请求之前将线程中的HttpServletRequest替换成包装好的,在调用getInputStream方法时,将流数据同时写到缓存。后面想获取参数,直接读取缓存数据即可。这样就可以实现Request的内容多次读取。
①封装 request 自定义类 ContentCachingRequestWrapper

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.nio.charset.StandardCharsets;

/**
 *
 * 重写 HttpServletRequestWrapper
 *
 * @Author: didi
 * @Date 2022-09-21
 */
public class ContentCachingRequestWrapper extends HttpServletRequestWrapper {
    private final byte[] body;

    public ContentCachingRequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder sb = new StringBuilder();
        try (BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream(), StandardCharsets.UTF_8))){
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        body = sb.toString().getBytes(StandardCharsets.UTF_8);
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream inputStream = new ByteArrayInputStream(body);

        return new ServletInputStream() {

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return inputStream.read();
            }
        };
    }

    public byte[] getBody() {
        return body;
    }
    /**
     * 获取请求Body
     *
     * @return String
     */
    public String getBodyString() {
        return new String(body);
    }
}

②自定义过滤器

import com.github.pagehelper.StringUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


import javax.servlet.*;
import javax.servlet.FilterConfig;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @Author didi
 * @Create 2022/9/21 9:04
 */
public class ReplaceStreamFilter  implements Filter {
    private static final Logger logger = LoggerFactory.getLogger(ReplaceStreamFilter.class);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        logger.info("StreamFilter初始化...");
    }


    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String contentType = request.getContentType();
        if(!StringUtil.isEmpty(contentType) && contentType.contains("multipart/form-data")) {
            chain.doFilter(request, response);
            return;
        }
        if(request instanceof HttpServletRequest) {
             request = new ContentCachingRequestWrapper((HttpServletRequest) request);
        }
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        logger.info("StreamFilter销毁...");
    }
}

③添加过滤器配置

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;

/**
 * @Author didi
 * @Description 过滤器配置类
 * @Create 2022/9/21 9:06
 */
@Configuration
public class FilterContextConfig {
    /**
     * 注册过滤器
     *
     * @return FilterRegistrationBean
     */
    @Bean
    public FilterRegistrationBean someFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(replaceStreamFilter());
        registration.addUrlPatterns("/*");
        registration.setName("streamFilter");
        return registration;
    }

    /**
     * 实例化StreamFilter
     *
     * @return Filter
     */
    @Bean(name = "replaceStreamFilter")
    public Filter replaceStreamFilter() {
        return new ReplaceStreamFilter();
    }
}

封装后的request流具体实现方法

ContentCachingRequestWrapper requestWrapper = new ContentCachingRequestWrapper(request);
String currParams = requestWrapper.getBodyString();

完整的自定义拦截器

public class RepeatSubmitInterceptor extends HandlerInterceptorAdapter {

    private static final Logger LOGGER = LoggerFactory.getLogger(RepeatSubmitInterceptor.class);

    @Value("${spring.profiles.active}")
    private String springProfilesActive;
    @Value("${spring.application.name}")
    private String springApplicationName;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            RedisLock redisLock = method.getAnnotation(RedisLock.class);
            if (redisLock != null) {
                //设置缓存时间
                Integer expire = redisLock.expire();
                if (expire < 0) {
                    expire = 5;
                }
                LOGGER.info("进入重复提交效验");
                //就行重复效验
                if (isRepeatSubmit(request, expire)) {
                    ServletUtils.writeResponse(response, ResultEnum.CODE_6__REPETITION_OPERATION);
                    return false;
                }
            }
        }
        return true;
    }

    /**
     *5秒内判断重复提交 同一个人同一个参数同一个参数(地址栏+请求体,不包含文件流请求体)为重复提交进行拦截
     * @param request 当前请求
     * @param expire redis
     * @return
     */
    private Boolean isRepeatSubmit(HttpServletRequest request, Integer expire)  {
        /**
         *  TODO ContentCachingRequestWrapper被new两次,重复新建,按理来说整个request以及被替换,无需在new
         *  在没有其他框架封装request时可以进行强转(比如zuul,shiro,security)
         */
        String currParams="";
        String contentType = request.getContentType();
        Map<String, String[]> parameterMap = request.getParameterMap();
        if (!parameterMap.isEmpty()) {
            currParams = JSON.toJSONString(parameterMap);
        }
        // 如果上传文件不能对request进行包装,提升流已经关闭
        if(StringUtil.isNotEmpty(contentType) && !contentType.contains("multipart/form-data")) {
            ContentCachingRequestWrapper requestWrapper = new ContentCachingRequestWrapper(request);
            String bodyString = requestWrapper.getBodyString();
            currParams = StringUtils.isEmpty(currParams) ? bodyString : currParams + bodyString;
        }
        LOGGER.info("requestParamJson --> {}", currParams);
        //参数加密
        String md5Params = MD5Utils.getMD5(currParams);
        //设置Key值
        //同一个人,5秒内不能重复保存同一个接口
        LoginUserBo userBo = UserUtils.getUserFromSession();
        String key = "repeatSubmitLock:" + springApplicationName + ":" + springProfilesActive + ":" + userBo.getOrgNum() + ":" + userBo.getName() + ":" + request.getRequestURI()+":"+md5Params;
        LOGGER.info(key);
        //加入分布式事务锁
        boolean exist = JedisUtils.tryGetDistributedLock(key, request.getRequestURI(), expire);
        if (!exist) {
            return true;
        }
        return false;
    }
}
'会飞的猪
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA 后端对api接口进行加解密
H_bbo的博客
06-10 3993
JAVA 后端对api接口进行加解密 1、新增过滤器,对web资源进行拦截 2、新增一个切面类,⽬标⽅法执⾏前后分别执⾏ 3、加解密工具类 4、接口测试
Spring mvc防止数据重复提交的方法
08-26
Spring MVC 防止数据重复提交的方法是使用 Token 机制来实现的,该机制通过在服务器端生成一个随机的 UUID,并将其存储在 Session 中,然后在客户端提交数据时带上该 UUID,服务器端在接收到该 UUID 后,对其进行...
利用HttpServletRequestWrapper来支持可重复读取HttpServletRequest中的请求输入且不影响Controller层的参数获取
LSL1618的博客
01-20 3056
HttpServletRequest中的请求输入不可重复读取的原因就不叙述了,一堆搜索结果随便看,直接看步骤正文: 1.定义请求包装器,继承于 HttpServletRequestWrapper import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.ArrayUtils; import org.apache.commons.lang3.StringUtils; import org.springframework.ht.
HttpServletRequest重复读取
Quan_qqqq的博客
09-01 555
背景概述 最近公司要求在之前的项目APP接口里面加入端口校验功能,实现起来很简单,就是通过添加拦截器的方式,在interceptor中读取端口参数,校验该端口在配置文件中是否有存在,存在返回已占用,请重新输入,不存在就添加该服务。 接口中主要是json格式,其对应的是payload请求,不可以通过request的getParameter()方法直接获取,需要通过getRead或者getInputStream方法获取,通过读取body,将body转化成JsonObject来获取。读取之后就出现了下面的错误
ServletRequestHttpServletRequest 接口详解
最新发布
vV_Leon的博客
04-21 1207
ServletRequestHttpServletRequest 接口的一些问题
HttpServletRequest 重复读取及设置自定义header
蜀道难,难于上青天。
04-13 2497
前言 最近在开发中遇到了一个需求,需要重复读取HttpServletRequest请求内容及设置自定义header向下传递,但是会出现Required request body is missing ,原因是ServletInputStream的只能读取一次,那么我们只需要让请求内容可以重复读取即可,可以通过HttpServletRequestWrapper来实现。 实现步骤 1.自定义MutableHttpServletRequest public class MutableHttpServletReq
解决HttpServletRequest的输入只能读取一次的问题,request重复
qq_39564710的博客
03-30 628
原文连接:http://www.360doc.com/document/19/0106/20/39911641_807065847.shtml 原文连接中有对 可重复读 和 验签业务逻辑的大致说明 代码实现步骤 第一步 编写 RequestWrapper类 extends HttpServletRequestWrapper package com.xihongshi.common.filter; import lombok.extern.slf4j.Slf4j; import ja.
Java实现用户不可重复登录功能
08-31
总结来说,Java实现用户不可重复登录功能主要是通过管理session,结合用户唯一标识来判断和处理重复登录情况。通过合理的代码设计和策略,可以有效地防止同一账号的多次登录,提升系统的安全性。
Java表单重复提交的避免方法
08-31
Java表单重复提交是Web开发中常见的问题,可能导致数据不一致和系统异常。要理解这个问题,首先要明白表单提交的基本程:用户打开表单页面,填写信息,然后点击提交按钮,浏览器向服务器发送请求,服务器处理请求...
java注解方式实现拦截接口重复提交
02-02
在这个场景中,"java注解方式实现拦截接口重复提交"是为了解决一个常见的问题:如何避免用户在短时间内多次调用同一接口,导致服务器处理重复请求,可能引发资源浪费或数据不一致。 首先,我们需要定义一个自定义...
基于springboot实现表单重复提交.docx
03-01
基于 SpringBoot 实现表单重复提交解决方案 表单重复提交是指在一次请求完成之前防止重复提交,解决表单重复提交有多种形式,以下以 Aop+自定义注解+Redis 为例来介绍。 解决方案的详细程 1. 当页面加载时,...
java 复制request文件不可重复读
zjm123456780的博客
06-29 391
简单说一下原理,其实就是通过自定义的HttpServletRequestWrapper 备份一下数据,自定义HttpServletRequestWrapper 调用父类request.getInputStream()读取全部数据出来保存在一个byte数组内,当再次获取数据的时候,自定义的HttpServletRequestWrapper 就会用byte数组重新生成一个新的。参见:http://www.cnblogs.com/jiangxinnju/p/5709378.html。
Java后台解决request请求不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 1972
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求可以重复读取的功能。
任何情况下的HttpServletRequest参数无法重复读取【formdata/json/get/post】
偶尔写些东西,意思一下我也参与了内卷
09-19 1086
我也是照着网上的大部分方案,把拷贝出来,这样确实解决了我使用json传递的问题,但是我是用的方法不能解决formdata的传递;
如何多次读取request请求里的数据
qq_35448165的博客
02-06 2290
问题场景 : 我们一般直接获取request请求里的参数进行数据处理,现在想在过滤器里将获取请求数据并打印,方便做日志排查。 但是POST请求中的参数是存储在中的,只能读一次,无法多次读取。 解决办法 使用ThreadLocal存储请求数据 最简单的办法就是获取到请求数据之后存储在一个地方,这样下次再使用的时候就直接从存储处获取,而不再从request请求里获取 拦截的filter @Component public class MyFilter implements Filter { pub
实现ServletRequest重复读、重写场景
上进学长
09-12 916
文章目录背景自定义Wrapper解析工具 背景 ​ 众所周知request的输入只能读取一次,不能重复读取,如果在过滤器或者拦截器中有业务需求对输入进行一些其他操作,那么此处读取过后再到controller层就会报错,提示IO异常,这里采用实现HttpServletRequestWrapper自定义一个包装器的方式解决输入不能重复读取的问题,并实现修改的功能,下面直接上代码! 自定义Wrapper /** * <p> * 构建HttpServletRequest包装器 * &l
Spring MVC 如何彻底解决request body重复读取?
b306533659的博客
11-15 4392
Spring MVC 如何彻底解决request body重复读取?
Request重复获取Post请求
weixin_49066429的博客
08-06 492
ServletRequest当中只能被读取一次,在springboot当中我们使用@requestBody 后springmvc 配合Jackson会去读取一次,然后后续就不可以读取了。
踩坑记录HttpSevletRequest Body信息不能被多次读取
tao441033618的博客
04-12 1121
如果需要实现一个业务拦截器需要拦截request的所有传入信息。通常情况下,HttpServletRequst中的body内容只会读取一次,但是可能某些情境下可能会读取多次,由于body内容是以的形式存在,所以第一次读取完成后,第二次就无法读取了,一个典型的场景就是Filter 在校验完成body的内容后,业务方法就无法继续读取了,导致解析报错。我们是否可以用装饰器来修饰一下 request,使其可以包装读取的内容,供多次读取。后续的request就可以使用封装器多次读取body信息。
HttpServletRequest 数据转json
09-14
要将HttpServletRequest中的数据转换为JSON,你需要执行以下步骤: 1. 首先,获取HttpServletRequest对象中的输入。你可以使用`getInputStream()`方法来获取输入对象。例如: ```java InputStream ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值