彻底解决Springboot中路径参数带 (%2F)的问题

彻底解决Springboot中路径参数带/(%2F)的问题

背景

前两天突然出现了一个线上问题,有同事反应我提供的接口报400的错误。接口路径如下 PATCH /v1/basic/owners/{owner_code}/skus/{sku},经过排查发现是sku参数中有/因此springboot转义后直接报错了。由于已经有很多团队对接了相关接口,且有很多的其他接口都使用了类似的传参方式,因此需要考虑怎么在系统中不让springboot自动解码

解决方案

我先列出可用的解决方案,然后在列出网上常见错误方案

  1. 在项目中添加环境变量
System.setProperty("org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH", "true");

彻底解决Springboot中路径参数带 (%2F)的问题_第1张图片

  1. 关闭spring自动decode url的开关
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        UrlPathHelper urlPathHelper = new UrlPathHelper();
        urlPathHelper.setUrlDecode(false);
        configurer.setUrlPathHelper(urlPathHelper);
    }
}
  1. 开启Spring security中允许url中存在/的功能(如果项目中没有用到Spring security 可跳过此配置)
@Order(Ordered.LOWEST_PRECEDENCE)
@Configuration
public class SecurityFirewallConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
        DefaultHttpFirewall firewall = new DefaultHttpFirewall();
        firewall.setAllowUrlEncodedSlash(true);
        return firewall;
    }
}

注意大部分项目中都有Spring security相关的设置,所以这里注意一下优先级

在项目中配置好这三项后,url中的参数已经可以正常解析了(注意需要让接口使用法把带/的参数encode之后再调用我们的接口)

彻底解决Springboot中路径参数带 (%2F)的问题_第2张图片
彻底解决Springboot中路径参数带 (%2F)的问题_第3张图片

常见的错误答案

  1. 使用正则匹配获取参数
@PostMapping("/v1/basic/owner-code/{ownerCode}/skus/{sku:.+}/ext-info")
public ResponseEntity<String> getInfo(@PathVariable("ownerCode") String ownerCode, @PathVariable("sku") String sku) {
    // your logic here
}

这里的.+只是一个示例,还有很多种正则的写法。这是很多人的博客中被提及的方案,但并不能解决问题

  1. 覆盖Spring MVC默认URL解码行为的配置类
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        UrlPathHelper urlPathHelper = new UrlPathHelper() {
            @Override
            public Map<String, String> decodePathVariables(HttpServletRequest request, Map<String, String> vars) {
                return vars;
            }
        };
        urlPathHelper.setUrlDecode(false);
        configurer.setUrlPathHelper(urlPathHelper);
    }
}

看起来很有效,实际上也不行

  1. 使用@MatrixVariable接受参数
@PostMapping("/v1/basic/owner-code/{ownerCode}/skus/{sku:.+}/ext-info")
public ResponseEntity<String> getInfo(@PathVariable("ownerCode") String ownerCode, @MatrixVariable("sku") String sku) {
    // your logic here
}
  1. 自定义filter并添加到spring中
public class UrlEncodingFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        String url = request.getRequestURL().toString();
        // 如果你的SKU部分总是在URL的特定位置,可以使用这种方式来找到它并进行二次编码
        String encodedUrl = url.replace("skus/", "skus/").replace("/ext-info", "%2Fext-info");

        HttpServletRequestWrapper requestWrapper = new HttpServletRequestWrapper(request) {
            @Override
            public StringBuffer getRequestURL() {
                return new StringBuffer(encodedUrl);
            }
        };
        chain.doFilter(requestWrapper, res);
    }
}

你可能感兴趣的:(个人笔记,spring,boot,java,spring)