老大给了一个很实际的需求:有段程序,使用Http的方式与合作商交互,而且是明文传输数据。我方的代码已经打包放在服务器上运行了很长时间,这时合作商突然要求修改数据传输的方式,要求加密后再传输,而我方的原有的代码不能改变,以防止引发其它问题。 
问:如何在不修改我方现有的代码的前提下,满足合作商的要求?

可能大家都想到了,只要加上一个过滤器Filter不就可以了吗?事实就是这样的,采用Filter+HttpServletRequestWrapper就可以解决这个问题。 
首先:在filter中拦截到加密后的请求,将参数解密,然后组装成一个新的明文请求串。 
然后:重写HttpServletRequestWrapper中的getInputStream()方法,让其返回过滤器解析后的明文串即可。

具体代码解释如下。

首先我写了两个一摸一样的servlet,一个用来直接接收合作商的明文请求并打印;一个用来接收Filter处理后的合作商的请求并打印(Filter中将合作商加密后的参数解密再传给这个Servlet)。

  1. @WebServlet("/SiServlet")
  2. public class SiServlet extends HttpServlet {
  3. private static final long serialVersionUID = 1L;
  4. /**
  5. * @see HttpServlet#HttpServlet()
  6. */
  7. public SiServlet() {
  8. super();
  9. }
  10. /**
  11. * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
  12. *      response)
  13. */
  14. protected void doGet(HttpServletRequest request,
  15. HttpServletResponse response) throws ServletException, IOException {
  16. this.doPost(request, response);
  17. }
  18. /**
  19. * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
  20. *      response)
  21. *
  22. */
  23. protected void doPost(HttpServletRequest request,
  24. HttpServletResponse response) throws ServletException, IOException {
  25. String bizBindMsg = IOUtils.toString(request.getInputStream(), "UTF-8");
  26. bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
  27. System.out.println("SiServlet接收到请求为: " + bizBindMsg);
  28. response.getWriter().write("==========success=========");
  29. }
  30. }
  1. @WebServlet("/SiServletNormal")
  2. public class SiServletNormal extends HttpServlet {
  3. private static final long serialVersionUID = 1L;
  4. /**
  5. * @see HttpServlet#HttpServlet()
  6. */
  7. public SiServletNormal() {
  8. super();
  9. }
  10. /**
  11. * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
  12. *      response)
  13. */
  14. protected void doGet(HttpServletRequest request,
  15. HttpServletResponse response) throws ServletException, IOException {
  16. this.doPost(request, response);
  17. }
  18. /**
  19. * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
  20. *      response)
  21. *
  22. */
  23. protected void doPost(HttpServletRequest request,
  24. HttpServletResponse response) throws ServletException, IOException {
  25. String bizBindMsg = IOUtils.toString(request.getInputStream(), "UTF-8");
  26. bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
  27. System.out.println("SiServletNormal接收到请求为: " + bizBindMsg);
  28. response.getWriter()
  29. .write("==========SiServletNormal Success=========");
  30. }
  31. }

然后我使用HttpClient模拟了一下合作商发送明文和密文请求的过程,加密使用Base64简单模拟一下。

  1. public class AdcClient {
  2. private HttpPost httpPost = null;
  3. private HttpClient client = null;
  4. private List<NameValuePair> pairs = null;
  5. public AdcClient() {
  6. httpPost = new HttpPost("http://localhost:8080/filtertest/SiServlet");
  7. client = new DefaultHttpClient();
  8. }
  9. /**
  10. * 发送明文消息
  11. *
  12. */
  13. public void sendMsg() {
  14. try {
  15. httpPost = new HttpPost(
  16. "http://localhost:8080/filtertest/SiServletNormal");
  17. pairs = new ArrayList<NameValuePair>();
  18. pairs.add(new BasicNameValuePair(("param1"), "obama没加密"));
  19. pairs.add(new BasicNameValuePair(("param2"), "男没加密"));
  20. pairs.add(new BasicNameValuePair(("param3"), "汉没加密"));
  21. pairs.add(new BasicNameValuePair(("param4"), "山东没加密"));
  22. httpPost.setEntity(new UrlEncodedFormEntity(pairs, "UTF-8"));
  23. // httpPost.setHeader("Cookie", "TOKEN=1234567890");
  24. HttpResponse response = client.execute(httpPost);
  25. HttpEntity entity = response.getEntity();
  26. BufferedReader br = new BufferedReader(new InputStreamReader(
  27. entity.getContent()));
  28. String line = null;
  29. StringBuffer result = new StringBuffer();
  30. while ((line = br.readLine()) != null) {
  31. result.append(line);
  32. line = br.readLine();
  33. }
  34. System.out.println("来自SiServletNormal的响应为:" + result.toString());
  35. } catch (UnsupportedEncodingException e) {
  36. e.printStackTrace();
  37. } catch (ClientProtocolException e) {
  38. e.printStackTrace();
  39. } catch (IOException e) {
  40. e.printStackTrace();
  41. }
  42. }
  43. /**
  44. * 发送加密后的消息
  45. */
  46. public void sendEncryptMsg() {
  47. try {
  48. pairs = new ArrayList<NameValuePair>();
  49. pairs.add(new BasicNameValuePair(("param1"), Base64EnDecrypt
  50. .base64Encode("obama")));
  51. pairs.add(new BasicNameValuePair(("param2"), Base64EnDecrypt
  52. .base64Encode("男")));
  53. pairs.add(new BasicNameValuePair(("param3"), Base64EnDecrypt
  54. .base64Encode("汉")));
  55. pairs.add(new BasicNameValuePair(("param4"), Base64EnDecrypt
  56. .base64Encode("山东")));
  57. HttpEntity reqEntity = new UrlEncodedFormEntity(pairs, "UTF-8");
  58. httpPost.setEntity(reqEntity);
  59. // httpPost.setHeader("Cookie", "TOKEN=1234567890");
  60. HttpResponse response = client.execute(httpPost);
  61. /**
  62. * 获取响应信息
  63. */
  64. HttpEntity entity = response.getEntity();
  65. BufferedReader br = new BufferedReader(new InputStreamReader(
  66. entity.getContent()));
  67. String line = null;
  68. StringBuffer result = new StringBuffer();
  69. while ((line = br.readLine()) != null) {
  70. result.append(line);
  71. line = br.readLine();
  72. }
  73. System.out.println("来自SiServlet的响应为:" + result.toString());
  74. } catch (UnsupportedEncodingException e) {
  75. e.printStackTrace();
  76. } catch (ClientProtocolException e) {
  77. e.printStackTrace();
  78. } catch (IOException e) {
  79. e.printStackTrace();
  80. }
  81. }
  82. /**
  83. * @param args
  84. * @throws UnsupportedEncodingException
  85. */
  86. public static void main(String[] args) throws UnsupportedEncodingException {
  87. new AdcClient().sendMsg();
  88. new AdcClient().sendEncryptMsg();
  89. }
  90. }

重点是下面的这个HttpServletRequestWrapper,我重写了它的getInputStream()方法,这个方法返回包含明文的ServletInputStream

  1. public class MyRequestWrapper extends HttpServletRequestWrapper {
  2. private HttpServletRequest request;
  3. public MyRequestWrapper(HttpServletRequest request) {
  4. super(request);
  5. this.request = request;
  6. }
  7. /**
  8. * 先解密,获取明文;然后将明文转化为字节数组;然后再去读取字节数组中的内容
  9. */
  10. @Override
  11. public ServletInputStream getInputStream() {
  12. String bizBindMsg = null;
  13. ServletInputStream stream = null;
  14. try {
  15. stream = request.getInputStream();
  16. bizBindMsg = IOUtils.toString(stream, "UTF-8");
  17. } catch (IOException e) {
  18. e.printStackTrace();
  19. }
  20. try {
  21. bizBindMsg = URLDecoder.decode(bizBindMsg.toString(), "UTF-8");
  22. } catch (UnsupportedEncodingException e) {
  23. e.printStackTrace();
  24. }
  25. System.out.println("MyRequestWrapper接收到的请求为: " + bizBindMsg);
  26. /**
  27. * 获取加密的值进行解密
  28. */
  29. final StringBuffer reqStr = new StringBuffer();
  30. reqStr.append("param1=").append(
  31. Base64EnDecrypt.base64Decode(bizBindMsg.substring(
  32. bizBindMsg.indexOf("param1=") + 7,
  33. bizBindMsg.indexOf("param2="))));
  34. reqStr.append("&");
  35. reqStr.append("param2=").append(
  36. Base64EnDecrypt.base64Decode(bizBindMsg.substring(
  37. bizBindMsg.indexOf("param2=") + 7,
  38. bizBindMsg.indexOf("param3="))));
  39. reqStr.append("&");
  40. reqStr.append("param3=").append(
  41. Base64EnDecrypt.base64Decode(bizBindMsg.substring(
  42. bizBindMsg.indexOf("param3=") + 7,
  43. bizBindMsg.indexOf("param4="))));
  44. reqStr.append("&");
  45. reqStr.append("param4=").append(
  46. Base64EnDecrypt.base64Decode(bizBindMsg.substring(bizBindMsg
  47. .indexOf("param4=") + 7)));
  48. System.out.println("********MyRequestWrapper接收到的解密后的请求为*********");
  49. System.out.println(reqStr.toString());
  50. /**
  51. * 将解密后的明文串放到buffer数组中
  52. */
  53. byte[] buffer = null;
  54. try {
  55. buffer = reqStr.toString().getBytes("UTF-8");
  56. } catch (UnsupportedEncodingException e) {
  57. e.printStackTrace();
  58. }
  59. final ByteArrayInputStream bais = new ByteArrayInputStream(buffer);
  60. ServletInputStream newStream = new ServletInputStream() {
  61. @Override
  62. public int read() throws IOException {
  63. return bais.read();
  64. }
  65. };
  66. return newStream;
  67. }
  68. }

最后是简单的Filter,在这里将加密后的ServletRequest重新包装,交给SiServlet进行处理

  1. public class EncryptFilter implements Filter {
  2. @Override
  3. public void destroy() {
  4. }
  5. @Override
  6. public void doFilter(ServletRequest request, ServletResponse response,
  7. FilterChain chain) throws IOException, ServletException {
  8. chain.doFilter(new MyRequestWrapper((HttpServletRequest) request),
  9. response);
  10. }
  11. @Override
  12. public void init(FilterConfig arg0) throws ServletException {
  13. }
  14. }

我的web.xml中是这样配置的

  1. <filter>
  2. <filter-name>encryptFilter</filter-name>
  3. <filter-class>com.test.filter.EncryptFilter</filter-class>
  4. </filter>
  5. <filter-mapping>
  6. <filter-name>encryptFilter</filter-name>
  7. <url-pattern>/SiServlet</url-pattern>
  8. </filter-mapping>

确保过滤器entyptFilter只拦截到SiServlet的请求即可。

运行AdcClient,可以看到下面的结果 

这里的重点是MyRequestWrapper中重写的getInputStream()方法。大家可以看看API中关于HttpServletRequest的用法http://tomcat.apache.org/tomcat-5.5-doc/servletapi/index.html

HttpServletRequestWrapper的使用的更多相关文章

  1. 使用HttpServletRequestWrapper在filter修改request参数

    javax.servlet.ServletRequest中的 Map<String, String[]> parameterMap = request.getParameterMap(); ...

  2. 关于 preHandle 重写和添加参数问题,重写HttpServletRequestWrapper和Filter

    由于 preHandle 中HttpServletRequest 只有setAttribute而没有setParameter 也没有 add 方法 所以是没办法直接添加参数的.从网上查了很多资料,基本 ...

  3. HttpServletRequestWrapper使用技巧(自定义session和缓存InputStream)

    一.前言 javax.servlet.http.HttpServletRequestWrapper 是一个开发者可以继承的类,我们可以重写相应的方法来实现session的自定义以及缓存InputStr ...

  4. 【转】HttpServletRequestWrapper 实现xss注入

    这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4 ...

  5. HttpServletRequestWrapper 是HttpServletRequest的包装类 ·关系相当于 int 与integer的关系

    HttpServletRequestWrapper 是HttpServletRequest的包装类 ·关系相当于 int 与integer的关系

  6. 使用HttpServletRequestWrapper修改请求参数 和 使用HttpServletResponseWrapper截获响应数据

    Servlet规范中的Filter引入了一个功能强大的拦截模式.Filter能在request到达servlet的服务方法之前拦截request对象,而在服务方法转移控制后又能拦截response对象 ...

  7. HttpServletRequestWrapper模拟实现分布式Session

    HttpSession的内容都放在一个单独的Map中,模拟远程分布式Session. 1.使用HttpServletRequestWrapper创建自定义Request2.使用动态代理包装自定义Req ...

  8. 利用Filter和HttpServletRequestWrapper实现请求体中token校验

    先说一下项目的背景,系统传参为json格式,token为其中一个必传参数,此时如果在过滤器中直接读取request,则后续controller中通过RequestBody注解封装请求参数是会报stre ...

  9. HttpServletRequestWrapper 类&过滤指定文字

    HttpServletWrapper 和 HttpServletResponseWrapper 1). Servlet API 中提供了一个 HttpServletRequestWrapper 类来包 ...

随机推荐

  1. js 函数闭包内部返回函数体调用方法难点解答

    今天在网上,看到一篇关于js函数难点的文章,js函数的一些难点.在那上面提了一下,关于js函数返回另一个函数的问题,并附上了一道面试题: var add = function(x){ var sum ...

  2. select标签用法

    <select name="type" class="textarea" onchange='bbbb(this.value)' > <opt ...

  3. apk反编译之二——smali学习

    在apk被反编译后,原来的java程序会以smali文件呈现.这就需要补充smali的知识.依旧参考官方文档,择日我将把官方文档做一下翻译.今日先贴出链接地址: 1:了解smali字节码的寄存器 请参 ...

  4. Sql Server 常用自定义函数

    -- select * from [dbo].[SplitToTable]('ADSF','|') -- 分解字符串 ALTER FUNCTION [dbo].[SplitToTable] ( @Sp ...

  5. Mininet安装及使用

    最简单的方法是开始 下载一个预包装Mininet / Ubuntu VM . 这个虚拟机包括Mininet本身,所有预装OpenFlow二进制文件和工具,调整内核配置,以支持更大的Mininet网络. ...

  6. cppcheck使用

    一.splint介绍 splint是一个动态检查C语言程序安全弱点和编写错误的程序.splint会进行多种常规检查,包括未使用的变量,类型不一致,使用未定义变量,无法执行的代码,忽略返回值,执行路径未 ...

  7. oracle 自定义函数

    函数和存储过程类似,可以简单的理解为一段可以执行某个活动/动作的子程序,可以作为一个系统对象被存储在数据库中,可以重复调用.与存储过程不同的是,函数总是向调用者返回一个值,而存储过程不能有返回值. C ...

  8. bnuoj 4208 Bubble sort

    http://www.bnuoj.com/bnuoj/problem_show.php?pid=4208 [题意]:如题,求冒泡排序遍历趟数 [题解]:这题开始2B了,先模拟TLE,然后想了一下,能不 ...

  9. 移植linux4.7.2与ubifs到jz2440

    前言 整个暑假跟着韦东山的视频和书籍移植了linux2.3.6到jz2440,现在自己尝试移植linux4.7.2到板子上,并使用ubifs文件系统代替旧的jffs2文件系统. 下载交叉编译工具链 工 ...

  10. 1068: [SCOI2007]压缩 - BZOJ

    Description 给一个由小写字母组成的字符串,我们可以用一种简单的方法来压缩其中的重复信息.压缩后的字符串除了小写字母外还可以(但不必)包含大写字母R与M,其中M标记重复串的开始,R重复从上一 ...