利用注解+RequestBodyAdvice实现http请求内容加解密

最新推荐文章于 2024-05-16 16:32:05 发布
原创 最新推荐文章于 2024-05-16 16:32:05 发布 · 7.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#request #加密 #RequestBodyAdvice

博客介绍了指定controller方法加解密的注解使用,添加注解到controller方法上。对于加密请求数据,需在二进制流处理前用RequestBodyAdvice的beforeBodyRead方法解密,通过AppID查秘钥解密后替换HttpInputMessage。加密使用ResponseBodyAdvice,之前博文有介绍。
ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

注解主要用来指定那些需要加解密的controller方法,实现比较简单


@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface SecretAnnotation {
    boolean encode() default false;
    boolean decode() default false;

}

使用时添加注解在controller的方法上

    @PostMapping("/preview")
    @SecretAnnotation(decode = true)
    public ResponseVO<ContractSignVO> previewContract(@RequestBody FillContractDTO fillContractDTO)  {
        return contractSignService.previewContract(fillContractDTO);
    }

请求数据由二进制流转为类对象数据,对于加密过的数据,需要在二进制流被处理之前进行解密,否则在转为类对象时会因为数据格式不匹配而报错。
因此使用RequestBodyAdvice的beforeBodyRead方法来处理。

@Slf4j
@RestControllerAdvice
public class MyRequestControllerAdvice implements RequestBodyAdvice {
    @Override
    public boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return methodParameter.hasParameterAnnotation(RequestBody.class);
    }

    @Override
    public Object handleEmptyBody(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return o;
    }

    @Autowired
    private MySecretUtil mySecretUtil;
    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) throws IOException {
        if (methodParameter.getMethod().isAnnotationPresent(SecretAnnotation.class)) {
            SecretAnnotation secretAnnotation = methodParameter.getMethod().getAnnotation(SecretAnnotation.class);
            if (secretAnnotation.decode()) {
                return new HttpInputMessage() {
                    @Override
                    public InputStream getBody() throws IOException {
                        List<String> appIdList = httpInputMessage.getHeaders().get("appId");
                        if (appIdList.isEmpty()){
                            throw new RuntimeException("请求头缺少appID");
                        }
                        String appId = appIdList.get(0);
                        String bodyStr = IOUtils.toString(httpInputMessage.getBody(),"utf-8");

                        bodyStr = mySecretUtil.decode(bodyStr,appId);
                        return  IOUtils.toInputStream(bodyStr,"utf-8");
                    }

                    @Override
                    public HttpHeaders getHeaders() {
                        return httpInputMessage.getHeaders();
                    }
                };
            }
        }
        return httpInputMessage;
    }

    @Override
    public Object afterBodyRead(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {


        return o;
    }

}

mySecretUtil.decode(bodyStr,appId)的内容是,通过请求头中的AppID去数据库中查找对于的秘钥,之后进行解密,返回解密后的字符串。再通过common.io包中提供的工具类IOUtils将字符串转为inputstream流,替换HttpInputMessage,返回一个body数据为解密后的二进制流的HttpInputMessage。

加密使用ResponseBodyAdvice,在我之前的一篇博文里有介绍过。

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

【工作小札】注解 AOP实现加解密和验签
洋YANG的博客
08-18 1055
一、楔子 最近小七接到一个任务,需要针对现有的一些接口,按照第三方的要求进行加解密、签名验签等升级。 二、改造思路 1、硬编码 直接改变以前方法的签名和结果,并且在方法里耦合加解密验签等逻辑 以前的代码 public Result getXXXX(@Valid @RequestBody GetSignParamResp request){ // todo } 升级后的代码 public String getXXXX(HttpServletRequest request){ // todo } 优
springboot @ControllerAdvice + RequestBodyAdvice 实现解密工具踩坑记录
梦游小草的博客
04-03 2119
背景: 看了最少几十篇springboot解密相关的教程,大致都是:@ControllerAdvice注解 +实现RequestBodyAdvice接口。由于代码不复杂,直接借鉴并处理了自己的解密拦截类。但是一直无法进入拦截,一直以为是手敲代码敲错了拦截类,尝试重新在网上copy代码,结果代码也不能正常跑。然而在github上面pull别人的代码,跑起来却能正常拦截。于是重新copy拦截...
springboot 对 RequestBody入参统一加解密处理
weixin_40951507的博客
12-30 1632
在使用的过程中,大家注意1、开启 加密的同时,需要在springboot启动类上面加@EnableSecurity 注解便spring初始化对应的bean信息2、在生成环境使用,请注意关闭openlog3、开发的过程中,可以将open设置为false4、如果使用其它加密算法可以自行修改EncryptResponseBodyAdvice 类5、最后加密比较耗性能,注意只有在安全级别较高时使用,对具体的方法加密需要添加@Decrypt。
SpringMVC系列第18篇:强大的RequestBodyAdvice解密
路人甲Java
10-05 7120
文末可以领取所有系列高清 pdf。大家好,我是路人,这是 SpringMVC 系列第 18 篇。1、前言在实际项目中,有时候我们需要在请求之前或之后做一些操作,比如:对参数进行解密,对所有...
Spring Boot Starter注解方式发送HTTP请求
qq_23214613的博客
07-23 832
前言 这是一个解决服务端发起http请求服务的框架。 由于开发人员的使用习惯不一样,每个人都有可能写出一套不同的HTTP请求util出来,而且使用的方式各不相同,还不能复用, 在用过Feign后,Feign支持比较好的是spring cloud,在不想用spring cloud的情况下,不如自己封装一套Http请求的框架,即可解决代码混乱的问题,又能优雅的开发。 框架的基本要求 ...
SpringBoot2.X学习之HTTP请求注解讲解
袖卷笛音的博客
01-15 796
之前写了几个简单的入门程序,这篇对程序中的常用注解进行简单的讲解。首先我们先看启动类中的注解 一.@SpringBootApplication 在SpringBoot中,*Application类就是启动类,是SpringBoot启动的入口, 那么他是怎么知道这是一个入口的呢,就是凭借@SpringBootApplication这个注解。之前有些SpringBoot应用会有一堆注解这里...
java 自动加密解密RequestBodyAdviceRequestBodyAdvice
m0_52946104的博客
04-25 1258
注解在类中使用如下 请求是否解密 //相应请求判断是否加密 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Com
SpringBoot实现接口数据的加解密功能
08-25
SpringBoot实现接口数据的加解密功能可以使用自定义消息转换器或使用Spring提供的接口RequestBodyAdvice和ResponseBodyAdvice两种方式实现,前者简单易用,但不灵活,后者可以按照请求的特定需要进行加密解密操作。
SpringBoot 基于RequestBodyAdvice 和 ResponseBodyAdvice 实现数据的加/解密(采用 RSA 算法 ),“船新版本”!
Specif1c的博客
03-30 1598
一、前言: 数据是企业的第四张名片,企业级开发中少不了数据的加密传输。为了预防请求数据被劫持篡改,一般都会对传输的数据进行加密操作,如果每个接口都由我们自己去手动加密解密,那么工作量太大而且代码冗余。那么有没有简单的方法,借助 Spring 提供的 RequestBodyAdvice 和 ResponseBodyAdvice 可以实现解密加密操作。 二、实现原理: RequestBodyAdvice处理请求的过程: RequestBodyAdvice源码如下: 查看读取主体的内容来解析方法参数
SpringBoot中如何灵活的实现接口数据的加解密功能?
Java碎碎念
10-28 1248
数据是企业的第四张名片,企业级开发中少不了数据的加密传输,所以本文介绍下SpringBoot中接口数据加密解密的方式。 本文目录 文章目录本文目录一、加密方案介绍二、实现原理三、实战四、测试五、踩到的坑 一、加密方案介绍 对接口的加密解密操作主要有下面两种方式: 自定义消息转换器 优势:仅需实现接口,配置简单。 劣势:仅能对同一类型的MediaType进行加解密操作,不灵活。 使用sp...
SpringMVC系列第18篇:强大的RequestBodyAdvice解密,2024年最新面试问jvm性能调优
2401_84139049的博客
04-11 1079
可以运行 main 方法,得到 2 个测试的密文。/*** 加密工具类*/m1();m2();String body = “{“name”:“路人”,“age”:30}”;String body = “[{“name”:“路人”,“age”:30},{“name”:“springmvc高手系列”,“age”:30}]”;/*** 加密明文* @param plainText 明文* @return*/try {/**
动态代理+注解实现HTTP接口RPC调用
your_Heart_Private的博客
03-20 8624
项目里面经常会调用一些三方系统的接口,相信大多数的解决方法就是百度一个httpclient的工具类,借助httpclientutil工具类来实现。例如这样子: /** * Https请求发送方法 * application/x-www-form-urlencoded 编码 * @param requestUrl * 请求的url * @param re...
在 Spring Boot 中通过 RequestBodyAdvice 统一解码请求
竹林幽深
10-27 1088
*** 需要对请求体进行解码*/该注解用于 Controller 参数,只有注解了的请求体()才需要解码。通过实现接口,并注册为 Spring 的 Bean,可以在请求到达 Controller 之前或之后对请求体进行定制化的处理。这样可以实现一些常见的需求,例如请求解密、数据验签、日志记录等。「Spring系列框架的中文文档」:中文互联网上现有的关于spring的文档要么已经多年未更新,要么就是机器直接翻译,质量太次!于是我们花了一些时间,整理翻译出了全网最优质,最新的spring。
微服务巧用Aop,使用RequestBodyAdvice请求参数加密,项目全局增强Api接口安全性
大猩猩的专栏
05-16 1006
假如有特殊的请求,我们可以进行方法变通。在我们日常开发中,通常不会考虑到Api的安全性,但是在运维部署时,如果是小公司,大可能的配置ssl文件是免费的,安全性并不是很高,市场上有很多的工具可以简单的进行破解,HttpInputMessage 它代表了一个 HTTP 输入消息,通常用于读取 HTTP 请求的正文,这个接口提供了对 HTTP 请求头和请求体的访问。如果不管不问,我们的Api接口就像在互联网上裸奔一样,专业破解方就像看我们的API没穿裤衩子一样,随意的更改我们的请求与回放。
关于@Requestbody的注解
Enigma12345的博客
07-20 574
今天项目碰到一个bug,前端返回一个JSON类中有一个字段为空,浏览器直接报400(api参数出错),原因是该字段为“”空字符串,在后端的解析中不会解析成None而也是空字符串,至于是否接收None字段取决于Requestbody注解的实体类有没有添加一些需要Valid的注解
Spring体系下解决请求统一加解密之ResponseBodyAdvice和RequestBodyAdvice
m0_61891910的博客
02-26 1239
【同样RequestBodyAdvice也是在 sping 新加入的一个接口,它可以使用在 @RequestBody 或 HttpEntity 修饰的参数读取之前进行参数的处理,比如进行参数的解密】 通俗来讲就是在数据返回前端之前可以通过这个ResponseBodyAdvice接口来将响应中的数据进行操作后再返回前端。因此可以在这里进行检查方法是否有我们自己定义的注解,比如我的代码就是检查了方法参数上有没有EncryptBody这个注解,有的话就会去进行beforeBodyWrite方法的执行。
Spring的RequestBodyAdvice拦截小细节浅析
朝夕不待人的博客
11-29 3865
背景 因为项目接口需要进行解密,需要对数据进行统一处理,就使用了ReuqestBodyAdvice进行数据解密处理,但是偶然的发现supports方法会出现执行两次的情况,觉得有点奇异就进行了一次断点调试,然后就发现了执行两次的原因; 过程 1.默认supports方法返回false,表示不做任何处理: 2.默认supports方法返回true,表示对数据进行处理: 如图所示无论supports方法返回true还是false,只要这个ReuqestAdvice存在并且在spring中生效,suppor
RequestBodyAdvice 和 ResponseBodyAdvice增强器使用
IM507的博客
11-15 2700
前言:   日常开发中,我们常常需要对@RequestBody的参数进行各种处理,例如加解密、打印日志,这些东西我们可以用到RequestBodyAdvice 和 ResponseBodyAdvice来对请求前后进行处理,本质上他俩都是AOP,这里做加解密处理记录。 1 RequestBodyAdvice @RestControllerAdvice public class CustomReque...
aop实现请求参数body解密
最新发布
05-19
### 如何使用AOP实现HTTP请求参数Body的解密功能 #### 背景介绍 面向切面编程(Aspect-Oriented Programming,简称AOP)是一种设计模式,用于分离横切关注点(如日志记录、事务管理、安全控制等)。在Web应用开发中,可以通过AOP来处理请求参数的安全性问题,比如对请求体中的敏感数据进行加密解密操作。 为了实现HTTP请求参数Body的解密功能,可以利用Spring框架提供的`RequestBodyAdvice`机制。该机制允许开发者拦截并修改控制器方法接收到的请求内容[^1]。结合AOP技术,可以在不影响业务逻辑的前提下完成解密工作。 --- #### 实现方案概述 以下是基于`RequestBodyAdvice`与AOP相结合的方式实现请求参数Body解密的核心思路: 1. **创建自定义注解** 定义一个注解标记哪些接口需要启用解密功能。例如: ```java @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface Decrypt { String[] params() default {}; // 需要解密的字段名称数组 } ``` 2. **编写解密工具类** 提供通用的解密算法实现。假设我们采用AES作为加密标准,则可封装如下工具函数: ```java import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec; public class AESUtil { private static final String ALGORITHM = "AES"; public static String decrypt(String encryptedData, String key) throws Exception { Cipher cipher = Cipher.getInstance(ALGORITHM); SecretKeySpec secretKey = new SecretKeySpec(key.getBytes(), ALGORITHM); cipher.init(Cipher.DECRYPT_MODE, secretKey); byte[] decodedBytes = Base64.getDecoder().decode(encryptedData); return new String(cipher.doFinal(decodedBytes)); } } ``` 3. **扩展RequestBodyAdviceAdapter抽象类** 创建具体的`RequestBodyAdvice`实现类,重写其中的关键方法以支持动态调整输入流的行为。 ```java import org.springframework.core.MethodParameter; import org.springframework.http.HttpInputMessage; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.servlet.mvc.method.annotation.RequestBodyAdviceAdapter; import java.io.ByteArrayInputStream; import java.io.IOException; import java.lang.reflect.Type; import java.nio.charset.StandardCharsets; @ControllerAdvice public class CustomRequestBodyAdvice extends RequestBodyAdviceAdapter { @Override public boolean supports(MethodParameter methodParam, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) { return methodParam.hasMethodAnnotation(Decrypt.class); // 判断是否有@Decrypt标注 } @Override public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<?> converterType) throws IOException { if (!supports(parameter, targetType, converterType)) { return inputMessage; } try { String requestBody = new String(inputMessage.getBody().readAllBytes(), StandardCharsets.UTF_8); String decryptedContent = processDecryption(requestBody, parameter.getMethodAnnotation(Decrypt.class).params()); return new ByteArrayInputStream(decryptedContent.getBytes(StandardCharsets.UTF_8)); } catch (Exception ex) { throw new RuntimeException("Failed to decrypt request body.", ex); } } private String processDecryption(String content, String[] paramNames) throws Exception { StringBuilder resultBuilder = new StringBuilder(content); for (String paramName : paramNames) { int startIdx = content.indexOf("\"" + paramName + "\":\""); // 查找目标字段位置 if (startIdx != -1) { int endQuotePos = content.indexOf('"', startIdx + paramName.length() + 4); String encryptedValue = content.substring(startIdx + paramName.length() + 4, endQuotePos); String decryptedText = AESUtil.decrypt(encryptedValue, "your-secret-key"); resultBuilder.replace(startIdx + paramName.length() + 4, endQuotePos, decryptedText); } } return resultBuilder.toString(); } } ``` 4. **配置AOP切入点** 如果希望进一步增强灵活性,还可以引入Spring AOP模块定义额外的环绕通知逻辑。例如: ```java import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect; import org.springframework.stereotype.Component; @Component @Aspect public class SecurityAspect { @Around("@annotation(com.example.Decrypt)") public Object handleRequestWithEncryption(ProceedingJoinPoint joinPoint) throws Throwable { long startTime = System.currentTimeMillis(); try { return joinPoint.proceed(); // 执行原生方法调用链路 } finally { System.out.println("Execution time: " + (System.currentTimeMillis() - startTime) + "ms."); } } } ``` 5. **测试验证** 假设存在这样一个RESTful API端点接受JSON格式的数据包: ```json { "username":"admin", "password":"cGFzc3dvcmQ=" /* base64编码后的明文密码 */ } ``` 当客户端发送上述POST请求至服务器时,后台会自动解析出隐藏于`password`属性内的真实值,并将其替换为原始形式后再交给实际处理器继续运作。 --- ### 注意事项 尽管此方法能够有效简化跨层间的重复劳动量,但也存在一定局限性需要注意: - 性能开销较大:每次都需要重新序列化整个对象树结构; - 可维护性较差:一旦涉及多种不同的加解密协议则需频繁改动现有代码基线[^2]。 因此建议仅针对特定场景谨慎选用此类设计方案。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值