快捷導(dǎo)航

Java中HttpServletRequestWrapper的使用與原理詳解

更新時(shí)間：2024年01月10日 08:47:19 作者：愛coding的同學(xué)

這篇文章主要介紹了Java中HttpServletRequestWrapper的使用與原理詳解,HttpServletRequestWrapper 實(shí)現(xiàn)了 HttpServletRequest 接口,可以讓開發(fā)人員很方便的改造發(fā)送給 Servlet 的請(qǐng)求,需要的朋友可以參考下

介紹

HttpServletRequestWrapper 實(shí)現(xiàn)了 HttpServletRequest 接口，可以讓開發(fā)人員很方便的改造發(fā)送給 Servlet 的請(qǐng)求.HttpServletRequest 對(duì)參數(shù)值的獲取實(shí)際調(diào)的是org.apache.catalina.connector.Request沒有提供對(duì)應(yīng)的set方法修改屬性所以不能對(duì)前端傳來的參數(shù)進(jìn)行修改，實(shí)際場(chǎng)所像過濾xss攻擊，取認(rèn)證token統(tǒng)一去除token前綴等需要進(jìn)行請(qǐng)求參數(shù)的處理，此時(shí)HttpServletRequestWrapper 就應(yīng)運(yùn)而生了。
應(yīng)用了裝飾模式.HttpServletRequestWrapper 采用裝飾者模式對(duì)HttpServletRequest進(jìn)行包裝，我們可以通過繼承HttpServletRequestWrapper 類去重寫getParameterValues，getParameter等方法，實(shí)際還是調(diào)用HttpServletRequest的相對(duì)應(yīng)方法，但是可以對(duì)方法的結(jié)果進(jìn)行改裝。
一般要和 Filter 配合應(yīng)用

應(yīng)用場(chǎng)景

需要修改客戶端請(qǐng)求參數(shù)的場(chǎng)合，例如

將不支持的語言參數(shù)修改為默認(rèn)語言
將加密的 DeviceId 解密，并解析出其中的 imei 和 sn，同時(shí)在客戶端請(qǐng)求里添加這 2 個(gè)參數(shù) ** deviceId = hex(rc4(imei + ‘_’ + sn))

示例

就以上面所說的解密 DeviceId 為例

web.xml 配置

添加一個(gè)解析 DeviceId 的 Filter

<!-- 解析加密的 deviceId 得到 imei 和 sn -->
	<filter>
		<filter-name>deviceIdParseFilter</filter-name>
		<filter-class>com.xxxxxx.DeviceIdParseFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
		<init-param>
			<param-name>forceEncoding</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>deviceIdParseFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>

Filter 代碼

public class DeviceIdParseFilter implements Filter {
    private static final String KEY = "xxxxxxx";
    private static final Logger log = Logger.getLogger(DeviceIdParseFilter.class);
    private static final String[] DEFAULT_RESULT = {"",""};
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        String deviceId = request.getParameter("deviceId");
        if (deviceId != null && deviceId.length() > 0) {
            String[] result = parseDeviceId(deviceId);
            DeviceIdParseRequest req = new DeviceIdParseRequest((HttpServletRequest) request,
                    result[0], result[1]);
            chain.doFilter(req, response);
        } else {
            chain.doFilter(request, response);
        }
    }
    /**
     * 
     * 從 deviceId 里解析出 imei 和 sn
     * 
     * imei = result[0]
     * sn   = result[1]
     * 
     * 
     * @param deviceId
     * @return
     */
    private static final String[] parseDeviceId(String deviceId) {
        try {
            String src = Rc4Util.decrypt(deviceId, KEY);
            if (src.indexOf('_') >= 0) {
                return src.split("_");
            }
        } catch (Exception e) {
            log.error(e, e);
        }
        return DEFAULT_RESULT;
    }
    @Override
    public void destroy() {
    }
}

這個(gè) Filter 會(huì)將包含 deviceId 參數(shù)的請(qǐng)求進(jìn)行如下處理

將 deviceId 的值用 RC4 進(jìn)行解密
從解密出來的 deviceId 里解析出 imei 和 sn
將請(qǐng)求改造成 DeviceIdParseRequest，這就是我們的 HttpServletRequestWrapper
而不包含 deviceId 參數(shù)的請(qǐng)求不做任何處理

HttpServletRequestWrapper 代碼

public class DeviceIdParseRequest extends HttpServletRequestWrapper {
    private String imei;
    private String sn;
    /**
     * @param request
     */
    public DeviceIdParseRequest(HttpServletRequest request) {
        super(request);
        this.imei = "";
        this.sn = "";
    }
    /**
     * @param request
     * @param imei
     * @param sn
     */
    public DeviceIdParseRequest(HttpServletRequest request, String imei, String sn) {
        super(request);
        this.imei = imei;
        this.sn = sn;
    }
    @Override
    public String getParameter(String name) {
        if ("imei".equals(name)) {
            return imei;
        } else if ("sn".equals(name)) {
            return sn;
        } else {
            return super.getParameter(name);
        }
    }
    @Override
    public String[] getParameterValues(String name) {
        if ("imei".equals(name)) {
            return new String[] { imei };
        } else if ("sn".equals(name)) {
            return new String[] { sn };
        } else {
            return super.getParameterValues(name);
        }
    }
}

這里針對(duì) imei 和 sn 進(jìn)行了特殊處理，返回的不是客戶端提交的參數(shù)，而是在 Filter 里通過解析 deviceId 得到的 imei 和 sn

需要注意的是

如果用 request.getParameter() 獲取客戶端請(qǐng)求參數(shù)的值，那么只需要重寫該方法就行了
如果用 SpringMVC 的 @RequestParam 注解來獲取請(qǐng)求參數(shù)的值，那么需要重寫 getParameterValues 方法：因?yàn)?SpringMVC 是用這個(gè)方法來獲取參數(shù)值的

運(yùn)行結(jié)果

用于測(cè)試的 controller

這個(gè)測(cè)試類把接收到的參數(shù)直接返回

@Controller
@RequestMapping("/api/")
public class TestController {


    @ResponseBody
    @RequestMapping("test.do")
    public Result test(String deviceId, String imei, String sn) {
        Map<String, String> map = new HashMap<>();
        map.put("deviceId", deviceId);
        map.put("imei", imei);
        map.put("sn", sn);
        return new Result(map);
    }


}

請(qǐng)求參數(shù)不包含 deviceId.請(qǐng)求 url 如下：

http://xxxxx.in.xxxxx.com/api/test.do?reqno=123456&imei=imei&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US

返回結(jié)果

{
	"code": "200",
	"message": "",
	"redirect": "",
	"value": {
		"sn": "1001",
		"imei": "imei",
		"deviceId": null
	}
}

請(qǐng)求參數(shù)包含 deviceId。請(qǐng)求 url

http://xxxxxxx.com/api/test.do?reqno=123456&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US&deviceId=7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38

返回結(jié)果

{

	"code": "200",
	"message": "",
	"redirect": "",
	"value": {
		"sn": "111",
		"imei": "org.testng.annotations.Test;",
		"deviceId": "7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38"
	}
}

可以看到

請(qǐng)求參數(shù)里不存在的 imei 能獲取到值
請(qǐng)求參數(shù)里存在的 sn 值被修改了

到此這篇關(guān)于Java中HttpServletRequestWrapper的使用與原理詳解的文章就介紹到這了,更多相關(guān)HttpServletRequestWrapper使用與原理內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: