解读HttpServletRequestWrapper处理request数据流多次读取问题
更新时间:2024年10月09日 10:07:26 作者:小旋风-java
在Java Web开发中,获取HTTP请求参数是常见需求,本文详细讨论了通过POST方式获取参数的两种主要方法:使用request.getParameter()适用于application/x-www-form-urlencoded和multipart/form-data内容类型;而对于application/json类型的数据
本次讨论post方式获取参数,request.getInputStream()获取一次以后不能第二次获取,以及request.getParameter()与request.getInputStream()也存在这种情况
一、获取请求参数
- 1、request.getParameter()
- 2、request.getInputStream()或request.getReader()
二、请求方contentType
1、application/x-www-form-urlencoded
@RequestMapping("/testWwwFrom")
@ResponseBody
public Book testWwwFrom(Book req, HttpServletRequest servletRequest) {
logger.info("查询所有1用户信息" + JSON.toJSONString(req));
return req;
}2、multipart/form-data
@RequestMapping("/testFormData")
@ResponseBody
public Book testFormData(Book req, HttpServletRequest servletRequest) {
logger.info("查询所有1用户信息" + JSON.toJSONString(req));
return req;
}3、application/json
@RequestMapping("/testJson")
@ResponseBody
public Book testJsonFrom(@RequestBody Book req, HttpServletRequest servletRequest) {
logger.info("查询所有1用户信息" + JSON.toJSONString(req));
return req;
}- 1、request.getParameter()对应application/x-www-form-urlencoded
- 2、request.getInputStream()或request.getReader()对应application/json
那么现在有一个这样的需求如果是form表单就获取formToken然后和缓存的进行CRSF防护
思路根据上面说的form表单参数获取分为2大类。
其中request.getInputStream()获取一次以后不能第二次获取,以及request.getParameter()与request.getInputStream()也存在这种情况。
- 1、application/x-www-form-urlencoded以及multipart/form-data通过request.getParameter()获取
- 2、application/json通过request.getInputStream()或request.getReader()获取,这种要依赖HttpServletRequestWrapper
package com.study.ju.web.interceptor;
import org.apache.commons.io.IOUtils;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
/**
* <p>https://blog.csdn.net/kaizhangzhang/article/details/97900961</p>
*
*
* @version v 0.1 2023/5/29 15:37
*/
public class ResettableServletRequestWrapper extends HttpServletRequestWrapper {
//保存流中的数据
private byte[] data;
/**
* Constructs a request object wrapping the given request.
*
* @param request
* @throws IllegalArgumentException if the request is null
*/
public ResettableServletRequestWrapper(HttpServletRequest request) throws IOException {
super(request);
//从流中获取数据
data = IOUtils.toByteArray(request.getInputStream());
}
@Override
public ServletInputStream getInputStream() throws IOException {
//在调用getInputStream函数时,创建新的流,包含原先数据流中的信息,然后返回
return new NewServletInputStream(new ByteArrayInputStream(data));
}
class NewServletInputStream extends ServletInputStream{
private InputStream inputStream;
public NewServletInputStream(InputStream inputStream){
this.inputStream = inputStream;
}
@Override
public int read() throws IOException {
return inputStream.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener readListener) {
}
}
@Override
public BufferedReader getReader() throws IOException {
return new BufferedReader(new InputStreamReader(this.getInputStream()));
}
}package com.study.ju.web.interceptor;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import org.apache.commons.collections4.CollectionUtils;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;
import java.util.Map;
/**
* <p>form表单提交校验token</p>
*
*
* @version v 0.1 2023/5/29 13:45
*/
public class FormSubmitTokenInterceptor implements HandlerInterceptor {
private String formSubmitTokenInterceptorUrls = "[\"/testJson\",\"/test/testJson\",\"/test/testWwwFrom\",\"/test/testRequestParam\"]";
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String requestURI = getRequestURI(request);
if ("POST".equals(request.getMethod().toUpperCase()) && StringUtils.isNotEmpty(formSubmitTokenInterceptorUrls)) {
List<String> formInterceptorUrls = JSONArray.parseArray(formSubmitTokenInterceptorUrls, String.class);
if (CollectionUtils.isNotEmpty(formInterceptorUrls)) {
boolean contains = formInterceptorUrls.stream().anyMatch(e -> e.contains(requestURI));
if (contains) {
String contentType = request.getContentType();
System.out.println(contentType);
if ("application/json".equalsIgnoreCase(contentType)) {
ResettableServletRequestWrapper resettableServletRequestWrapper = new ResettableServletRequestWrapper(request);
String bodyParam = IOUtils.toString(resettableServletRequestWrapper.getInputStream());
System.out.println(bodyParam);
if (StringUtils.isNotEmpty(bodyParam)) {
JSONObject jsonObject = JSONObject.parseObject(bodyParam);
if (jsonObject.containsKey("formToken")) {
String formToken = (String) jsonObject.get("formToken");
System.out.println("formToken:"+formToken);
}
}
} else {
if (StringUtils.isNotEmpty(request.getParameter("formToken"))) {
System.out.println("formToken2:"+request.getParameter("formToken"));
}
System.out.println("name:"+request.getParameter("name"));
}
}
}
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
/**
* 获取用户请求的path,不带contextPath
* 如:/index.htm
*/
public static String getRequestURI(HttpServletRequest request) {
return StringUtils.replace(request.getRequestURI(), request.getContextPath(), "");
}
}web.xml放在前面
<filter> <filter-name>requestFilter</filter-name> <filter-class>com.study.ju.web.Filter.HttpServletRequestReplacedFilter</filter-class> </filter> <filter-mapping> <filter-name>requestFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了Java里的static在Kotlin里如何实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-01-01
这篇文章主要介绍了Java函数式编程(六):Optional,本文是系列文章的第6篇,其它文章请参阅本文底部的相关文章,需要的朋友可以参考下2014-09-09
Spring Boot 2结合Spring security + JWT实现微信小程序登录
这篇文章主要介绍了Spring Boot 2结合Spring security + JWT实现微信小程序登录,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-01-01
Eclipse中Properties和yml配置文件注释乱码的解决
这篇文章主要介绍了Eclipse中Properties和yml配置文件注释乱码的解决,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-10-10
Sa-Token是一款轻量级Java权限认证框架,它简化了权限管理,提高了开发效率,本文通过实例介绍了Sa-Token的基本概念、与其他框架的比较、基本语法和高级用法,并探讨了其核心原理和实际应用场景,感兴趣的朋友一起看看吧2024-09-09
这篇文章主要介绍了Java RPC框架过滤器机制原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-02-02
这篇文章主要介绍了Spring Boot 常用注解大全,需要的朋友可以参考下2024-02-02
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。本文重点给大家介绍Mybatis的环境搭建和使用实例代码,需要的朋友参考下吧2017-12-12
这篇文章主要介绍了sms4j 2.0 全新来袭功能的调整及maven变化详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-04-04
SpringBoot提供两种配置Mybatis的方式,第一种是通过yml或application.properties文件开启配置,第二种是使用自定义配置类,通过给容器添加一个ConfigurationCustomizer来实现更灵活的配置,这两种方法可以根据项目需求和个人喜好选择使用2024-10-10
最新评论