springboot拦截器获取http请求参数

已于 2022-10-26 16:12:56 修改
阅读量7k 收藏 21
点赞数 2
文章标签: java spring boot
于 2022-04-27 17:07:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z17806289513/article/details/124454000
版权

        最近有个需求,要对某一个资源进行权限校验,若对涉及到的接口逐一增加权限校验不太现实,所以准备用拦截器获取到当前资源id,校验用户是否有该资源权限。中间碰到了一些坑,特此记录一下,涉及到的地方若有不对,敬请指正。

1、获取请求参数可以做什么

  • 前置获取参数,统计请求数据
  • 做服务的接口签名校验
  • 敏感接口监控日志
  • 敏感接口防重复提交

2、定义拦截器

注:若为接口地址后面问号拼接的参数或表单参数可用 request.getParameter("resourceId") 去获取,但是post body参数需要使用流的方式,调用request.getInputStream()获取流,然后从流中读取参数。这样是可以成功获取到post请求的body,但是,经过拦截器后,参数经过@RequestBody注解赋值给controller中的方法的时候,会抛出了一个异常:

org.springframework.http.converter.HttpMessageNotReadableException: Required request body is missing

        那是因为流对应的是数据,数据放在内存中,有的是部分放在内存中。read 一次标记一次当前位置(mark position),第二次read就从标记位置继续读(从内存中copy)数据。 所以这就是为什么读了一次第二次是空了。 怎么让它不为空呢?只要inputstream 中的pos 变成0就可以重写读取当前内存中的数据。javaAPI中有一个方法public void reset() 这个方法就是可以重置pos为起始位置,但是不是所有的IO读取流都可以调用该方法!ServletInputStream是不能调用reset方法,这就导致了只能调用一次getInputStream()。

 解决方式:重写HttpServletRequestWrapper把request保存下来,然后通过过滤器把保存下来的request再填充进去,这样就可以多次读取request了。

2.1 重写HttpServletRequestWrapper方法

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;

public class RequestWrapper extends HttpServletRequestWrapper {

    private final String body;

    public RequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }

            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }

}

2.2 定义权限拦截器AuthInterceptor

import com.alibaba.fastjson.JSONObject;
import com.demo.base.UserInfo;
import com.demo.constant.StatusCode;
import com.demo.constant.SystemConstant;
import com.demo.exception.BizException;
import com.demo.pojo.ProjectDto;
import com.demo.util.JWTUtil;
import com.demo.wrapper.RequestWrapper;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpMethod;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
@Component
public class ProjectAuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 这里是个坑,因为带请求带headers时,ajax会发送两次请求,
        // 第一次会发送OPTIONS请求,第二次才会发生get/post请求,所以要放行OPTIONS请求
        // 如果是OPTIONS请求,让其响应一个 200状态码,说明可以正常访问
        if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            // 放行OPTIONS请求
            return true;
        }
        String token = request.getHeader(SystemConstant.TOKEN_HEADER);
        if (StringUtils.isBlank(token)) {
            throw new BizException(StatusCode.TOKEN_ERROR, "尚未登录,请登录");
        }
        UserInfo userInfo = JWTUtil.getLoginUser(token);
        if (userInfo == null) {
            throw new BizException(StatusCode.TOKEN_ERROR, "登录信息失效,请重新登录");
        }
        Long resourceId = 0L;
        if (HttpMethod.GET.name().equals(request.getMethod())) {
            String targetId = request.getParameter("resourceId");
            if (StringUtils.isNotBlank(targetId)) {
                resourceId = Long.parseLong(targetId);
            }
        }
        if (HttpMethod.POST.name().equals(request.getMethod())) {
            String targetId = request.getParameter("resourceId");
            if (StringUtils.isBlank(targetId)) {
                ResourceDto dto = JSONObject.parseObject(new RequestWrapper(request).getBody(), ResourceDto.class);
                if (dto != null && dto.getProjectId() != null) {
                    resourceId = dto.getProjectId();
                }
            }
        }
        if (resourceId != 0) {
            // 校验权限
        }
        return true;
    }
}

 2.3 定义一个filter,将request传递下去

import com.demo.wrapper.RequestWrapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpMethod;
import org.springframework.http.MediaType;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*", filterName = "channelFilter")
public class ChannelFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        ServletRequest requestWrapper = null;
        if (servletRequest instanceof HttpServletRequest) {
            HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
            String method = httpServletRequest.getMethod();
            String contentType = httpServletRequest.getContentType() == null ? "" : httpServletRequest.getContentType();
            // 如果是POST请求并且不是文件上传
            if (HttpMethod.POST.name().equals(method) && !contentType.contains(MediaType.MULTIPART_FORM_DATA_VALUE)) {
                requestWrapper = new RequestWrapper(httpServletRequest);
            }
        }
        if (requestWrapper == null) {
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            filterChain.doFilter(requestWrapper, servletResponse);
        }
    }

    @Override
    public void destroy() {

    }
}

2.4 dto类 

import lombok.Data;

@Data
public class ResourceDto {

    private Long projectId;
}

2.5 注册拦截器

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {
    
    @Autowired
    private AuthInterceptor authInterceptor;
    
    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor).addPathPatterns("/api/**");
    }

}

菜鸟程序员a
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot拦截请求路径_SpringBoot拦截器如何获取http请求参数
weixin_36138385的博客
01-12 4517
1.1、获取http请求参数是一种刚需我想有的小伙伴肯定有过获取http请求的需要,比如想前置获取参数,统计请求数据做服务的接口签名校验敏感接口监控日志敏感接口防重复提交等等各式各样的场景,这时你就需要获取 HTTP 请求参数或者请求body,一般思路有两种,一种就是自定义个AOP去拦截目标方法,第二种就是使用拦截器。整体比较来说,使用拦截器更灵活些,因为每个接口的请求参数定义不同,使用AOP很...
拦截器获取请求参数post_SpringBoot拦截器如何获取http请求参数
weixin_29331015的博客
12-24 1396
1.1、获取http请求参数是一种刚需我想有的小伙伴肯定有过获取http请求的需要,比如想前置获取参数,统计请求数据做服务的接口签名校验敏感接口监控日志敏感接口防重复提交等等各式各样的场景,这时你就需要获取 HTTP 请求参数或者请求body,一般思路有两种,一种就是自定义个AOP去拦截目标方法,第二种就是使用拦截器。整体比较来说,使用拦截器更灵活些,因为每个接口的请求参数定义不同,使用AOP很...
springboot通过HttpServletRequestWrapper获取所有请求参数
花&败
05-01 8416
1、简介 springboot通过拦截器获取参数有两种方式,一种通过request.getParameter获取Get方式传递的参数,另外一种是通过request.getInputStream或reques.getReader获取通过POST/PUT/DELETE/PATCH传递的参数。 2、拦截器获取参数有哪些方式 @PathVariable注解是REST风格url获取参数的方式,只能用在GET请求类型,通过getParameter获取参数 @RequestParam注解支持...
详解在Spring MVC或Spring Boot中使用Filter打印请求参数问题
08-19
主要介绍了详解在Spring MVC或Spring Boot中使用Filter打印请求参数问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot通过过滤器获取请求参数
最新发布
Mu_Yue_Yue的博客
06-11 1198
SpringBoot使用过滤器获取请求参数、对参数进行操作或者日志记录
SpringBoot 拦截器获取http请求参数—— 所有骚操作基础
u013351619的专栏
02-22 8385
目录 SpringBoot 拦截器获取http请求参数—— 所有骚操作基础 获取http请求参数是一种刚需 定义拦截器获取请求 为什么拦截器会重复调两遍呢? ServletInputStream(CoyoteInputStream) 输入流无法重复调用 自定义 HttpServletRequestWrapper 总结一下 展望一下 获取http请求参数是一种刚需 我想有的小伙伴肯定有过获取http请求的需要,比如想 前置获取参数,统计请求数据 做服务的接口签名校验..
SpringBoot通过拦截器获取请求参数和返回结果进行操作
TimeQuantum的博客
07-03 2万+
SpringBoot项目的创建和初始化在这里就不在重复 一.实现请求拦截器处理数据 自定义拦截器SpringMVC中的 Interceptor拦截器才用实现 HandlerInterceptor的方式,实现其中的三个方法。 preHandle(): 该方法在请求处理之前执行,SpringMVC 中的Interceptor 是链式的调用的,在一个应用中或者说是在一个请求中可以同时存在多个Interceptor 。每个Interceptor 的调用会依据它的声明顺序依次执行,而且最先执行的都是Interce
springboot拦截器,过滤器完成请求参数获取
吻得太逼真的博客
03-04 4014
1.自定义拦截器 package com.impl.modelserver.common.config.interceptor; import com.alibaba.fastjson.JSON; import com.impl.modelserver.po.CheckNamespaceLegalParam; import com.impl.modelserver.service.IModelService; import java.util.Map; import javax.servlet.htt
Springboot中拦截GET请求获取请求参数验证合法性
weixin_45151960的博客
08-09 1942
Springboot中创建拦截器拦截所有GET类型请求获取请求参数验证内容合法性防止SQL注入(该方法仅适用拦截GET类型请求,POST类型请求参数是在body中,所以下面方法不适用)。
springboot中不能获取post请求参数的解决方法
08-19
Spring Boot中,处理POST请求时,通常可以方便地通过控制器方法的参数直接获取请求参数。然而,当遇到无法获取POST请求参数的情况,这可能是由于客户端发送请求的方式与服务器端期望的数据格式不匹配导致的。在...
SpringBoot拦截器
05-28
- 拦截器可以访问`HttpServletRequest`和`HttpServletResponse`对象,从而获取请求参数、设置响应头等。 - 要注意拦截器的性能影响,避免在`preHandle()`和`postHandle()`中执行耗时操作。 7. **总结** Spring ...
springboot利用拦截器打印各个接口的响应时间.rar
07-25
springboot利用拦截器打印各个接口的响应时间,快速统计各接口执行速度,方便接口优化。springboot利用拦截器打印各个接口的响应时间,快速统计各接口执行速度,方便接口优化。springboot利用拦截器打印各个接口的响应...
Spring boot拦截器实现IP黑名单的完整步骤
08-19
拦截器实现中,我们需要获取请求主机IP地址以便检查是否在黑名单中。我们可以使用以下代码来获取请求主机IP地址: ```java public final static String getIpAddress(HttpServletRequest request) throws ...
SpringBoot控制器统一的响应体加密与请求体解密的注解处理方式
08-08
// 获取请求参数,进行解密处理 Object requestPayload = getRequestBody(joinPoint); // 根据注解参数或全局配置选择合适的解密算法 // 对请求参数进行解密 Object decryptedPayload = decrypt(requestPayload...
一文带你了解如何使用spring拦截器获取请求体和响应体的内容
qq_41625866的博客
10-13 2554
一文带你了解如何使用spring拦截器获取请求体和响应体的内容
SpringBoot过滤器获取请求参数
qq_38254635的博客
02-05 1319
SpringBoot过滤器获取请求参数
拦截器获取传递参数(解决post请求参数问题)
PowerMan_Frank
01-18 4825
GET中传递的参数可以直接通过request.getParameter获取。 Post 传递的产生不能过直接从request.getInputStream() 读取,必须要进行重新写。(request.getInputStream()只能够读取一次) 方式: 通过重写 HttpServletRequestWrapper 类 获取getInputStream中的流数据,然后在将body数据进行重新写入传递下去。 继承 HttpServletRequestWrapper 通过重写 HttpServle.
拦截器获取请求参数
weixin_44981707的博客
04-03 7042
这里不管是post提交还是get提交,参数不管放在url还是form-data、还是以json的形式放在请求体,都能正常获取到且不影响controller使用。这里以获取参数name为例子 过滤器 public void JustTest(){ Integer a = 12; User user = new User(12); } ...
SpringBoot之HandlerInterceptor拦截器的使用 ——(三)@RequestBody获取请求参数解决java.io.IOException: Stream closed
热门推荐
“实用”是软件压倒一切的要素
08-20 4万+
现在开发的项目是基于SpringBoot的maven项目,拦截器的使用很多时候是必不可少的,当有需要需要你对body中的值进行校验,例如加密验签、防重复提交、内容校验等等。 当你开开心心的在拦截器中通过request.getInputStream();获取到body中的信息后,你会发现你在controller中使用了@RequestBody注解获取参数报如下错误 I/O error whi...
springboot拦截器获取请求参数
10-16
Spring Boot中,可以通过实现HandlerInterceptor接口来自定义拦截器。在拦截器中,可以通过HttpServletRequest对象获取请求参数。具体实现如下: ```java public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String param1 = request.getParameter("param1"); String param2 = request.getParameter("param2"); // do something with the parameters return true; } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜鸟程序员a

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值