页面调中台接口时有时候需要加密,因为接口太多了,需要页面调接口时统一在发送ajax和接收参数时处理。现在使用SM4加密算法,页面传from-data参数时先把每个参数的值进行SM4加密,接收时统一SM4解密。js代码我不管了,我把接口层用过滤器实现了,注意事项看注释
package com.filter;
import java.io.IOException;
import java.util.Arrays;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;
import com.alibaba.fastjson.JSONObject;
import com.staryea.util.Sm4Util;
/**
* 此类有两个功能
* 1、程序在获取参数时会统一解密
* 2、程序在返回ResponseBody时会统一加密
*/
@RestControllerAdvice
public class JiaMiFilter implements Filter, ResponseBodyAdvice<Object> {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
ModifyParametersWrapper modifyParametersWrapper = new ModifyParametersWrapper(request);
// 执行
filterChain.doFilter(modifyParametersWrapper, servletResponse);
}
/**
* 页面传过来的表单数据全部使用SM4加密,这个类用于request中的参数解密。对于文件上传、文件下载、RequestBody中的数据不起效
* 写这个类的原因:request没有setParameter、setParameterMap、setParameterValues这些方法,不允许直接修改表单数据,就算使用get方法获取对象也无法修改里面的值,因为get出来的对象都是克隆出来的。
* 所以后面程序获取表单数据时通过重写get方法进行解密
*/
public class ModifyParametersWrapper extends HttpServletRequestWrapper {
public ModifyParametersWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
return Sm4Util.jieMi(super.getParameter(name));
}
@Override
public Map<String, String[]> getParameterMap() {
// 原始map
Map<String, String[]> finalMap = super.getParameterMap();
// 实现个克隆方法,千万不要直接在原始map中解密,不然解密后再调这个方法解密就会二次解密出bug
Map<String, String[]> map = new HashMap<>();
for (Map.Entry<String , String[]> entry : finalMap.entrySet()) {
map.put(entry.getKey(), Arrays.copyOf(entry.getValue(), entry.getValue().length));
}
for (Map.Entry<String , String[]> entry : map.entrySet()) {
String v[] = entry.getValue();
for (int i = 0; i < v.length; i++) {
v[i] = Sm4Util.jieMi(v[i]);
}
}
return map;
}
@Override
public String[] getParameterValues(String name) {
// 原始数组
String finalValues[] = super.getParameterValues(name);
// 实现个克隆方法,千万不要直接在原始数组中解密,不然解密后再调这个方法解密就会二次解密出bug
String values[] = Arrays.copyOf(finalValues, finalValues.length);
for (int i = 0; i < values.length; i++) {
values[i] = Sm4Util.jieMi(values[i]);
}
return values;
}
}
// 判断是否要执行beforeBodyWrite方法,true为执行,false不执行。通过supports方法,我们可以选择哪些类或哪些方法要对response进行处理,其余的则不处理。
@Override
public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
return true;
}
/**
* 注意:因为加密后的是字符串类型,所以需要注意以下几点
* 1、程序Controller层的方法如果返回的是String,则返回的报文是正常的,如1加密后是xGxukN0zjmiOyxbG1DlXuw==,则直接返回xGxukN0zjmiOyxbG1DlXuw==
* 2、但是如果Controller层的方法返回的是其他类型,如对象、基本类型,则最后返回加密结果字符串时,框架会自动转成Controller方法上的json类型,又因为加密后的结果不是个json,所以最终返回给页面的是带上双引号的加密结果
* 如{"name":"aa"}加密后是eNYywpXU0V7ORARNE6tuAA==,最后返回给页面的是"eNYywpXU0V7ORARNE6tuAA==",所以页面需要判断如果前后是双引号,就把前后截掉,最后再转json对象
*/
@Override
public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
if (body == null) {
return null;
}
if (body instanceof String) {
return Sm4Util.jiaMi(body.toString());
}
// 如果是对象,就先转成字符串再加密
try {
return Sm4Util.jiaMi(JSONObject.toJSONString(body));
}
catch (Exception e) {
// 其他类型直接强转字符串
return Sm4Util.jiaMi(body + "");
}
}
}sm4加密方法可自己行网上找,或者用别的加密方式也行
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
