Wicket按Session加密URL请求，让你的Web应用更安全

1、问题背景

由于使用Wicket框架，自带了做请求url做加密的功能，意思很简单就是让生成的action url不可理解。

只需要在主Application中的init方法中加入以下内容（官方样例）

IRequestMapper cryptoMapper = new CryptoMapper(getRootRequestMapper(), this);
setRootRequestMapper(cryptoMapper);

但问题是url虽然加密了，但加密的结果是一样的就是说，如果url被记录，从其他用户的会话中一样可以访问到对应请求。

所以我希望得到的效果是，每个一 用户（session）请求的url加密出的url都不同。

2、分析解决

a、源码分析

查看org.apache.wicket.core.request.mapper.CryptoMapper的源码发现，CryptoMapper会从application.getSecuritySettings().getCryptFactory()中获得CryptFactory。

默认情况下采用org.apache.wicket.util.crypt.CachingSunJceCryptFactory来加密，但密钥是固定值
org.apache.wicket.settings.ISecuritySettings#DEFAULT_ENCRYPTION_KEY其实就是"WiCkEt-FRAMEwork"
这就导致了每次加密都是相同的结果。

b、更换CryptFactory解决

其实我们可以用org.apache.wicket.core.util.crypt.KeyInSessionSunJceCryptFactory来替换默认的factory

getSecuritySettings().setCryptFactory(new KeyInSessionSunJceCryptFactory());
IRequestMapper cryptoMapper = new CryptoMapper(getRootRequestMapper(), this);
setRootRequestMapper(cryptoMapper);

这样每个session的密钥都会不同，生成的url也不同，符合我的要求。

P.S.

有人可能会说加密没有效果，那是因为是Home页，或者是被mount过的页面。为了达到比较好的加密效果需要加一个空跳转首页，引导到正确加密后的页面请求，这样会更安全。把下面的内容设置为application中的homepage。

public class HomePage extends Page {

    public HomePage() {
        init();
    }

    public HomePage(IModel<?> model) {
        super(model);
        init();
    }

    public HomePage(PageParameters parameters) {
        super(parameters);
        init();
    }

    private void init() {
        setResponsePage(XXXXXXPage.class);
    }
}

XXXXXXPage.class就起到了隐藏的效果，会自动跳转到
/dvsOWxqltC1Lu-hxacR5bMPgoBRqoZo_zoCEQ0HSHf6EzKCQbYXYyFzxLP6VdPzGvIe1sLqBPLnOfdnnit56E8Ptoy6iZAiC/dvs30/PzG2c/AiC9a，复制到其他浏览器由于会话不存在会返回404，完全隐藏真实的页面。