RequestBodyAdvice用法详解-参数加解密示例

在实际项目中,我们常常需要在请求前后进行一些操作,比如:参数解密/返回结果加密,打印请求参数和返回结果的日志等。这些与业务无关的东西,我们不希望写在controller方法中,造成代码重复可读性变差。这里,我们讲讲使用@ControllerAdvice和RequestBodyAdvice、ResponseBodyAdvice来对请求前后进行处理(本质上就是AOP),来实现日志记录每一个请求的参数和返回结果。

实现步骤
1、声明一个类型,加上@ControllerAdvice注解,类实现接口RequestBodyAdvice,如果不想去重写所有的接口方法,也可以继承spring给提供的抽象类RequestBodyAdviceAdapter。

如下:

package com.spring.project;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.jd.healthy.connector.common.annotations.ExcludeHttpBodyDecrypt;
import com.spring.project.common.annotations.HttpBodyDecrypt;
import com.spring.project.common.exception.BusinessException;
import com.spring.project.common.result.ResultCode;
import com.spring.project.common.util.AESUtil;
import com.spring.project.common.util.MD5Util;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.core.MethodParameter;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.lang.Nullable;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.RequestBodyAdvice;

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.UnsupportedEncodingException;
import java.lang.reflect.Type;
import java.nio.charset.StandardCharsets;

/**
 * RequestBodyHandler
 *
 * @Author jisiqian
 * @Date 2021/8/15 12:58
 */
@RestControllerAdvice
@Slf4j
public class RequestBodyHandler implements RequestBodyAdvice {

    @Value("${http.body.AESKey}")
    public String AESKey;

    @Value("${http.body.MD5Key}")
    public String MD5Key;

    /**
     * 该方法用于判断当前请求,是否要执行beforeBodyRead方法
     * methodParameter方法的参数对象
     * type方法的参数类型
     * aClass 将会使用到的Http消息转换器类类型
     * 注意:此判断方法,会在beforeBodyRead 和 afterBodyRead方法前都触发一次。
     *
     * @return 返回true则会执行beforeBodyRead
     */
    @Override
    public boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
		//排除解密注解
        boolean methodHasExcludeHttpBodyDecrypt = methodParameter.hasMethodAnnotation(ExcludeHttpBodyDecrypt.class);
        if (methodHasExcludeHttpBodyDecrypt) {
            return false;
        }
        //解密注解
        boolean methodHasHttpBodyDecrypt = methodParameter.hasMethodAnnotation(HttpBodyDecrypt.class);
        if (methodHasHttpBodyDecrypt) {
            return true;
        }
        boolean classHasExcludeHttpBodyDecrypt = methodParameter.getDeclaringClass().getAnnotation(ExcludeHttpBodyDecrypt.class) != null;
        if (classHasExcludeHttpBodyDecrypt) {
            return false;
        }
        boolean classHasHttpBodyDecrypt = methodParameter.getDeclaringClass().getAnnotation(HttpBodyDecrypt.class) != null;
        if (classHasHttpBodyDecrypt) {
            return true;
        }
        return false;
    }

    /**
     * 在Http消息转换器执转换,之前执行
     * inputMessage 客户端的请求数据
     * parameter方法的参数对象
     * targetType方法的参数类型
     * converterType 将会使用到的Http消息转换器类类型
     * @return 返回 一个自定义的HttpInputMessage
     */
    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
        if (inputMessage.getBody().available()<=0) {
            return inputMessage;
        }
        byte[] requestDataByte=new byte[inputMessage.getBody().available()];
        inputMessage.getBody().read(requestDataByte);
        byte[] requestDataByteNew=null;
        try {
            // 解密
            requestDataByteNew  = this.decryptHandler(requestDataByte);
        } catch (Exception e) {
            throw e;
        }
        // 使用解密后的数据,构造新的读取流
        InputStream rawInputStream = new ByteArrayInputStream(requestDataByteNew);
        return new HttpInputMessage() {
            @Override
            public HttpHeaders getHeaders() {
                return inputMessage.getHeaders();
            }

            @Override
            public InputStream getBody() throws IOException {
                return rawInputStream;
            }
        };
    }

    /**
     * 在Http消息转换器执转换,之后执行
     * body 转换后的对象
     * inputMessage 客户端的请求数据
     * parameter handler方法的参数类型
     * targetType handler方法的参数类型
     * converterType 使用的Http消息转换器类类型
     * @return 返回一个新的对象
     */
    @Override
    public Object afterBodyRead(Object body, HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
        return body;
    }

    /**
     * 参数与afterBodyRead相同,不过这个方法处理的是,body为空的情况
     */
    @Override
    public Object handleEmptyBody(@Nullable Object body, HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
        return body;
    }

    /**
     * AES解密 加MD5签名验证。
     * @param requestBytes
     * @return
     */
    public byte[] decryptHandler(byte[] requestBytes) throws UnsupportedEncodingException {
        if (requestBytes.length <= 0) {
            return new byte[0];
        }
        String requestData = new String(requestBytes, StandardCharsets.UTF_8);
        JSONObject jsonobj = JSON.parseObject(requestData);
        String encrypt= jsonobj.get("encrypt")==null?"":jsonobj.get("encrypt").toString();
        String decrypt = "";
        if (encrypt.length() > 0) {
            //解密参数
            decrypt = AESUtil.AESDecode(encrypt, AESKey);
            if (decrypt == null) {
                //解密失败,返回异常
                throw new BusinessException(ResultCode.PARAM_FUNCTION_IS_ILLEGAL);
            }
        }

        //获取并验证签名。
        String sign = jsonobj.get("sign")==null?"":jsonobj.get("sign").toString();
        String md5Data = MD5Util.MD5(decrypt+MD5Key);
        if (!sign.equals(md5Data)) {
            //验签失败
            throw new BusinessException(ResultCode.PARAM_FUNCTION_IS_ILLEGAL);
        }
        //验证通过,返回解密后的参数
        return decrypt.getBytes(StandardCharsets.UTF_8);
    }

}

package com.spring.project;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * RequestBodyHandler
 *
 * @Author jisiqian
 * @Date 2021/8/15 12:58
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ExcludeHttpBodyDecrypt {
}
package com.spring.project;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * RequestBodyHandler
 *
 * @Author jisiqian
 * @Date 2021/8/15 12:58
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface HttpBodyDecrypt {
}

有一点需要注意:
supports判断方法,会在beforeBodyRead 和 afterBodyRead方法前都触发一次,都会对应根据返回值要不要继续执行beforeBodyRead 或afterBodyRead。

上述示例是在请求参数统一进行解密和验证签名操作。
其中参数采用AES加密解密,签名适用MD5加密算法得到信息摘要。
具体加解密和MD5算法工具类方法实现就不在这里展示了,网上很容易找到说明。
异常类以及错误码是当前项目自定义的,非重点部分,也不做说明,大家使用时修改为自己逻辑即可。

你可能感兴趣的:(springboot,spring)