spring boot3 HttpServletRequest inputStream 只能读取一次问题,及重新构造请求 并将RSA加密的参数解密 验证 签名 最后再将解密后的参数重新放入请求

原创 已于 2024-12-31 10:06:11 修改 · 803 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #spring boot

于 2021-04-06 17:40:59 首次发布
该博客介绍了如何通过继承HttpServletRequestWrapper来重构请求,使输入流可重复读取。同时展示了一个过滤器的实现,用于拦截特定请求,解密并验证参数,防止重复提交。在过滤器中,首先获取请求的body,然后使用RSA解密并验证签名,确保请求的安全性。

在 Spring Boot 中,HttpServletRequest 的 InputStream 默认只能读取一次。原因是底层的流在读取后,内容不会被缓存,导致流在后续处理时无法再次读取。

要解决该问题,同时满足 RSA 解密参数、验证签名,并重新构造请求 的需求,可以按照以下步骤实现:

实现方案

1. 核心逻辑步骤

拦截请求:
使用 Filter 或 HandlerInterceptor 捕获请求。

读取请求内容并缓存:
将 HttpServletRequest 包装为可重复读取的请求(例如,ContentCachingRequestWrapper 或自定义包装类)。

处理解密和签名验证:
使用 RSA 私钥解密参数。
验签逻辑验证请求数据的完整性。

重构请求并传递:
创建一个新的 HttpServletRequestWrapper,将解密后的参数重新注入。
将新构造的请求传递给后续的处理逻辑。

2. 代码实现

自定义过滤器

import org.springframework.stereotype.Component;

import javax.crypto.Cipher;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;
import java.io.*;
import java.nio.charset.StandardCharsets;
import java.security.PrivateKey;
import java.security.Signature;
import java.util.stream.Collectors;

@Component
public class DecryptFilter implements Filter {
   
   

    // 配置 RSA 私钥
    private final PrivateKey privateKey = YourPrivateKeyProvider.getPrivateKey();

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
   
   
        if (request instanceof HttpServletRequest) {
   
   
            CachedBodyHttpServletRequest wrappedRequest = new CachedBodyHttpServletRequest((HttpServletRequest) request);

            // 读取请求体
            String body = wrappedRequest.getCachedBody();
            System.out.println("Original Request Body: " + body);

            // 解密请求参数
            String decryptedBody = decryptRSA(body);
最低0.47元/天 解锁文章
Spring Boot加密革命:RAS+AES自动接口解密全解析——零配置实现“量子级”数据安全
墨夶的博客
06-28 353
摘要: 本文介绍了一种高安全性自动解密拦截方案,采用RSA 2048位非对称加密与AES-256-GCM对称加密的混合机制,实现银行级数据传输保护。核心功能包括: 零侵入设计:通过Spring Boot拦截器自动解密请求体,无需修改业务代码; 量子安全协议:RSA用于密钥分发,AES-GCM模式确保数据机密性与完整性; 开箱即用:客户端仅需发送Base64编码的加密数据,服务端自动完成密钥解密与数据处理。代码示例涵盖密钥生成、加密/解密流程及混合加密实现,适用于金融等高安全场景。(150字)
SpringBoot 实现 RSA+AES 自动接口解密
wjianwei666的专栏
04-21 605
文章首先解释了接口加密的必要性,指出未加密的网络数据容易被抓包工具获取,特别是当传输敏感信息时风险更大。通过混合使用这两种算法,我们用 RSA加密 AES 的密钥,然后用 AES 来加密实际传输的数据,既保证了安全性,又兼顾了性能。// 创建一个包含解密数据的新BufferedReader,替换原有的请求Reader。// 包装请求,使控制器能够读取解密后的数据。
springboot 解决InputStream只能读取一次问题
04-30
springboot 解决InputStream只能读取一次问题
spring 处理request.getInputStream()输入流只能读取一次问题
weixin_42981419的博客
06-23 6646
一般我们会在InterceptorAdapter拦截器中对请求进行验证 正常普通接口请求,request.getParameter()可以获取,能多次读取 如果我们的接口是用@RequestBody来接受数据,那么我们在拦截器中 需要读取request的输入流 ,因为 ServletRequest中getReader()和getInputStream()只能调用一次 这样就会导...
springboot 处理request.getInputStream()输入流只能读取一次问题
z69183787的专栏
08-17 4215
测试发现POST请求参数值可以在拦截器类中获取到了,本以为大功告成,又发现GET请求不好使了,开始报错Stream closed,一顿操作发现需要在过滤器进行判断,如果是POST请求走自己的继承的HttpServletRequestWrapper类请求,否则走普通的请求。于是网上找答案,发现是ServletRequest的getReader()和getInputStream()两个方法只能被调用一次,而且不能两个都调用。那么如果Filter中调用了一次,在Controller里面就不能再调用了。
springboot进阶】HttpServletRequest输入流只能读取一次问题
06-09 5167
本文主要介绍解决HttpServletRequest输入流只能读取一次问题,发现这种问题的场景、引起的原因,最后通过HttpServletRequestWrapper + Filter 的方式解决可重复读取请求流。
SpringBoot请求体中的流只能读取一次问题HttpServletRequest的流只能读取一次的原因
qq984676583的博客
04-14 2135
问题场景:在项目开发过程中需要记录用户的操作行为,即用户请求的url和相关url中带有的请求体参数,在springboot只能在拦截器中读取一次,在controller获取不到参数。 经过代码排查,发现ServletInputStream的流只能读取一次,从而影响到controller层接受request内容。 解决方案: 1、声明BodyReaderHttpServletRequestWrapper类继承HttpServletRequestWrapp将请求体中的流copy一份,重写getInpu
学习加密(四)spring boot 使用RSA+AES混合加密,前后端传递参数解密(方式二)
街角有人祝福,巷口有人哭~
11-27 5899
前言:        前一篇已经说完了一种rsa+aes混合加密的方式,后端采用实体类或map或者jsonObject方式来接收入参,本文要说的不采用这几种形式来入参,而是采用自定义的@RequestParam来接收参数1.解决参数要判断的问题 2.解决代码重复太多的问题 demo下载地址:https://download.youkuaiyun.com/download/baidu_38990811/10...
Spring Boot 实现接口数据加解密的三种实战方案
wjianwei666的专栏
05-14 1047
在金融支付、用户隐私信息传输等场景中,接口数据加解密是保障数据安全的关键措施。SpringBoot提供了多种加解密实现方案,包括基于AOP的透明加解密、全局过滤器实现请求响应加解密以及自定义MessageConverter实现透明加解密。这些方案各有优势,如AOP注解适合部分接口需要加解密的场景,全局过滤器适合前后端分离项目的全局数据加密,而MessageConverter则适合统一请求响应格式的场景。在实际应用中,还需注意密钥管理、异常处理机制和性能优化技巧,以确保数据安全的同时最小化对业务的影响。通过合
springboot请求体中的流只能读取一次问题
weixin_30613343的博客
10-25 1404
场景交代 在springboot中添加拦截器进行权限拦截时,需要获取请求参数进行验证。当参数在url后面时(queryString)获取参数进行验证之后程序正常运行。但是,当请求参数请求体中的时候,通过流的方式将请求体取出参数进行验证之后,发现后续流程抛出错误: Required request body is missing ... 经过排查,发现ServletInputStream的流只能读...
解决HttpServletRequest的输入流只能读取一次问题
宫宏伟的博客
07-01 4065
背景 通常对安全性有要求的接口都会对请求参数做一些签名验证,而我们一般会把验签的逻辑统一放到过滤器或拦截器里,这样就不用每个接口都去重复编写验签的逻辑。 在一个项目中会有很多的接口,而不同的接口可能接收不同类型的数据,例如表单数据和json数据,表单数据还好说,调用request的getParameterMap就能全部取出来。而json数据就有些麻烦了,因为json数据放在body中,我们需要通过request的输入流去读取。 但问题在于request的输入流只能读取一次不能重复读取,所以我们在过滤器
SpringBoot利用HttpServletRequest.getInputStream()获取参数及文件
ysj805104的博客
02-22 3205
因为spring已经读取一次输入流,所以手动用getInputStream()获取到的值为空,解决方法 1.新建wrapper继承HttpServletRequestWrapper如下 import org.springframework.web.bind.annotation.RequestMethod; import javax.servlet.ReadListener; import javax.servlet.ServletInputStream; import javax.servle
SpringBoot 解决request请求体只能被读一次问题,在全局异常@RestControllerAdvice ExceptionHandler中打印参数
TOP丶Chen
05-10 1833
request.getInputStream()获取请求body里面的内容只能被获取一次,ContentCachingRequestWrapper通过这个类能够解决解决HttpServletRequest inputStream只能读取一次问题,但是这个类有缺陷(前提必须是doFilter之前不能使用request.getInputStream()方法)全局异常捕获类中打印异常POST请求参数。在全局异常捕获类中使用。
springbootspringboot接口参数全局加解密,解决request内容修改后如何重新设置回去的问题
孟秋与你的博客
08-19 1893
这个时候就需要打个断点调试了,博主经过调试后发现 最后是动态代理传的参改变了,servlet到controller层的过程中 虽然一开始确实是传的reqeust 但在某一步时 它去获取了parameterValues!我们先把锁打开后,往map里面修改了内容,还需要把锁关上, 我们看ParameterMap类的源码也能看到 它有很多地方是通过判断是否锁了 我们不能改变原来的逻辑。所以我们在过滤器中进行解密将request的值修改后传递,这样可以保证每个过滤器拿到的都是解密后的值。
JAVA拦截器的使用及getReader() has already been called for this request错误解决、拦截器获取数据进行解密后再次传入控制层
qq_43393995的博客
11-09 2209
题外话(深夜emo):自身的硬实力才是和资本家谈判的资本,学习的越深越是能了解自己的渺小和不足,一段代码写两遍能了解,四遍左右短时间能记住,当你敲个几十遍,很大可能会刻在脑子里,怎么说呢,想要涨工资,就要提升自己的硬实力去和资本家谈价。拦截器参数问题自己解决了,看看前端传的啥格式,你需要的是啥格式,自己转下,我这里是用的map;大家可以去了解下拦截器、过滤器的区别,以及上述所论的注解。场景:多应用使用登录接口时需要判断是否在应用中心完成注册。
inputstream 解决只能读取一次
藏经阁
07-10 1614
inputstream只能读取一次 如果你需要多次读取 解决方案: 1.客户端一次发送两次请求 表单一次,ajax中再一次 主要是因为 request 请求无法备份一份出来 2.把inputstream流复制下来 实现复制功能的类 import java.io.ByteArrayOutputStream; import java.io.InputStream; public class StreamUtils { public static byte[] getByteByStream(InputS
InputStream只能读取一次的解决方法
热门推荐
大白能的博客
12-19 1万+
有时候我们需要对同一个InputStream对象使用多次。但第一次读取InputStream对象后,第二次再读取时可能已经到Stream的结尾了(EOFException)或者Stream已经close掉了。而InputStream对象本身不能复制,因为它没有实现Cloneable接口。此时,可以先把InputStream转化成ByteArrayOutputStream,后面要使用InputStre
springboot在过滤器Filter中 重新写入request的请求参数
FLL430的博客
08-21 5382
需求说明: 想要在Filter过滤器中修改一下request的请求参数。新增修改删除等 但是我们的httpservletrequest是不支持这样操作的,如果想要同一个request请求做数据传递的操作,只能使用setAttribute和getAttribute的方式 解决思路(这部分可以跳过,直接查看解决方式) 使用idea工具debug项目查看了一下过滤器中接受到的ServletRequest接口具体使用的是哪个实现类 发现用的是package org.apache.catalina.connec
Java 以数据流的形式发送数据request Java 数据封装到request中
HaHa_Sir的博客
01-30 4373
​ 在做微信支付结果通知的时候,看到一个描述:微信会把相关支付结果及用户信息通过数据流的形式发送给商户 ,那么java如何通过数据流的形式发送数据呢? java request stream , request.getReader()
网关层接收请求之后做解密处理再转发到应用层 这样是否和httprequest只能读取一次矛盾呢 是否需要做什么特殊处理
最新发布
10-26
<think>我们正在讨论网关层处理请求时的一个关键问题HttpServletRequest的输入流只能读取一次,而网关需要解密请求体(意味着必须读取输入流),然后转发修改后的请求。这看起来是矛盾的,因为一旦读取了输入流,就无法再次读取以用于转发。下面我将详细解释这个问题以及解决方案。 首先,回顾一下HttpServletRequest输入流只能读取一次的原因: 1. 底层协议:HTTP请求体是通过TCP流传输的,数据按顺序到达,读取后指针向前移动,无法回退。 2. Servlet容器实现:输入流绑定到操作系统的网络缓冲区,读取后缓冲区内容会被释放,无法再次读取。 在网关层,我们通常需要做以下操作: - 读取请求体(例如,进行解密) - 修改请求体解密后的数据) - 将修改后的请求体转发到下游服务 矛盾点:当我们第一次读取请求体进行解密时,输入流已经被消耗,无法再次读取,那么转发时就没有数据可发送了。 解决方案的核心思想:在第一次读取请求体后,将请求体内容缓存起来,然后提供一个可以多次读取的缓存流。这样,在网关层我们可以先读取解密,然后用解密后的内容重新构建一个新的请求体,再转发。 具体实现方案(以Spring Cloud Gateway为例,因为它是基于WebFlux的响应式编程模型,处理方式与传统Servlet容器不同): 1. 在Spring Cloud Gateway中,请求体被封装成Flux<DataBuffer>,我们可以订阅一次,将数据缓存到内存或磁盘,然后基于缓存的数据进行解密。 2. 由于WebFlux是非阻塞的,我们需要小心处理:避免阻塞,且注意内存使用(大文件可能导致内存溢出)。 而对于传统的基于Servlet的网关(如Zuul1),则需要使用包装类(如HttpServletRequestWrapper)来缓存请求体。 步骤详解(传统Servlet网关): 1. 创建一个过滤器(Filter)来拦截请求。 2. 在过滤器中,使用HttpServletRequestWrapper包装原始的HttpServletRequest3. 在包装类中,覆盖getInputStream()和getReader()方法,使其返回一个缓存了请求体数据的流。 4. 这样,在过滤器中,我们可以先读取包装后的请求流(即缓存的数据),进行解密,然后修改请求体。 5. 将修改后的请求体设置到新的请求对象中,然后转发。 注意:缓存请求体可能会带来内存消耗,特别是大文件上传时。因此,需要考虑设置缓存大小限制,或者使用磁盘缓存。 在Spring Cloud Gateway(WebFlux)中的处理: 由于WebFlux的请求体是反应式流(Reactive Stream),我们可以通过缓存和修改数据缓冲(DataBuffer)来实现。例如,使用`ModifyRequestBodyGatewayFilterFactory`来修改请求体。 示例代码(传统Servlet过滤器): ```java public class DecryptFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 包装原始请求 RequestWrapper requestWrapper = new RequestWrapper((HttpServletRequest) request); // 从包装后的请求读取请求体(此时已经被缓存) String requestBody = requestWrapper.getRequestBody(); // 解密 String decryptedBody = decrypt(requestBody); // 创建新请求对象(这里可以用自定义的包装类,将解密后的内容放入新的流中) HttpServletRequest newRequest = new DecryptedRequestWrapper((HttpServletRequest) request, decryptedBody); chain.doFilter(newRequest, response); } } // 请求包装类,缓存请求体 class RequestWrapper extends HttpServletRequestWrapper { private final byte[] body; public RequestWrapper(HttpServletRequest request) throws IOException { super(request); // 读取原始请求体缓存 this.body = IOUtils.toByteArray(request.getInputStream()); } @Override public ServletInputStream getInputStream() { return new CachedServletInputStream(this.body); } // 提供一个获取请求体字符串的方法 public String getRequestBody() throws UnsupportedEncodingException { return new String(body, getCharacterEncoding()); } } // 解密后的请求包装类,将解密后的内容作为新的请求体 class DecryptedRequestWrapper extends HttpServletRequestWrapper { private final byte[] decryptedBody; public DecryptedRequestWrapper(HttpServletRequest request, String decryptedBody) { super(request); this.decryptedBody = decryptedBody.getBytes(StandardCharsets.UTF_8); } @Override public ServletInputStream getInputStream() { return new CachedServletInputStream(this.decryptedBody); } } // 缓存流 class CachedServletInputStream extends ServletInputStream { private final ByteArrayInputStream buffer; public CachedServletInputStream(byte[] contents) { this.buffer = new ByteArrayInputStream(contents); } @Override public int read() { return buffer.read(); } @Override public boolean isFinished() { return buffer.available() == 0; } @Override public boolean isReady() { return true; } @Override public void setReadListener(ReadListener listener) { throw new UnsupportedOperationException(); } } ``` 在Spring Cloud Gateway中,可以使用以下方式: ```java @Bean public RouteLocator routes(RouteLocatorBuilder builder) { return builder.routes() .route("decrypt_route", r -> r.path("/api/**") .filters(f -> f.modifyRequestBody(String.class, String.class, (exchange, originalRequestBody) -> { // 解密 String decryptedBody = decrypt(originalRequestBody); return Mono.just(decryptedBody); })) .uri("http://downstream-service")) .build(); } ``` 总结: 1. 网关层解密请求体HttpServletRequest只能读取一次不矛盾,因为我们可以通过缓存请求体来解决。 2. 特殊处理是必须的,即使用请求包装类(缓存原始请求体构建一个新的请求对象(携带解密后的请求体)进行转发。 3. 对于不同的网关技术,实现方式不同: - 传统Servlet容器(如Zuul1):使用过滤器+HttpServletRequestWrapper缓存请求体。 - Spring Cloud Gateway(WebFlux):使用修改请求体的过滤器,基于反应式编程缓存和修改请求体。 注意事项: - 内存管理:大文件请求体可能导致内存溢出,可以考虑使用磁盘缓存或流式解密(边读边解密,但解密通常需要完整数据)。 - 性能:加解密操作是CPU密集型,可能成为性能瓶颈。 因此,在网关层处理请求体时,必须考虑使用缓存机制,根据网关类型选择相应的实现方式。 </think>### 网关层解密处理与HttpServletRequest单次读取矛盾的解决方案 网关层接收请求后做解密处理再转发到应用层,**确实与HttpServletRequest输入流只能读取一次的特性相矛盾**,但通过以下技术手段可以解决: #### 一、矛盾核心分析 1. **解密操作必须读取请求体** 解密操作需要完整获取请求体数据才能处理,这必然消耗输入流: $$ \text{网关读取} \xrightarrow{\text{消耗}} \text{HttpServletRequest输入流} $$ 2. **转发需要原始请求流** 转发到应用层时,需重新构造完整HTTP请求(含请求体),但原生输入流已被消耗: $$ \text{容器转发} \xrightarrow{\text{需未读流}} \text{目标服务} $$ 3. **直接矛盾点** ```mermaid graph LR A[客户端请求] -->|原始数据| B(网关) B -->|读取解密| C{输入流已消耗} C -->|无法转发| D[下游服务] ``` #### 二、解决方案:缓存与流重构 通过**请求体重构技术**解决矛盾,核心原理: ```mermaid sequenceDiagram participant Client as 客户端 participant Gateway as 网关 participant Cache as 缓存层 participant App as 应用服务 Client->>Gateway: 发送加密请求 Gateway->>Cache: 读取缓存请求体 Gateway->>Gateway: 解密缓存数据 Gateway->>App: 转发重构后的请求 Note left of Gateway: 新请求携带解密后数据 ``` 具体实现方案: ##### 方案1:内存缓存(适合小数据) ```java // 网关过滤器示例 public class DecryptFilter implements GatewayFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { // 1. 读取缓存请求体 byte[] encryptedData = exchange.getRequest().getBody().blockFirst(); // 2. 执行解密操作 byte[] decryptedData = decrypt(encryptedData); // 3. 重构请求 ServerHttpRequest newRequest = exchange.getRequest().mutate() .body(DataBufferUtils.join(DataBufferFactory.allocateBuffer() .write(decryptedData))) .build(); // 4. 转发新请求 return chain.filter(exchange.mutate().request(newRequest).build()); } } ``` ##### 方案2:磁盘缓存(适合大文件) ```java // 使用临时文件缓存 Path tempFile = Files.createTempFile("reqbody", ".tmp"); try (InputStream is = request.getInputStream(); OutputStream os = Files.newOutputStream(tempFile)) { IOUtils.copy(is, os); // 请求体写入磁盘 } // 解密文件内容 decryptFile(tempFile); // 转发时使用FileInputStream forwardRequest(new FileInputStream(tempFile)); ``` #### 三、关键技术实现 1. **请求包装器模式** 创建`HttpServletRequestWrapper`扩展类,覆盖输入流获取方法: ```java public class CachedBodyRequestWrapper extends HttpServletRequestWrapper { private final byte[] cachedBody; public CachedBodyRequestWrapper(HttpServletRequest request) { super(request); this.cachedBody = IOUtils.toByteArray(request.getInputStream()); } @Override public ServletInputStream getInputStream() { return new CachedBodyServletInputStream(this.cachedBody); } } ``` 2. **响应式编程处理(WebFlux)** 在Spring Cloud Gateway中使用`ModifyRequestBodyGatewayFilterFactory`: ```java @Bean public RouteLocator routes(RouteLocatorBuilder builder) { return builder.routes() .route("decrypt_route", r -> r.path("/api/**") .filters(f -> f.modifyRequestBody( byte[].class, byte[].class, (exchange, body) -> Mono.just(decrypt(body))) ) .uri("http://backend-service")) .build(); } ``` #### 四、性能与安全优化 1. **内存控制** $$ \text{阈值控制} : \text{maxInMemorySize} = 256\text{KB} $$ 超过阈值自动切换磁盘缓存 2. **流式解密** 边读取解密的管道处理: ```java PipedInputStream in = new PipedInputStream(); PipedOutputStream out = new PipedOutputStream(in); new Thread(() -> { try (InputStream src = request.getInputStream()) { decryptStream(src, out); // 流式解密 } }).start(); forwardRequest(in); // 转发解密流 ``` 3. **安全增强** - 解密后立即清除内存中的原始密文 - 磁盘缓存使用`SecureRandom`命名临时文件 - 设置文件权限`600`(仅所有者可读写) ### 总结 1. **矛盾本质**:解密需消耗请求流 vs 转发需完整请求流 2. **解决核心**:请求体缓存与重构技术 3. **方案选择**: - 内存缓存:适合<10MB请求体 - 磁盘缓存:适合大文件/视频流 - 流式处理:平衡内存与延迟 在网关层实现解密转发时,必须通过请求体重构技术绕过Servlet输入流单次读取限制。Spring Cloud Gateway的响应式模型(WebFlux)为此提供了更优雅的解决方案[^1][^2]。 --- ### 相关问题 1. 如何评估网关层解密对系统延迟的影响? 2. 网关解密和微服务本地解密的性能对比? 3. 流式解密在HTTPS场景下的实现挑战? 4. Servlet容器与WebFlux在处理大文件请求时的资源消耗差异?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十方来财

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值