`
lichuanbao
  • 浏览: 127747 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

HttpServletRequestWrapper的使用

    博客分类:
  • Java
阅读更多
老大给了一个很实际的需求:有段程序,使用Http的方式与合作商交互,而且是明文传输数据。我方的代码已经打包放在服务器上运行了很长时间,这时合作商突然要求修改数据传输的方式,要求加密后再传输,而我方的原有的代码不能改变,以防止引发其它问题。
问:如何在不修改我方现有的代码的前提下,满足合作商的要求?

可能大家都想到了,只要加上一个过滤器Filter不就可以了吗?事实就是这样的,采用Filter+HttpServletRequestWrapper就可以解决这个问题。
首先:在filter中拦截到加密后的请求,将参数解密,然后组装成一个新的明文请求串。
然后:重写HttpServletRequestWrapper中的getInputStream()方法,让其返回过滤器解析后的明文串即可。

具体代码解释如下。

首先我写了两个一摸一样的servlet,一个用来直接接收合作商的明文请求并打印;一个用来接收Filter处理后的合作商的请求并打印(Filter中将合作商加密后的参数解密再传给这个Servlet)。
@WebServlet("/SiServlet")
public class SiServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;

	/**
	 * @see HttpServlet#HttpServlet()
	 */
	public SiServlet() {
		super();
	}

	/**
	 * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doGet(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		this.doPost(request, response);
	}

	/**
	 * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
	 *      response)
	 * 
	 */
	protected void doPost(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		String bizBindMsg = IOUtils.toString(request.getInputStream(), "UTF-8");
		bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
		System.out.println("SiServlet接收到请求为: " + bizBindMsg);

		response.getWriter().write("==========success=========");
	}
}
@WebServlet("/SiServletNormal")
public class SiServletNormal extends HttpServlet {
	private static final long serialVersionUID = 1L;

	/**
	 * @see HttpServlet#HttpServlet()
	 */
	public SiServletNormal() {
		super();
	}

	/**
	 * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doGet(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		this.doPost(request, response);
	}

	/**
	 * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
	 *      response)
	 * 
	 */
	protected void doPost(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		String bizBindMsg = IOUtils.toString(request.getInputStream(), "UTF-8");
		bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
		System.out.println("SiServletNormal接收到请求为: " + bizBindMsg);

		response.getWriter()
				.write("==========SiServletNormal Success=========");
	}
}


然后我使用HttpClient模拟了一下合作商发送明文和密文请求的过程,加密使用Base64简单模拟一下。
public class AdcClient {
	private HttpPost httpPost = null;
	private HttpClient client = null;
	private List<NameValuePair> pairs = null;

	public AdcClient() {
		httpPost = new HttpPost("http://localhost:8080/filtertest/SiServlet");
		client = new DefaultHttpClient();
	}

	/**
	 * 发送明文消息
	 * 
	 */
	public void sendMsg() {

		try {
			httpPost = new HttpPost(
					"http://localhost:8080/filtertest/SiServletNormal");

			pairs = new ArrayList<NameValuePair>();
			pairs.add(new BasicNameValuePair(("param1"), "obama没加密"));
			pairs.add(new BasicNameValuePair(("param2"), "男没加密"));
			pairs.add(new BasicNameValuePair(("param3"), "汉没加密"));
			pairs.add(new BasicNameValuePair(("param4"), "山东没加密"));

			httpPost.setEntity(new UrlEncodedFormEntity(pairs, "UTF-8"));
			// httpPost.setHeader("Cookie", "TOKEN=1234567890");
			HttpResponse response = client.execute(httpPost);

			HttpEntity entity = response.getEntity();
			BufferedReader br = new BufferedReader(new InputStreamReader(
					entity.getContent()));
			String line = null;
			StringBuffer result = new StringBuffer();
			while ((line = br.readLine()) != null) {
				result.append(line);
				line = br.readLine();
			}

			System.out.println("来自SiServletNormal的响应为:" + result.toString());
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		} catch (ClientProtocolException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}
	}

	/**
	 * 发送加密后的消息
	 */
	public void sendEncryptMsg() {
		try {
			pairs = new ArrayList<NameValuePair>();
			pairs.add(new BasicNameValuePair(("param1"), Base64EnDecrypt
					.base64Encode("obama")));
			pairs.add(new BasicNameValuePair(("param2"), Base64EnDecrypt
					.base64Encode("男")));
			pairs.add(new BasicNameValuePair(("param3"), Base64EnDecrypt
					.base64Encode("汉")));
			pairs.add(new BasicNameValuePair(("param4"), Base64EnDecrypt
					.base64Encode("山东")));

			HttpEntity reqEntity = new UrlEncodedFormEntity(pairs, "UTF-8");
			httpPost.setEntity(reqEntity);
			// httpPost.setHeader("Cookie", "TOKEN=1234567890");
			HttpResponse response = client.execute(httpPost);

			/**
			 * 获取响应信息
			 */
			HttpEntity entity = response.getEntity();
			BufferedReader br = new BufferedReader(new InputStreamReader(
					entity.getContent()));
			String line = null;
			StringBuffer result = new StringBuffer();
			while ((line = br.readLine()) != null) {
				result.append(line);
				line = br.readLine();
			}

			System.out.println("来自SiServlet的响应为:" + result.toString());
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		} catch (ClientProtocolException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}
	}

	/**
	 * @param args
	 * @throws UnsupportedEncodingException
	 */
	public static void main(String[] args) throws UnsupportedEncodingException {
		new AdcClient().sendMsg();

		new AdcClient().sendEncryptMsg();
	}
}

重点是下面的这个HttpServletRequestWrapper,我重写了它的getInputStream()方法,这个方法返回包含明文的ServletInputStream
public class MyRequestWrapper extends HttpServletRequestWrapper {
	private HttpServletRequest request;

	public MyRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	/**
	 * 先解密,获取明文;然后将明文转化为字节数组;然后再去读取字节数组中的内容
	 */
	@Override
	public ServletInputStream getInputStream() {
		String bizBindMsg = null;
		ServletInputStream stream = null;

		try {
			stream = request.getInputStream();
			bizBindMsg = IOUtils.toString(stream, "UTF-8");
		} catch (IOException e) {
			e.printStackTrace();
		}
		try {
			bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		}
		System.out.println("MyRequestWrapper接收到的请求为: " + bizBindMsg);

		/**
		 * 获取加密的值进行解密
		 */
		final StringBuffer reqStr = new StringBuffer();
		reqStr.append("param1=").append(
				Base64EnDecrypt.base64Decode(bizBindMsg.substring(
						bizBindMsg.indexOf("param1=") + 7,
						bizBindMsg.indexOf("param2="))));
		reqStr.append("&");
		reqStr.append("param2=").append(
				Base64EnDecrypt.base64Decode(bizBindMsg.substring(
						bizBindMsg.indexOf("param2=") + 7,
						bizBindMsg.indexOf("param3="))));
		reqStr.append("&");
		reqStr.append("param3=").append(
				Base64EnDecrypt.base64Decode(bizBindMsg.substring(
						bizBindMsg.indexOf("param3=") + 7,
						bizBindMsg.indexOf("param4="))));
		reqStr.append("&");
		reqStr.append("param4=").append(
				Base64EnDecrypt.base64Decode(bizBindMsg.substring(bizBindMsg
						.indexOf("param4=") + 7)));

		System.out.println("********MyRequestWrapper接收到的解密后的请求为*********");
		System.out.println(reqStr.toString());

		/**
		 * 将解密后的明文串放到buffer数组中
		 */
		byte[] buffer = null;
		try {
			buffer = reqStr.toString().getBytes("UTF-8");
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		}
		final ByteArrayInputStream bais = new ByteArrayInputStream(buffer);

		ServletInputStream newStream = new ServletInputStream() {

			@Override
			public int read() throws IOException {
				return bais.read();
			}
		};
		return newStream;
	}
}

最后是简单的Filter,在这里将加密后的ServletRequest重新包装,交给SiServlet进行处理
public class EncryptFilter implements Filter {

	@Override
	public void destroy() {
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		chain.doFilter(new MyRequestWrapper((HttpServletRequest) request),
				response);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {

	}

}

我的web.xml中是这样配置的
<filter>
  	<filter-name>encryptFilter</filter-name>
  	<filter-class>com.test.filter.EncryptFilter</filter-class>
  </filter>
  <filter-mapping>
  	<filter-name>encryptFilter</filter-name>
  	<url-pattern>/SiServlet</url-pattern>
  </filter-mapping>

确保过滤器entyptFilter只拦截到SiServlet的请求即可。

运行AdcClient,可以看到下面的结果


这里的重点是MyRequestWrapper中重写的getInputStream()方法。大家可以看看API中关于HttpServletRequest的用法http://tomcat.apache.org/tomcat-5.5-doc/servletapi/index.html
  • 描述: 运行结果
  • 大小: 8.1 KB
1
1
分享到:
评论
1 楼 zifangsky 2016-09-24  
关于“继承HttpServletRequestWrapper以实现在Filter中修改HttpServletRequest的参数”,我也在我的个人博客上专门写了一篇文章来介绍这个装饰模式是怎么来实现的,感兴趣的童鞋可以来看看http://www.zifangsky.cn/677.html

相关推荐

    HttpServletRequestWrapper

    这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。

    使用HttpServletRequestWrapper在filter修改request参数

    标题“使用HttpServletRequestWrapper在filter修改request参数”揭示了主要知识点,即如何在过滤器中通过自定义`HttpServletRequestWrapper` 子类来动态改变请求参数。这通常用于处理如数据验证、安全过滤、参数转换...

    HttpServletRequestWrapper 用法

    下面我们将详细讲解`HttpServletRequestWrapper`的使用场景、工作原理以及如何创建自定义的请求包装器。 ### 使用场景 1. **参数过滤**:如果你需要在请求到达处理器之前检查或修改请求参数,可以使用`...

    HttpServletRequestWrapper应用(二):包装文件上传请求

    在实际应用中,我们还需要创建一个Servlet或者Filter来拦截请求,然后使用`HttpServletRequestWrapper`的实例替换原始的请求。这样,所有的文件上传操作都会通过我们的包装类进行,从而实现自定义的处理逻辑。 总结...

    通用签名SDK源码+使用教程.zip

    通过继承HttpServletRequestWrapper,配置过滤器的方式实现签名校验 目前只支持post请求类型签名校验 只会对请求体的参数验签 对于重要业务接口,前端请求时需要加入随机字符串,当前时间戳和秘钥(盐)对业务参数...

    使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验

    5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释...

    主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验

    5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释...

    XssHttpServletRequestWrapper.java

    XssHttpServletRequestWrapper.java

    J2EE资源练习多选

    4. **使用范围的限制**:`HttpServletRequestWrapper`只能由实现了`javax.servlet.Filter`接口的类使用。这是不正确的,任何类都可以使用`HttpServletRequestWrapper`,并不局限于过滤器类。 #### 知识点四:实现跨...

    Request中的参数转实体类

    主要用于使用Request中的getParamterMap()方法生成一个实体类,其中还包括getParamterMap中字段的检查方法。详见内容!

    在使用实现过滤器进行request包装,获取内层request的分析

    这时,我们可以使用`HttpServletRequestWrapper`类来包装请求,并在需要时获取内层的原始请求。下面是一个简单的例子: ```java public class OriginalRequestWrapper extends HttpServletRequestWrapper { ...

    完美解决request请求流只能读取一次的问题

    解决request请求流只能读取一次的问题,我们可以使用自定义的HttpServletRequestWrapper,覆写getInputStream()和getReader()方法,从而实现流的重复读取。这可以在SpringBoot项目中使用Filter拦截器对所有请求流中...

    Killtest 免费提供 310-084 最新资料下载

    - **Filter接口下的使用**:虽然`HttpServletRequestWrapper`可以由任何需要修改请求的对象使用,但在Servlet过滤器(实现`javax.servlet.Filter`接口的类)中特别有用,因为过滤器通常需要修改或检查请求和响应。...

    springboot 解决InputStream只能读取一次的问题

    在Spring Boot中,我们可以使用`ServletRequestWrapper`或`HttpServletRequestWrapper`来解决这个问题。`ServletRequestWrapper`是Spring对Servlet规范中的`HttpServletRequest`接口的包装类,它允许我们对原始请求...

    防范XSS攻击程序

    自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的请求,检测每个请求的参数是否含有XSS攻击关键字,如果存在xss攻击关键字,转义特殊字符。 方法是实现一个自定义的 HttpServletRequestWrapper ,然后在 ...

    jsp中获得路径的两种方法和获得url路径的方法(推荐).docx

    然而,`request.getRealPath("/")`方法虽然可以获取到服务器上JSP文件的实际物理路径,如`d:\web\`,但这个方法在现代的Java Web应用中已经不再推荐使用,因为它依赖于服务器的文件系统,这在分布式和容器化的环境中...

    CASClient集群环境的Session问题及解决方案.docx

    Authentication Filter 负责将未登录用户跳转到登录界面,Cas10TicketValidationFilter 负责验证 Service Ticket,HttpServletRequestWrapperFilter 负责将用户信息封装到 request 和 session 中。 结论 CASClient...

    SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx

    2. **RequestWrapper**:通过实现HttpServletRequestWrapper,mica-xss能够在数据传递到后端处理逻辑前进行过滤操作。 通过以上步骤,可以有效地保护Spring Boot应用程序免受XSS攻击的影响,确保数据的安全性和用户...

    java修改请求参数

    在`doFilter()`方法中,可以读取原始请求参数,进行修改,然后使用`HttpServletRequestWrapper`包装修改后的参数,再继续请求链。 3. **处理逻辑内修改**:如果修改参数的逻辑比较单一,也可以选择在具体处理请求的...

    用装饰模式装饰HttpServletRequest对象

    class HttpServletRequestWrapper extends HttpServletRequestWrapper { public HttpServletRequestWrapper(HttpServletRequest request) { super(request); } public String removeWhitespace(String input) {...

Global site tag (gtag.js) - Google Analytics