springboot全面加密方案
-
最近项目上又出幺蛾子了,甲方要求前端后台全部的数据都需要加密处理,不允许明文。简单的来说,就是传的参数是加密数据,然后接口返回给前端的数据也是加密数据。
-
显示的效果就是比方说,前端传给我的是一个json
{
"data":"8cfd4ebd90359d687b0dd8345fad44ab3405cecd81e9d7e5da5ec994259e171575aa2384a024677276c98db9c13ef66e"
} -
然后我拿到这个数据后解析成原本我的接口的参数,然后传到接口中处理逻辑,然后把返回值也加密,返回给前端的值类似于
{
"result":"6CC375B93947D06ED64E4A0E21227147C0D63EB71BD871EFFAF3A6319A7A6519B55E8919E0B505321230CC0DD951B535F6C8BB42EBFF6DA07B6F7C638658714F59D0522098BA91BB2B51174EF08B9DC99A98D99BD6A31599A995CAB8996EE4C2"
} -
于是就要开始思考如何解决该问题,由于项目里没有统一的格式规范,各种类型层出不穷,比如@RequestBody,或者@RequestParam,各种表单提交或者json提交,然后返回值也是各种各样的。这对于我做全面加密产生了极大的阻碍。
-
正常做首先看网上有没有现成的,但是经过我多次试验,均无法满足我的全部需求,它只能处理json格式的,对于我表单提交的方式那就是一个无能为力
-
然后还有拦截器的方式,本来我是非常看好这个方法,但是拦截器HandlerInterceptor,我实在是无法实现解析后再把值变为表单提交进原来的接口中,如果有大佬实现了,希望能告诉在下,如何实现。
-
同理自定义注解,也是同样的原因,我始终无法实现把解析后的参数转化为表单再重新提交进接口
-
最后我使用过滤器的方式来实现,过滤器,缺失能实现把值转化为表单重新提交进接口
-
而把返回值重新进行加密的方式,我选择使用implements ResponseBodyAdvice,我测试目前基本上返回值都会经过这里,重新进行加密封装后,再返回给前端
-
进入filter后,重新赋值
MyParameterRequestWrapper wrapRequest = new MyParameterRequestWrapper(request, newParams, jsonData);
其中,newParams传的是表单的数据,jsonData传的是json的数据,都是解析出来的数据,然后继续进入下一个过滤
filterChain.doFilter(wrapRequest, servletResponse);public class MyParameterRequestWrapper extends HttpServletRequestWrapper {
private Map<String, String[]> params;
private String requestBody = null;/** * Constructs a request object wrapping the given request. * * @param request the {@link HttpServletRequest} to be wrapped. * @throws IllegalArgumentException if the request is null */ public MyParameterRequestWrapper(HttpServletRequest request, Map<String, String[]> params, String requestBody) { super(request); this.params = params; this.requestBody = requestBody; } @Override public Map<String, String[]> getParameterMap() { return params; } @Override public Enumeration<String> getParameterNames() { Vector<String> l = new Vector<>(params.keySet()); return l.elements(); } @Override public String[] getParameterValues(String name) { Object v = params.get(name); if (v == null) { return null; } else if (v instanceof String[]) { return (String[]) v; } else if (v instanceof String) { return new String[]{(String) v}; } else { return new String[]{v.toString()}; } } @Override public String getParameter(String name) { Object v = params.get(name); if (v == null) { return null; } else if (v instanceof String[]) { String[] strArr = (String[]) v; if (strArr.length > 0) { return strArr[0]; } else { return null; } } else if (v instanceof String) { return (String) v; } else { return v.toString(); } } @Override public BufferedReader getReader() throws IOException { return new BufferedReader(new StringReader(requestBody)); } @Override public ServletInputStream getInputStream() throws IOException { ServletRequest request = getRequest(); return new ServletInputStream() { @Override public boolean isFinished() { return false; } @Override public boolean isReady() { return false; } @Override public void setReadListener(ReadListener readListener) { } private InputStream in = new ByteArrayInputStream( requestBody.getBytes(request.getCharacterEncoding() == null ? "UTF-8" : request.getCharacterEncoding())); // 读取 requestBody 中的数据 @Override public int read() throws IOException { return in.read(); } }; }}
/**
-
响应加解密拦截器
-
@author lyk
*/
@Component
@ControllerAdvice
public class ResponseHandler implements ResponseBodyAdvice<Object> {// 这里假设你希望只有某些特定的 Controller 或方法走这个处理器
@Override
public boolean supports(MethodParameter methodParameter, Class<? extends HttpMessageConverter<?>> aClass) {
//这里可以写一些条件return false,代表不进入返回加密流程
return true;
}/**
-
响应加密
*/
@Override
public Object beforeBodyWrite(Object body, MethodParameter methodParameter, MediaType mediaType, Class<? extends HttpMessageConverter<?>> aClass, ServerHttpRequest request, ServerHttpResponse serverHttpResponse) {
//这里body就是返回值,对它进行加密即可
String encrypt = encryptEcb(body);JSONObject json = new JSONObject();
json.put("result", encrypt);
return json;
}
}
-
-