我是 ABin-阿斌:写一生代码,创一世佳话,筑一览芳华。如果小伙伴们觉得不错就一键三连吧~

声明:

  • 原作者:掘金:https://juejin.cn/user/3650034336532824
  • 原文链接:https://juejin.cn/post/7080568585021554718

文章目录

  • 一、前言
  • 二、分析
    • 1、主要的需求点如下:
    • 2、需求解析:
  • 三、动手
  • 四、技术选型
    • 1、SecretRequestAdvice请求解密
    • 2、SecretResponseAdvice响应加密
    • 3、结果分析
  • 五、总结

一、前言

  • 这日,刚撸完2两代码,正准备掏出手机摸鱼放松放松,只见老大朝我走过来,并露出一个”善意“的微笑,兴伟呀,xx项目有于安全问题,需要对接口整体进行加密处理,你这方面比较有经验,就给你安排上了哈,看这周内提测行不…,额,摸摸头上飘摇着而稀疏的长发,感觉我爱了。

  • 和产品、前端同学对外需求后,梳理了相关技术方案,

二、分析

1、主要的需求点如下:

  1. 尽量少改动,不影响之前的业务逻辑;
  2. 考虑到时间紧迫性,可采用对称性加密方式,服务需要对接安卓、IOS、H5三端,另外考虑到H5端存储密钥安全性相对来说会低一些,故分针对H5和安卓、IOS分配两套密钥;
  3. 要兼容低版本的接口,后面新开发的接口可不用兼容;
  4. 接口有GET和POST两种接口,需要都要进行加解密;

2、需求解析:

  1. 服务端、客户端和H5统一拦截加解密,网上有成熟方案,也可以按其他服务中实现的加解密流程来搞;
  2. 使用AES放松加密,考虑到H5端存储密钥安全性相对来说会低一些,故分针对H5和安卓、IOS分配两套密钥;
  3. 本次涉及客户端和服务端的整体改造,经讨论,新接口统一加 /secret/ 前缀来区分

三、动手

  • 按本次需求来简单还原问题,定义两个对象,后面用得着,

用户类:

@Data
public class User {private Integer id;private String name;private UserType userType = UserType.COMMON;@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")private LocalDateTime registerTime;
}

用户类型枚举类:

@Getter
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
public enum UserType {VIP("VIP用户"),COMMON("普通用户");private String code;private String type;UserType(String type) {this.code = name();this.type = type;}
}

构造一个简单的用户列表查询示例:

@RestController
@RequestMapping(value = {"/user", "/secret/user"})
public class UserController {@RequestMapping("/list")ResponseEntity<List<User>> listUser() {List<User> users = new ArrayList<>();User u = new User();u.setId(1);u.setName("boyka");u.setRegisterTime(LocalDateTime.now());u.setUserType(UserType.COMMON);users.add(u);ResponseEntity<List<User>> response = new ResponseEntity<>();response.setCode(200);response.setData(users);response.setMsg("用户列表查询成功");return response;}
}

调用:localhost:8080/user/list

查询结果如下,没毛病:

{"code": 200,"data": [{"id": 1,"name": "boyka","userType": {"code": "COMMON","type": "普通用户"},"registerTime": "2022-03-24 23:58:39"}],"msg": "用户列表查询成功"
}

四、技术选型

  • 目前主要是利用ControllerAdvice来对请求和响应体进行拦截,主要定义SecretRequestAdvice对请求进行加密和SecretResponseAdvice对响应进行加密(实际情况会稍微复杂一点,项目中又GET类型请求,自定义了一个Filter进行不同的请求解密处理)。

  • 好了,网上的ControllerAdvice使用示例非常多,我这把两个核心方法给大家展示看看,相信大佬们一看就晓得了,不需多言。上代码:

1、SecretRequestAdvice请求解密

/*** @description:* @author: boykaff* @date: 2022-03-25-0025*/
@ControllerAdvice
@Order(Ordered.HIGHEST_PRECEDENCE)
@Slf4j
public class SecretRequestAdvice extends RequestBodyAdviceAdapter {@Overridepublic boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {return true;}@Overridepublic HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {//如果支持加密消息,进行消息解密。String httpBody;if (Boolean.TRUE.equals(SecretFilter.secretThreadLocal.get())) {httpBody = decryptBody(inputMessage);} else {httpBody = StreamUtils.copyToString(inputMessage.getBody(), Charset.defaultCharset());}//返回处理后的消息体给messageConvertreturn new SecretHttpMessage(new ByteArrayInputStream(httpBody.getBytes()), inputMessage.getHeaders());}/*** 解密消息体** @param inputMessage 消息体* @return 明文*/private String decryptBody(HttpInputMessage inputMessage) throws IOException {InputStream encryptStream = inputMessage.getBody();String requestBody = StreamUtils.copyToString(encryptStream, Charset.defaultCharset());// 验签过程HttpHeaders headers = inputMessage.getHeaders();if (CollectionUtils.isEmpty(headers.get("clientType"))|| CollectionUtils.isEmpty(headers.get("timestamp"))|| CollectionUtils.isEmpty(headers.get("salt"))|| CollectionUtils.isEmpty(headers.get("signature"))) {throw new ResultException(SECRET_API_ERROR, "请求解密参数错误,clientType、timestamp、salt、signature等参数传递是否正确传递");}String timestamp = String.valueOf(Objects.requireNonNull(headers.get("timestamp")).get(0));String salt = String.valueOf(Objects.requireNonNull(headers.get("salt")).get(0));String signature = String.valueOf(Objects.requireNonNull(headers.get("signature")).get(0));String privateKey = SecretFilter.clientPrivateKeyThreadLocal.get();ReqSecret reqSecret = JSON.parseObject(requestBody, ReqSecret.class);String data = reqSecret.getData();String newSignature = "";if (!StringUtils.isEmpty(privateKey)) {newSignature = Md5Utils.genSignature(timestamp + salt + data + privateKey);}if (!newSignature.equals(signature)) {// 验签失败throw new ResultException(SECRET_API_ERROR, "验签失败,请确认加密方式是否正确");}try {String decrypt = EncryptUtils.aesDecrypt(data, privateKey);if (StringUtils.isEmpty(decrypt)) {decrypt = "{}";}return decrypt;} catch (Exception e) {log.error("error: ", e);}throw new ResultException(SECRET_API_ERROR, "解密失败");}
}

2、SecretResponseAdvice响应加密

@ControllerAdvice
public class SecretResponseAdvice implements ResponseBodyAdvice {private Logger logger = LoggerFactory.getLogger(SecretResponseAdvice.class);@Overridepublic boolean supports(MethodParameter methodParameter, Class aClass) {return true;}@Overridepublic Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {// 判断是否需要加密Boolean respSecret = SecretFilter.secretThreadLocal.get();String secretKey = SecretFilter.clientPrivateKeyThreadLocal.get();// 清理本地缓存SecretFilter.secretThreadLocal.remove();SecretFilter.clientPrivateKeyThreadLocal.remove();if (null != respSecret && respSecret) {if (o instanceof ResponseBasic) {// 外层加密级异常if (SECRET_API_ERROR == ((ResponseBasic) o).getCode()) {return SecretResponseBasic.fail(((ResponseBasic) o).getCode(), ((ResponseBasic) o).getData(), ((ResponseBasic) o).getMsg());}// 业务逻辑try {String data = EncryptUtils.aesEncrypt(JSON.toJSONString(o), secretKey);// 增加签名long timestamp = System.currentTimeMillis() / 1000;int salt = EncryptUtils.genSalt();String dataNew = timestamp + "" + salt + "" + data + secretKey;String newSignature = Md5Utils.genSignature(dataNew);return SecretResponseBasic.success(data, timestamp, salt, newSignature);} catch (Exception e) {logger.error("beforeBodyWrite error:", e);return SecretResponseBasic.fail(SECRET_API_ERROR, "", "服务端处理结果数据异常");}}}return o;}
}

3、结果分析

OK, 代码Demo撸好了,试运行一波:

请求方法:
localhost:8080/secret/user/listheader:
Content-Type:application/json
signature:55efb04a83ca083dd1e6003cde127c45
timestamp:1648308048
salt:123456
clientType:ANDORIDbody体:
// 原始请求体
{"page": 1,"size": 10
}
// 加密后的请求体
{"data": "1ZBecdnDuMocxAiW9UtBrJzlvVbueP9K0MsIxQccmU3OPG92oRinVm0GxBwdlXXJ"
}// 加密响应体:
{"data": "fxHYvnIE54eAXDbErdrDryEsIYNvsOOkyEKYB1iBcre/QU1wMowHE2BNX/je6OP3NlsCtAeDqcp7J1N332el8q2FokixLvdxAPyW5Un9JiT0LQ3MB8p+nN23pTSIvh9VS92lCA8KULWg2nViSFL5X1VwKrF0K/dcVVZnpw5h227UywP6ezSHjHdA+Q0eKZFGTEv3IzNXWqq/otx5fl1gKQ==","code": 200,"signature": "aa61f19da0eb5d99f13c145a40a7746b","msg": "","timestamp": 1648480034,"salt": 632648
}// 解密后的响应体:
{"code": 200,"data": [{"id": 1,"name": "boyka","registerTime": "2022-03-27T00:19:43.699","userType": "COMMON"}],"msg": "用户列表查询成功","salt": 0
}

OK,客户端请求加密-》发起请求-》服务端解密-》业务处理-》服务端响应加密-》客户端解密展示,看起来没啥问题,实际是头天下午花了2小时碰需求,差不多花1小时写好demo测试,然后对所有接口统一进行了处理,整体一下午赶脚应该行了吧,告诉H5和安卓端同学明儿上午联调(不小的大家到这个时候发现猫腻没有,当时确实疏忽了,翻了大车…)

次日,安卓端反馈,你这个加解密有问题,解密后的数据格式和之前不一样,仔细一看,擦,这个userType和registerTime是不对劲,开始思考:这个能是哪儿的问题呢?1s之后,初步定位,应该是响应体的JSON.toJSONString的问题:

String data = EncryptUtils.aesEncrypt(JSON.toJSONString(o)),

Debug断点调试,果然,是JSON.toJSONString(o)这一步骤转换出了问题,那JSON转换时是不是有高级属性可以配置生成想要的序列化格式呢?FastJson在序列化时提供重载方法,找到其中一个"SerializerFeature"参数可以琢磨一下,这个参数是可以对序列化进行配置的,它提供了很多配置类型,其中感觉这几个比较沾边:

WriteEnumUsingToString,
WriteEnumUsingName,
UseISO8601DateFormat

对枚举类型来说,默认是使用的WriteEnumUsingName(枚举的Name), 另一种WriteEnumUsingToString是重新toString方法,理论上可以转换成想要的样子,即这个样子:

@Getter
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
public enum UserType {VIP("VIP用户"),COMMON("普通用户");private String code;private String type;UserType(String type) {this.code = name();this.type = type;}@Overridepublic String toString() {return "{" +"\"code\":\"" + name() + '\"' +", \"type\":\"" + type + '\"' +'}';}
}

结果转换出来的数据是字符串类型"{“code”:“COMMON”, “type”:“普通用户”}",这个方法好像行不通,还有什么好办法呢?思前想后,看文章开始定义的User和UserType类,标记数据序列化格式@JsonFormat,再突然想起之前看到过的一些文章,SpringMVC底层默认是使用Jackson进行序列化的,那好了,就用Jacksong实施呗,将SecretResponseAdvice中的序列化方法替换一下:

 String data = EncryptUtils.aesEncrypt(JSON.toJSONString(o), secretKey);换为:String data =EncryptUtils.aesEncrypt(new ObjectMapper().writeValueAsString(o), secretKey);

重新运行一波,走起:

{"code": 200,"data": [{"id": 1,"name": "boyka","userType": {"code": "COMMON","type": "普通用户"},"registerTime": {"month": "MARCH","year": 2022,"dayOfMonth": 29,"dayOfWeek": "TUESDAY","dayOfYear": 88,"monthValue": 3,"hour": 22,"minute": 30,"nano": 453000000,"second": 36,"chronology": {"id": "ISO","calendarType": "iso8601"}}}],"msg": "用户列表查询成功"
}

解密后的userType枚举类型和非加密版本一样了,舒服了,== 好像还不对,registerTime怎么变成这个样子了?原本是"2022-03-24 23:58:39"这种格式的,Jackson之LocalDateTime转换,无需改实体类这篇文章讲到了这个问题,并提出了一种解决方案,不过用在我们目前这个需求里面,就是有损改装了啊,不太可取,遂去Jackson官网上查找一下相关文档,当然Jackson也提供了ObjectMapper的序列化配置,重新再初始化配置ObjectMpper对象:

String DATE_TIME_FORMATTER = "yyyy-MM-dd HH:mm:ss";
ObjectMapper objectMapper = new Jackson2ObjectMapperBuilder().findModulesViaServiceLoader(true).serializerByType(LocalDateTime.class, new LocalDateTimeSerializer(DateTimeFormatter.ofPattern(DATE_TIME_FORMATTER))).deserializerByType(LocalDateTime.class, new LocalDateTimeDeserializer(DateTimeFormatter.ofPattern(DATE_TIME_FORMATTER))).build();

转换结果:

{"code": 200,"data": [{"id": 1,"name": "boyka","userType": {"code": "COMMON","type": "普通用户"},"registerTime": "2022-03-29 22:57:33"}],"msg": "用户列表查询成功"
}

OK,和非加密版的终于一致了,完了吗?感觉还是可能存在些什么问题,首先业务代码的时间序列化需求不一样,有"yyyy-MM-dd hh:mm:ss"的,也有"yyyy-MM-dd"的,还可能其他配置思考不到位的,导致和之前非加密版返回数据不一致的问题,到时候联调测出来了也麻烦,有没有一劳永逸的办法呢?同事一句话点亮我,看一下spring框架自身是怎么序列化的,照着配置应该就行嘛,好像有点道理,不从0开始分析源码了,敢兴趣的朋友可以看看这篇文章源码分析Spring MVC源码(三) ----- @RequestBody和@ResponseBody原理解析,感觉写可以。

跟着执行链路,找到具体的响应序列化,重点就是RequestResponseBodyMethodProcessor,

protected <T> void writeWithMessageConverters(@Nullable T value, MethodParameter returnType, ServletServerHttpRequest inputMessage, ServletServerHttpResponse outputMessage) throws IOException, HttpMediaTypeNotAcceptableException, HttpMessageNotWritableException {// 获取响应的拦截器链并执行beforeBodyWrite方法,也就是执行了我们自定义的SecretResponseAdvice中的beforeBodyWrite啦body = this.getAdvice().beforeBodyWrite(body, returnType, selectedMediaType, converter.getClass(), inputMessage, outputMessage);if (body != null) {// 执行响应体序列化工作if (genericConverter != null) {genericConverter.write(body, (Type)targetType, selectedMediaType, outputMessage);} else {converter.write(body, selectedMediaType, outputMessage);}}

进而通过实例化的AbstractJackson2HttpMessageConverter对象找到执行序列化的核心方法

-> AbstractGenericHttpMessageConverter:public final void write(T t, @Nullable Type type, @Nullable MediaType contentType, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {...this.writeInternal(t, type, outputMessage);outputMessage.getBody().flush();}-> 找到Jackson序列化 AbstractJackson2HttpMessageConverter:// 从spring容器中获取并设置的ObjectMapper实例protected ObjectMapper objectMapper;protected void writeInternal(Object object, @Nullable Type type, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {MediaType contentType = outputMessage.getHeaders().getContentType();JsonEncoding encoding = this.getJsonEncoding(contentType);JsonGenerator generator = this.objectMapper.getFactory().createGenerator(outputMessage.getBody(), encoding);this.writePrefix(generator, object);Object value = object;Class<?> serializationView = null;FilterProvider filters = null;JavaType javaType = null;if (object instanceof MappingJacksonValue) {MappingJacksonValue container = (MappingJacksonValue)object;value = container.getValue();serializationView = container.getSerializationView();filters = container.getFilters();}if (type != null && TypeUtils.isAssignable(type, value.getClass())) {javaType = this.getJavaType(type, (Class)null);}ObjectWriter objectWriter = serializationView != null ? this.objectMapper.writerWithView(serializationView) : this.objectMapper.writer();if (filters != null) {objectWriter = objectWriter.with(filters);}if (javaType != null && javaType.isContainerType()) {objectWriter = objectWriter.forType(javaType);}SerializationConfig config = objectWriter.getConfig();if (contentType != null && contentType.isCompatibleWith(MediaType.TEXT_EVENT_STREAM) && config.isEnabled(SerializationFeature.INDENT_OUTPUT)) {objectWriter = objectWriter.with(this.ssePrettyPrinter);}// 重点进行序列化objectWriter.writeValue(generator, value);this.writeSuffix(generator, object);generator.flush();}

那么,可以看出SpringMVC在进行响应序列化的时候是从容器中获取的ObjectMapper实例对象,并会根据不同的默认配置条件进行序列化,那处理方法就简单了,我也可以从Spring容器拿数据进行序列化啊。SecretResponseAdvice进行如下进一步改造:


@ControllerAdvice
public class SecretResponseAdvice implements ResponseBodyAdvice {@Autowiredprivate ObjectMapper objectMapper;@Overridepublic Object beforeBodyWrite(....) {.....String dataStr =objectMapper.writeValueAsString(o);String data = EncryptUtils.aesEncrypt(dataStr, secretKey);.....}}

五、总结

  • 经测试,响应数据和非加密版万全一致啦,还有GET部分的请求加密,以及后面加解密惨遭跨域问题,后面有空再和大家聊聊。
  • GitHub 项目demo 地址: SpringBoot 优雅地对接口进行数据加解密

SpringBoot 优雅地对接口进行数据加解密相关推荐

  1. 数据安全之MySQL数据加解密的实现方案

    在我们日常的业务需求中,经常会遇到需要对存储的用户敏感数据进行加密处理的场景,如用户的身份信息.住址.身份证号等等,本文我们就讨论下,业务系统(后端)如何实现数据存储(基于MySQL)的加解密功能. ...

  2. 使用拦截器进行数据加解密

    文章目录 使用拦截器进行数据加解密 1. 加解密工具 3. 加解密字段注解 3.1 加密注解 3.2 解密注解 4. 封装加解密工具 5. 拦截器 6. 不同框架配置说明 6.1 springboot ...

  3. T-SQL问题解决集锦——数据加解密

    问题一:如何为数据进行加密与解密,避免使用者窃取机密数据? 对于一些敏感数据,如密码.卡号,一般不能使用正常数值来存储.否则会有安全隐患.以往的加密解密都有前端应用程序来辅助完成.而数据库一般只能加密 ...

  4. 护网必备技能:Spring Boot 接口数据加解密 功能实现

    护网必备技能:Spring Boot 接口数据加解密 功能实现 文章目录 护网必备技能:Spring Boot 接口数据加解密 功能实现 1. 尽量少改动,不影响之前的业务逻辑: 2. 考虑到时间紧迫 ...

  5. Spring Boot Post接口数据加解密

    概述 今天这篇文章聊一聊接口安全问题,涉及到接口的加密.解密. 接口数据加解密流程图 涉及客户端和服务端的整体改造,可以在接口统一加 /secret/ 前缀来区分. 代码Demo 用户类型: @Dat ...

  6. Popular MVC框架请求响应数据加解密@Decrypt和@Encrypt的使用示例

    简介 此项目用于演示popularmvc如何提供统一全自动化的API隐私数据保护,并且可以做到业务无感和灵活指定数据加解密算法. 请求数据加密使用@Decrypt注解,响应信息加密使用@Encrypt ...

  7. 数据加解密时Base64异常:Illegal base64 character 3f

    现象 用base64工具类对中文进行处理时出现异常,在数据加解密场景中经常使用 java.lang.IllegalArgumentException: Illegal base64 character ...

  8. 《ASP.NET Core 6框架揭秘》实例演示[19]:数据加解密与哈希

    数据保护(Data Protection)框架旨在解决数据在传输与持久化存储过程中的一致性(Integrity)和机密性(confidentiality)问题,前者用于检验接收到的数据是否经过篡改,后 ...

  9. Postman-APP登入模拟请求-数据加解密

    Postman-APP登入模拟请求-数据加解密 简单说明一下 对于Postman的使用,一般情况下只要发发确定的请求与参数就可以的了.这个大家都会的 ,灰常的简单. 然而,在使用的时候,尤其是接口测试 ...

最新文章

  1. rpm方式安装mysql5.7.24_linux centOS 7安装mysql 5.7.24
  2. [翻译]通过调用多个动作创建ASP.NET MVC视图
  3. 马斯克称曾试图将特斯拉出售给苹果、Telegram 用户近5亿、Vimeo将上市等|Decode the Week...
  4. 使用jsonp进行跨域访问
  5. 如何通过windows控制linux,如何从Windows远程控制Linux | MOS86
  6. jQuery基础--样式篇(3)
  7. Java学习系列(十三)Java面向对象之界面编程
  8. python读取多行函数_Python3基础 __doc__ 单行与多行函数文档
  9. 我的c++学习(1)hello world!
  10. android自定义ViewPager之——水平滑动弹性效果
  11. Kafka从上手到实践 - 庖丁解牛:Consumer | 凌云时刻
  12. 5个超实用抠图方法,哪个适用用哪个
  13. JS实现省市县三级联动
  14. FRP内网穿透搭建-无公网IP时外部访问服务解决办法
  15. linux大容量硬盘 克隆到小硬盘_clonezilla 不管用了,手动把 GPT 分区的 ubuntu14.04 从大硬盘克隆到小硬盘...
  16. 本地设置测试域名转向
  17. MySQL中的BETWEEN...AND的用法
  18. Cent OS (一)Cents OS的基本安装
  19. Bzoj1208 宠物收养所
  20. 计算机组成原理实验内存读数,计算机组成原理实验八内存系统实验(3页)-原创力文档...

热门文章

  1. 使用代理后,Onedrive发生了错误:0x80190001的解决办法
  2. 【LaTex】第二行作者居中(IEEEtran模板)
  3. 微信公众号留言功能实现方法分享
  4. 面试问题记录 三 (JavaWeb、JavaEE)
  5. 【问题解决】正则表达式在线自动生成器
  6. Go 语言的设计反思
  7. xstream 对象 -》xml
  8. python爬取股票数据,以上证指数为例,可以爬取任何股票,保存为temp.csv文件
  9. 基于EasyNVR网络摄像机无插件直播流媒体服务器实现文字滤镜处理功能
  10. 微信公众号基本设置服务器设置教程,最新最全的微信公众号开发者模式配置