filter实现接口验签流程+保证body请求体不丢失

最新推荐文章于 2023-03-22 18:08:56 发布
VIP文章 最新推荐文章于 2023-03-22 18:08:56 发布
阅读量584 收藏 3
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44821509/article/details/119869007
版权

接口验签流程

  1. 接收前端传来的入参,并根据入参的key通过ASCII码进行排序(放到treeMap即可)
  2. 将排序好的json字符创进行md5摘要。(将sign字段去除)
  3. 将排序好的字符串与前端传入的sign字段进行比对,如果正确,继续,错误返回错误信息

存在的问题(body丢失,所有post请求失效)

  1. 从HttpServletRequest获取的InputStream读一次就无法再读了
    解决办法:将inputStream通过 extends HttpServletRequestWrapper进行inputStream的包装,让inputStream从ByteArrayInputStream中进行流的读取,该对象可以从内存中进行数据的读取,不会读取一次之后就无法再读了。
    1.请求体存在流中,保证后面可以读取到请求体,需要复制流
    2.inputStream的读取方式为:会有一个pos指针,他指示每次读取之后下一次要读取的起始位置,当读到最后一个字符的时候,pos指针不会重置
    3.但不是所有的流都是这种读取方式,ByteArrayInputStream 就是从内存中读取byte[],每次读取都会重新遍历。就像遍历List时,会新建一个
    Iterator,所以pos也就回到了开始的位置。
  2. 未理解的点?
    为什么在复制流的时候,要从流中read出来,在write出去,而不能直接使用httpservlet.getInputStream。

代码实现过程

  1. 实现过滤器接口
  2. 重写doFilter方法
  3. 新建类继承HttpServletRequestWrapper,Stream.copyInputStream。copy出一个字节数组。重写getInputStream()和getReader(),改为内存读取流,保证body不丢失
  4. 获取url上和body中的参数,并通过treemap进行排序
  5. 对map中的数据进行除了sign字段的摘要
  6. 与前端传入的md5摘要进行比对

代码实现

@Slf4j
@WebFilter(urlPatterns = {
   "/user"})
public class SignAuthFilter implements Filter {
   

    @Override
    public void init(FilterConfig filterConfig) {
   
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
   

        HttpServletResponse response = (HttpServletResponse) res;
        // 防止流读取一次后就没有了, 所以需要将流继续写出去
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletRequest requestWrapper = new BodyReaderHttpServletRequestWrapper(request);

        //获取全部参数(包括URL和body上的)
        SortedMap<String, String> allParams = HttpUtils.getAllParams(requestWrapper);
        //获取时间为空
        String currentTime = allParams.get(Constant.System.SIGN_TIME);
        if (StringUtils.isBlank(currentTime)) {
   
            log.error("current_time字段为空,验签失败,param:{}", JSON.toJSONString(allParams));
            HttpUtils.setResponsemessage(response, "参数异常");
            return;
        }
        //对参数时间进行验证 超时
        boolean isTimeOut = SignUtil.verifyStayTime(currentTime);
        if (Boolean.FALSE.equals(isTimeOut)) {
   
            log.error("页面停留时间过长,请重新提交,param:{}", JSON.toJSONString(allParams));
            HttpUtils.setResponsemessage(response, "页面停留时间过长,请重新提交");
            return;
        }
        //对参数进行签名验证
        boolean isSigned = SignUtil.verifySign(allParams);
        if (isSigned) {
   
            chain.doFilter(requestWrapper, response);
        } else {
   
            log.error("验签失败,param:{}", JSON.toJSONString(allParams));
            HttpUtils.setResponsemessage(response, "参数异常");
        }
    }


    @Override
    public void
最低0.47元/天 解锁文章
weixin_44821509
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 获取body内数据并赋值给servlet, 同时保留body数据
ZZY的博客
05-17 5555
在此我们通过过滤器来完成本功能@WebFilter(filterName = "RequestBodyFilter", urlPatterns = "/**") public class RequestBodyFilter implements Filter { public static final String LOGTHREAD_ID="logthreadId"; priva...
关于过滤器使用了参数后,接口获取不到参数问题
小错的博客
11-22 2338
过滤器获取了前端传进来的参数,没有”归还”使得控制层获取不到参数。 解决:写一个参数归还类(LztHttpRequest)继承HttpServletRequestWrapper。public class LztHttpRequest extends HttpServletRequestWrapper { private final byte[] body; public FrontHt
JAVA通过Filter实现允许服务跨域请求的方法
08-26
里的域指的是这样的一个概念:我们认为若协议 + 域名 + 端口号均相同,那么就是同域即我们常说的浏览器请求的同源策略。这篇文章主要介绍了JAVA通过Filter实现允许服务跨域请求,需要的朋友可以参考下
springcloud gateway GlobalFilter 名校,获取Post请求
梦想起飞的地方.........
04-09 4970
springcloud gateway GlobalFilter 名校,获取Post请求 前言 网上有很多方式获取Post请求内容,尝试了好多种方式,都不是最佳的使用方式。 方式一 网上大多的解决方会有很多坑,网上说最大只能1024B(点击快速传送),个人没有采用 if ("POST".equals(method)) { //从请求里获取Post请求 S...
java参数实现
beiduofen2011的专栏
06-02 1144
sss
SpringBoot使用Filter实现名认证鉴权
java_shm的专栏
11-07 1894
情景说明 鉴权,有很多方案,如:SpringSecurity、Shiro、拦截器、过滤器等等。如果只是对一些URL进行认证鉴权的话,我们完 全没必要引入SpringSecurity或Shiro等框架,使用拦截器或过滤器就足以实现需求。 本文介绍如何使用过滤器Filter实现URL名认证鉴权。 本人测试软硬件环境:Windows10、idea、SpringBoot...
HttpUtil万能工具类,直接搬用
qq_44982110的博客
03-03 6741
请求方式POST/GET。请求头有可能是加密后的密文。往往校这种接口,需要有apiKey,secretKey。这里分享一下我对接遇到的奇奇怪怪的请求。接下来就需要用Java代码模拟用postman发送请求。情况4:最为复杂的,发送方式POST。请求头+表单形式发送请求+文件。4.拿到申请的资料之后,先在postman跑一下,拿到token令牌。情况2:发送方式POST,请求JSON。情况1:请求方式POST,请求JSON。情况3:发送方式POST。情况2:GET请求方式,参数+请求头。
Springboot多个Filter导致数据丢失
m0_37658349的博客
06-02 971
在Springboot项目中的Filter出现参数莫名其妙丢失的情况,本地无误,发到测试环境,间歇性出现参数丢失的情况。经排查得知是另一个filter的过滤辉导致参数被覆盖。
WebFlux 跨越和filter 证异常的解决办法,以及@Order的原理
dingdeyangvip123的博客
04-18 712
在使用spring中有时候需要在filter中做一些全局的校,比如证token是否合法,不合法需要抛异常。但是如果姿势不对就会和跨越的CorsWebFilter执行顺序不一致导致跨域。 如何解决:可以使用@Order注解把跨域的filter执行顺序提前就可以了。 原理: WebHttpHandlerBuilder 中 使用了DefaultListableBeanFactory AnnotationAwareOrderComparator 其实原理很..
Servlet与Filter两种方式实现身份证和访问控制
个人学习笔记库,一篇一篇记录成长的足迹
03-22 938
servlet和filter实现用户登陆
springboot使用filter获取自定义请求头的实现代码
08-26
主要介绍了springboot使用filter获取自定义请求头的实例代码,代码简单易懂,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
http请求绕过Filter实现实例
08-30
主要介绍了http请求绕过Filter实现实例的相关资料,需要的朋友可以参考下
微服务系列之SpringBoot基础:过滤器、拦截器、Aop切面
kuangpengfei的博客
03-02 2272
SpringBoot过滤器、拦截器、Aop切面
md5加密代码_接口测试参数实现MD5加密名规则
weixin_39533896的博客
12-04 454
最近有个测试接口需求,接口名检查,名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到名,将名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密名规则。...
防止ajax请求参数被修改,spingboot、vue防止多次请求、参数篡改、数据完整
weixin_36210904的博客
08-06 775
1、vue请求传值为:时间戳(timeStamp)、随机数(nonce)、sign(url+params参数排序并进行加密)2、后台获取请求内容,a、先证访问时间戳是否超出请求范围b、证随机数(nonce)是否已经使用过c、后台对获取的参数进行排序并加密,证获取的标是否与sign是否同一值注:传参模式vue传参模式为params@PostMapping("/add")public Ajax...
使用httputils进行网络请求上拉加载
Ma_yv的博客
07-29 318
public class FragmentOne extends Fragment implements IXListViewListener {     private XListView xlv;     private int index;     private String path;     private List list = new ArrayList();     p
解决Spring Boot中,通过filter打印post请求的 request body 问题
runwuwushengxiyu的博客
10-20 445
解决Spring Boot中,通过filter打印post请求的 request body 问题
led-Opt.Bak
最新发布
05-21
毕设&课设&项目&实训- 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
编写过滤器类主要实现Filter接口实现什么方法
05-26
编写过滤器类主要实现Filter接口的三个方法: 1. init()方法:在过滤器被初始化时被调用,用于初始化过滤器的一些配置和参数。 2. doFilter()方法:过滤器的核心方法,处理请求和响应,进行过滤操作。 3. destroy...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值