- 1Python selenium 整理常见问题与使用方法_python browser.get
- 2Yolov8原理详细解析!一文看懂
- 3国产AI大模型哪家强?十大维度横评四款主流大模型!_ai模型 评测
- 4点赞上万的AI古诗词绘画是怎么做出来的 丨保姆级教程_怎么讲古诗词装换成ai绘画提示词
- 5一文教会你如何重装Windows10系统【过程+图解+说明】_win10重装系统
- 6【MySQL】:超详细MySQL完整安装和配置教程_mysql1.4安装教程图解
- 7蓝桥杯高频考点真题单——4.修改数组
- 8计算机科学与技术,软件工程,网络空间安全这三个专业考研怎么选?_考研计算机技术和软件工程哪个好
- 9如何使用Selenium处理Cookie,今天彻底学会了!_selenium怎么获取httponly的cookie
- 10Docker 下载&安装&使用(简单教程)_docker下载
微服务巧用Aop,使用RequestBodyAdvice对请求参数加密,项目全局增强Api接口安全性
赞
踩
大家好,我是程序员大猩猩。
在我们日常开发中,通常不会考虑到Api的安全性,但是在运维部署时,如果是小公司,大可能的配置ssl文件是免费的,安全性并不是很高,市场上有很多的工具可以简单的进行破解,这大大的增加了我们Api接口的风险值。
如果不管不问,我们的Api接口就像在互联网上裸奔一样,专业破解方就像看我们的API没穿裤衩子一样,随意的更改我们的请求与回放。
当领导找到我们时,是不是内心遭受了百万暴击一样,满腹在骂娘!~~
我TM我的接口没有一点毛病,有攻击就加强服务器的安全组件,干什么说我技术不行,CAO~~~~
心里骂了半天,但是又有什么办法,领导又不懂代码,我们不是还得撸起袖子搞点安全系数高的代码来增强我们的Api。
那么如何更改呢?
1. 前端Json块使用约定俗成的加密盐进行对称加密。
2. 后端进行解密操作。
3. 后端对请求的返回Json块进行加密
4. 前端进行解密操作。
注:双方一定要约定一套有加密盐的对称加密方式最佳哦!~~
接下来,我们来完成后端部分的全局解密方法。
一、RequestBodyAdvice
RequestBodyAdvice是Spring框架中用于处理HTTP请求体的一个接口,它允许我们在控制器处理请求之前对请求体进行一些自定义操作。
这个接口通常用于对请求体进行校验、转换或者日志记录等操作。
RequestBodyAdvice接口提供了下面几个方法:
a. supports: 这个方法用于判断当前的RequestBodyAdvice是否适用于给定的控制器方法参数。
b. beforeBodyRead: 这个方法在请求体被读取并反序列化为对象之前调用,可以在这里对请求体进行预处理。
c. afterBodyRead: 这个方法在请求体被读取并反序列化为对象之后调用,可以在这里对反序列化后的对象进行后处理。
d.handleEmptyBody: 这个方法在请求没有请求体时调用,可以在这里提供默认值或者进行其他处理。
我们来重写上面的方法吧,只要是重写beforeBodyRead来实现。
二、beforeBodyRead
- /**
- * Invoked second before the request body is read and converted.
- *
- * @param inputMessage the request
- * @param parameter the target method parameter
- * @param targetType the target type, not necessarily the same as the method
- * parameter type, e.g. for {@code HttpEntity<String>}.
- * @param converterType the converter used to deserialize the body
- * @return the input request or a new instance, never {@code null}
- */
- @Override
- public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
- try {
- return new RequestHttpInputMessage(inputMessage, parameter);
- } catch (Exception e) {
- return inputMessage;
- }
- }
RequestHttpInputMessage是一个继承HttpInputMessage的自定义类。
三、HttpInputMessage获取API接口头和请求体
HttpInputMessage 它代表了一个 HTTP 输入消息,通常用于读取 HTTP 请求的正文,这个接口提供了对 HTTP 请求头和请求体的访问。
HttpInputMessage 接口定义了以下两个方法:
-
getHeaders(): 返回一个不可变的 MultiValueMap<String, String>,包含了 HTTP 消息头的键值对。这些消息头可以包含如内容类型、内容长度、缓存控制等信息。
-
getBody(): 返回一个 InputStream,通过这个流可以读取 HTTP 消息的正文。这通常用于读取客户端发送的数据,如 JSON 或 XML 格式的数据。
注意:getBody是一次性的方法,当你使用了一次获取了InputStream之后,再使用此方法,是无法再次获取到的。为了规避此问题,我们应该使用如下代码块进行获取。
- final ByteArrayInputStream bais = new ByteArrayInputStream(readBytes(body));
-
- privatebyte[] readBytes(InputStream in) throws IOException {
- int buffSize = 1024;
- try (BufferedInputStream bis = new BufferedInputStream(in); ByteArrayOutputStream out = new ByteArrayOutputStream(buffSize)) {
- byte[] temp = new byte[buffSize];
- int size;
- while ((size = bis.read(temp)) != -1) {
- out.write(temp, 0, size);
- }
- return out.toByteArray();
- }
- }
四、实现RequestHttpInputMessage
我们来实现一下这个RequestHttpInputMessage,主要在构造函数内进行解密即可。
- public RequestHttpInputMessage(HttpInputMessage inputMessage, MethodParameter parameter) throws Exception {
- this.headers = inputMessage.getHeaders();
- String encryptStr = easeString(IOUtils.toString(inputMessage.getBody(), StandardCharsets.UTF_8));
- // 解密
- String decrypt = AesEncryptUtils.decrypt(encryptStr);
- String replace = decrypt;
- log.info("RequestHttpInputMessage:{}", replace);
- // 特殊处理
- if (decrypt.contains("certImages")) {
- replace = decrypt.replace("\\", "");
- }
- // 解密后的请求块
- this.body = IOUtils.toInputStream(replace, StandardCharsets.UTF_8);
- }
AesEncryptUtils.decrypt属于请求块的解密方法。假如有特殊的请求,我们可以进行方法变通。最后更改请求块,然后将解密后的请求块发送给Controller了。
另外需要我自己的加密类,可以留言联系我获取,谢谢~
