Java中HttpServletRequestWrapper的使用与原理详解
更新时间:2024年01月10日 08:47:19 作者:爱coding的同学
这篇文章主要介绍了Java中HttpServletRequestWrapper的使用与原理详解,HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求,需要的朋友可以参考下
介绍
- HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理,此时HttpServletRequestWrapper 就应运而生了。
- 应用了装饰模式.HttpServletRequestWrapper 采用装饰者模式对HttpServletRequest进行包装,我们可以通过继承HttpServletRequestWrapper 类去重写getParameterValues,getParameter等方法,实际还是调用HttpServletRequest的相对应方法,但是可以对方法的结果进行改装。
- 一般要和 Filter 配合应用
应用场景
需要修改客户端请求参数的场合,例如
- 将不支持的语言参数修改为默认语言
- 将加密的 DeviceId 解密,并解析出其中的 imei 和 sn,同时在客户端请求里添加这 2 个参数 ** deviceId = hex(rc4(imei + ‘_’ + sn))
示例
就以上面所说的解密 DeviceId 为例
web.xml 配置
添加一个解析 DeviceId 的 Filter
<!-- 解析加密的 deviceId 得到 imei 和 sn --> <filter> <filter-name>deviceIdParseFilter</filter-name> <filter-class>com.xxxxxx.DeviceIdParseFilter</filter-class> <init-param> <param-name>encoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>forceEncoding</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>deviceIdParseFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping>
Filter 代码
public class DeviceIdParseFilter implements Filter {
private static final String KEY = "xxxxxxx";
private static final Logger log = Logger.getLogger(DeviceIdParseFilter.class);
private static final String[] DEFAULT_RESULT = {"",""};
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
String deviceId = request.getParameter("deviceId");
if (deviceId != null && deviceId.length() > 0) {
String[] result = parseDeviceId(deviceId);
DeviceIdParseRequest req = new DeviceIdParseRequest((HttpServletRequest) request,
result[0], result[1]);
chain.doFilter(req, response);
} else {
chain.doFilter(request, response);
}
}
/**
*
* 从 deviceId 里解析出 imei 和 sn
*
* imei = result[0]
* sn = result[1]
*
*
* @param deviceId
* @return
*/
private static final String[] parseDeviceId(String deviceId) {
try {
String src = Rc4Util.decrypt(deviceId, KEY);
if (src.indexOf('_') >= 0) {
return src.split("_");
}
} catch (Exception e) {
log.error(e, e);
}
return DEFAULT_RESULT;
}
@Override
public void destroy() {
}
}这个 Filter 会将包含 deviceId 参数的请求进行如下处理
- 将 deviceId 的值用 RC4 进行解密
- 从解密出来的 deviceId 里解析出 imei 和 sn
- 将请求改造成 DeviceIdParseRequest,这就是我们的 HttpServletRequestWrapper
而不包含 deviceId 参数的请求不做任何处理
HttpServletRequestWrapper 代码
public class DeviceIdParseRequest extends HttpServletRequestWrapper {
private String imei;
private String sn;
/**
* @param request
*/
public DeviceIdParseRequest(HttpServletRequest request) {
super(request);
this.imei = "";
this.sn = "";
}
/**
* @param request
* @param imei
* @param sn
*/
public DeviceIdParseRequest(HttpServletRequest request, String imei, String sn) {
super(request);
this.imei = imei;
this.sn = sn;
}
@Override
public String getParameter(String name) {
if ("imei".equals(name)) {
return imei;
} else if ("sn".equals(name)) {
return sn;
} else {
return super.getParameter(name);
}
}
@Override
public String[] getParameterValues(String name) {
if ("imei".equals(name)) {
return new String[] { imei };
} else if ("sn".equals(name)) {
return new String[] { sn };
} else {
return super.getParameterValues(name);
}
}
}这里针对 imei 和 sn 进行了特殊处理,返回的不是客户端提交的参数,而是在 Filter 里通过解析 deviceId 得到的 imei 和 sn
需要注意的是
- 如果用 request.getParameter() 获取客户端请求参数的值,那么只需要重写该方法就行了
- 如果用 SpringMVC 的 @RequestParam 注解来获取请求参数的值,那么需要重写 getParameterValues 方法:因为 SpringMVC 是用这个方法来获取参数值的
运行结果
用于测试的 controller
这个测试类把接收到的参数直接返回
@Controller
@RequestMapping("/api/")
public class TestController {
@ResponseBody
@RequestMapping("test.do")
public Result test(String deviceId, String imei, String sn) {
Map<String, String> map = new HashMap<>();
map.put("deviceId", deviceId);
map.put("imei", imei);
map.put("sn", sn);
return new Result(map);
}
}
请求参数不包含 deviceId.请求 url 如下:
http://xxxxx.in.xxxxx.com/api/test.do?reqno=123456&imei=imei&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US
返回结果
{
"code": "200",
"message": "",
"redirect": "",
"value": {
"sn": "1001",
"imei": "imei",
"deviceId": null
}
}
请求参数包含 deviceId。请求 url
http://xxxxxxx.com/api/test.do?reqno=123456&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US&deviceId=7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38
返回结果
{
"code": "200",
"message": "",
"redirect": "",
"value": {
"sn": "111",
"imei": "org.testng.annotations.Test;",
"deviceId": "7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38"
}
}
可以看到
- 请求参数里不存在的 imei 能获取到值
- 请求参数里存在的 sn 值被修改了
到此这篇关于Java中HttpServletRequestWrapper的使用与原理详解的文章就介绍到这了,更多相关HttpServletRequestWrapper使用与原理内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
本文主要分享了java文件上传(单文件 多文件)与删除的示例代码。具有很好的参考价值,下面跟着小编一起来看下吧2017-01-01
我们经常会遇到父子线程数据传递(非调用参数)的场景,本文主要介绍了Java线程之间数据传递的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-08-08
这篇文章主要介绍了Java Calendar类使用案例详解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下2021-08-08
这篇文章主要介绍了mybatis主从表关联查询,返回对象带有集合属性解析,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-03-03
这篇文章主要介绍了Java中ArrayList初始化的四种方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-04-04
Java中的synchronized和ReentrantLock的区别详细解读
这篇文章主要介绍了Java中的synchronized和ReentrantLock的区别详细解读,synchronized是Java内建的同步机制,所以也有人称其为 IntrinsicLocking,它提供了互斥的语义和可见性,当一个线程已经获取当前锁时,其他试图获取的线程只能等待或者阻塞在那里,需要的朋友可以参考下2024-01-01
SpringCloud可视化链路追踪系统Zipkin部署过程
这篇文章主要介绍了SpringCloud可视化链路追踪系统Zipkin部署过程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-03-03
JavaWeb Listener 利用Session统计在线人数
这篇文章主要为大家介绍了JavaWeb Listener 利用Session统计在线人数,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-09-09
这篇文章主要为大家详细介绍了一个简化版的 Stream 实现,展示了如何通过延迟执行来处理数据流,感兴趣的小伙伴可以跟随小编一学习一下2024-10-10
这篇文章主要介绍了详解MyBatis配置typeAliases的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-10-10
最新评论