2. 程式人生 > 實用技巧 >使用@RequestBodyAdvice處理客戶端的加密請求體

使用@RequestBodyAdvice處理客戶端的加密請求體

阿新 發佈:2020-07-22

業務場景:客戶端把json資料進行加密後,編碼成Base64字串,提交給伺服器。伺服器再進行解密。
使用 @RequestBodyAdvice,可以在不修改任何Controller程式碼的前提下,輕鬆完成。

之前寫過一篇帖子,使用@ResponseBodyAdvice統一對響應的資料進行處理。演示了,使用ResponseBodyAdvice統一對響應給客戶的json進行AES加密。

RequestBodyAdvice 介面

這個介面定義了一系列的方法,它可以在請求體資料被HttpMessageConverter轉換前,後。執行一些邏輯程式碼。通常用來做解密。

import java.io.IOException;
import java.lang.reflect.Type;

import org.springframework.core.MethodParameter;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.lang.Nullable;

public interface RequestBodyAdvice {

	/**
	 * 該方法用於判斷當前請求,是否要執行beforeBodyRead方法
	 * @param handler方法的引數物件
	 * @param handler方法的引數型別
	 * @param 將會使用到的Http訊息轉換器類型別
	 * @return 返回true則會執行beforeBodyRead
	 */
	boolean supports(MethodParameter methodParameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType);

	/**
	 * 在Http訊息轉換器執轉換,之前執行 
	 * @param 客戶端的請求資料
	 * @param handler方法的引數物件
	 * @param handler方法的引數型別
	 * @param 將會使用到的Http訊息轉換器類型別
	 * @return 返回 一個自定義的HttpInputMessage 
	 */
	HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter,
			Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException;

	/**
	 * 在Http訊息轉換器執轉換,之後執行 
	 * @param 轉換後的物件
	 * @param 客戶端的請求資料
	 * @param handler方法的引數型別
	 * @param handler方法的引數型別
	 * @param 使用的Http訊息轉換器類型別
	 * @return 返回一個新的物件
	 */
	Object afterBodyRead(Object body, HttpInputMessage inputMessage, MethodParameter parameter,
			Type targetType, Class<? extends HttpMessageConverter<?>> converterType);

	/**
	 * 同上,不過這個方法處理的是,body為空的情況
	 */
	@Nullable
	Object handleEmptyBody(@Nullable Object body, HttpInputMessage inputMessage, MethodParameter parameter,
			Type targetType, Class<? extends HttpMessageConverter<?>> converterType);


}

核心的方法就是 supports,該方法返回的boolean值,決定了是要執行 beforeBodyRead 方法。而我們主要的邏輯就是在beforeBodyRead方法中,對客戶端的請求體進行解密。

RequestBodyAdviceAdapter

實現 RequestBodyAdvice 介面的介面卡抽象類

import java.io.IOException;
import java.lang.reflect.Type;

import org.springframework.core.MethodParameter;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.lang.Nullable;

public abstract class RequestBodyAdviceAdapter implements RequestBodyAdvice {
	@Override
	public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter,
			Type targetType, Class<? extends HttpMessageConverter<?>> converterType)
			throws IOException {

		return inputMessage;
	}

	@Override
	public Object afterBodyRead(Object body, HttpInputMessage inputMessage, MethodParameter parameter,
			Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {

		return body;
	}

	@Override
	@Nullable
	public Object handleEmptyBody(@Nullable Object body, HttpInputMessage inputMessage,
			MethodParameter parameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType) {

		return body;
	}

}

演示:解密客戶端的AES加密請求體

客戶端使用AES演算法把json資料使用AES(128位金鑰)加密後,編碼為Base64字串作為請求體,請求伺服器。伺服器在 RequestBodyAdvice中完成解密。

RequestBodyDecodeAdvice

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Type;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.SecretKeySpec;

import org.springframework.core.MethodParameter;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.GsonHttpMessageConverter;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.RequestBodyAdviceAdapter;

@RestControllerAdvice
public class RequestBodyDecodeAdvice extends RequestBodyAdviceAdapter {

	/**
	 * 128位的AESkey
	 */
	private static final byte[] AES_KEY = "1111111111111111".getBytes(StandardCharsets.US_ASCII);

	@Override
	public boolean supports(MethodParameter methodParameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType) {
		/**
		 * 系統使用的是Gson作為json資料的Http訊息轉換器
		 */
		return GsonHttpMessageConverter.class.isAssignableFrom(converterType);
	}

	@Override
	public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType) throws IOException {

		// 讀取加密的請求體
		byte[] body = new byte[inputMessage.getBody().available()];
		inputMessage.getBody().read(body);

		try {
			// 使用AES解密
			body = this.decrypt(Base64.getDecoder().decode(body), AES_KEY);
		} catch (InvalidKeyException | NoSuchAlgorithmException | NoSuchPaddingException | IllegalBlockSizeException
				| BadPaddingException e) {
			e.printStackTrace();
			throw new RuntimeException(e);
		}

		// 使用解密後的資料,構造新的讀取流
		InputStream rawInputStream = new ByteArrayInputStream(body);
		return new HttpInputMessage() {
			@Override
			public HttpHeaders getHeaders() {
				return inputMessage.getHeaders();
			}

			@Override
			public InputStream getBody() throws IOException {
				return rawInputStream;
			}
		};
	}

	/**
	 * AES解密
	 * 
	 * @param data
	 * @param key
	 * @return
	 * @throws InvalidKeyException
	 * @throws NoSuchAlgorithmException
	 * @throws NoSuchPaddingException
	 * @throws IllegalBlockSizeException
	 * @throws BadPaddingException
	 */
	public byte[] decrypt(byte[] data, byte[] key) throws InvalidKeyException, NoSuchAlgorithmException,
			NoSuchPaddingException, IllegalBlockSizeException, BadPaddingException {
		Cipher cipher = getCipher(key, Cipher.DECRYPT_MODE);
		return cipher.doFinal(data);
	}

	private Cipher getCipher(byte[] key, int model)
			throws NoSuchAlgorithmException, NoSuchPaddingException, InvalidKeyException {
		SecretKeySpec secretKeySpec = new SecretKeySpec(key, "AES");
		Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
		cipher.init(model, secretKeySpec);
		return cipher;
	}
}

TestController

很簡單,幾乎沒有任何改動,只是列印客戶的的請求體

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import com.google.gson.JsonObject;

@RestController
@RequestMapping("/test")
public class TestController {
	
	private static final Logger LOGGER = LoggerFactory.getLogger(TestController.class);
	
	@PostMapping
	public Object test (@RequestBody JsonObject requestBody) {
		LOGGER.info("requestBody={}", requestBody);
		return requestBody;
	}
}

客戶端

使用相同的AES金鑰加密原始資料


加密後的Base64編碼

Gg/hLfWllxXF7KkzeNTPELCZ3jjxgHL24tJWPhO+O7KS5vAS1ag9xmtjP94L8p8BY+HMggCL1mvVEHEL8+FwSSjWYLln8SZk4CuWil2x4sI=

使用Postman發起請求

伺服器響應的就是解密後的請求體

伺服器日誌

2020-07-22 13:39:31.870  INFO 2684 --- [  XNIO-1 task-1] TestController    : requestBody={"name":"SpringBoot中文社群","site":"https://springboot.io"}

成功的解密了資料,並且完成了json物件的編碼。

原文: https://springboot.io/t/topic/2266

相關推薦

使用@RequestBodyAdvice處理客戶加密請求

業務場景:客戶把json資料進行加密後,編碼成Base64字串,提交給伺服器。伺服器再進行解密。

Web前端(九)-建立SpringBoot專案、web伺服器(WebServer、Servlet、Controller)、SpringBoot介紹(處理靜態、動態資源請求客戶發出請求的幾種方式、獲取客戶傳遞引數的方式)

建立SpringBoot專案步驟 第一步:新建一個工程/專案:File-->New-->Project,選擇Spring Initializr 預設選項即可, 如果下一步一直轉圈或顯示timeout超時,則使用下面備用的地址:https://start.springboot

Java後臺防止客戶重複請求、提交表單實現原理

這篇文章主要介紹了Java後臺防止客戶重複請求、提交表單實現原理,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

HTML協議 客戶資料請求

技術標籤:htmlpython後 HTTP協議簡介 HTTP協議(Hyper Text Transfer Protocol),字面意思為超文字傳輸協議。是瀏覽器與伺服器之間的傳輸協議,屬於應用層面向物件的協議。

Nginx 對客戶請求的特殊處理

本文記錄Nginx靜態web伺服器對於客戶請求的特殊處理的配置項。 1. 忽略不合法的HTTP頭部

Python基礎學習(29)基於TCP協議的檔案傳輸 驗證客戶合法性 socketserver模組處理併發客戶請求

Python基礎學習(29)基於TCP協議的檔案傳輸 驗證客戶合法性 socketserver 模組處理併發客戶請求

python中的socket實現ftp客戶和伺服器收發檔案及md5加密檔案

客戶向伺服器傳送一個請求請求內容是一個檔名,伺服器在查詢自己這邊有沒有這個檔案,如果有的話就傳送給客戶

C# 用Socket怎麼得到請求客戶的IP地址??

C# 用Socket怎麼得到請求客戶的IP地址?? 繫結連線的Socket中有個屬性可取遠端計算機IP

一個線上問題的思考:Eureka註冊中心叢集如何實現客戶請求負載及故障轉移?

前言 先拋一個問題給我聰明的讀者,如果你們使用微服務SpringCloud-Netflix進行業務開發,那麼線上註冊中心肯定也是用了叢集部署,問題來了:

Nginx 對客戶請求的限制

本文記錄一下Nginx靜態web伺服器對客戶請求限制的配置項。 1)按HTTP方法名限制請求

HTTPS請求HTTP介面被瀏覽器阻塞,python實現websocket客戶,websocket伺服器,跨域問題,dwebsocket,https,攔截,服務

HTTPS請求HTTP介面被瀏覽器阻塞,python實現websocket客戶,websocket伺服器,跨域問題,dwebsocket,https,攔截,服務

Delphi FMX正確設計和載入圖片滿足分散式跨平臺App的效能需求-分散式跨平臺App中美工圖片的處理、上傳下載、併發及客戶顯示技術架構

Delphi FMX正確設計和載入圖片滿足分散式跨平臺App的效能需求 分散式跨平臺App中美工圖片的處理、上傳下載、併發及客戶顯示技術架構

bufferevent客戶傳送檔案並處理超時和斷開事件

demo下載地址 連結:https://pan.baidu.com/s/1j21bCNiXHBSFxk2VUCxK6g提取碼:v9hn #include <iostream>

Spring開發後如何獲取http請求body中的json格式的資料

技術標籤:JavaSpringjavaspringjson Spring開發後如何獲取http請求body中的json格式的資料

計算機網路 實驗之 socket程式設計之 listen()和accept()函式:讓套接字進入監聽狀態並響應客戶請求

對於伺服器程式,使用 bind() 繫結套接字後,還需要使用 listen() 函式讓套接字進入被動監聽狀態,再呼叫 accept() 函式,就可以隨時響應客戶請求了。

retrofit get請求_【學習充電】Spring Boot專案整合Retrofit最佳實踐,最優雅的HTTP客戶工具!...

技術標籤:retrofit get請求 大家都知道 OKHttp 是一款由 Square公司開源的 Java 版本 HTTP 客戶端工具。實際上,Square公司還開源了基於OKHttp進一步封裝的 Retrofit工具,用來支援通過介面的方式發起HTTP請

SuperMap三維WebGL客戶如何新增自定義請求

技術標籤:雲GIS三維GISjavascript 作者:劉大 在前面的文章中已經講過了二維增加自定義請求頭,那今天來就說說SuperMap三維WebGL客戶端如何新增自定義請求頭 #####1.版本支援情況 三維iClient for WebGL 從Su

FeignClient伺服器丟擲異常客戶處理辦法

技術標籤:springexception FeignClient伺服器丟擲異常客戶端處理辦法 在使用feign進行遠端方法呼叫時,如果遠端服務方法出現異常,客戶端有時需要捕獲,並且把異常資訊返回給前端,而如果在開啟熔斷之後,這個

SuperMap二維iClient客戶如何新增自定義請求頭(一)

技術標籤:三維GIS雲GISjavascript 作者:劉大 本文已同步更新於簡書文章https://www.jianshu.com/p/79f9394d4b45

設定請求頭中攜帶cookie,但是不起作用的幾種情況總結,針對於客戶解決。

第一種情況:同源請求時,開啟攜帶憑據傳輸後,會自動攜帶Cookie資訊。 ①fetch中需要配置credentials為same-origin