SpringBoot 接口數據加解密實戰
這日,剛擼完 2 行代碼,正準備掏出手機摸魚放鬆放鬆,只見老大朝我走過來,並露出一個” 善意 “的微笑,興偉呀,xx 項目有於安全問題,需要對接口整體進行加密處理,你這方面比較有經驗,就給你安排上了哈,看這周內提測行不...,額,摸摸頭上飄搖着而稀疏的長髮,感覺我愛了。
和產品、前端同學對外需求後,梳理了相關技術方案, 主要的需求點如下:
-
儘量少改動,不影響之前的業務邏輯;
-
考慮到時間緊迫性,可採用對稱性加密方式,服務需要對接安卓、IOS、H5 三端,另外考慮到 H5 端存儲密鑰安全性相對來說會低一些,故分針對 H5 和安卓、IOS 分配兩套密鑰;
-
要兼容低版本的接口,後面新開發的接口可不用兼容;
-
接口有 GET 和 POST 兩種接口,需要都要進行加解密;
需求解析:
-
服務端、客戶端和 H5 統一攔截加解密,網上有成熟方案,也可以按其他服務中實現的加解密流程來搞;
-
使用 AES 放鬆加密,考慮到 H5 端存儲密鑰安全性相對來說會低一些,故分針對 H5 和安卓、IOS 分配兩套密鑰;
-
本次涉及客戶端和服務端的整體改造,經討論,新接口統一加 /secret/ 前綴來區分
按本次需求來簡單還原問題,定義兩個對象,後面用得着,
用戶類:
@Data
public class User {
private Integer id;
private String name;
private UserType userType = UserType.COMMON;
@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
private LocalDateTime registerTime;
}
用戶類型枚舉類:
@Getter
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
public enum UserType {
VIP("VIP用戶"),
COMMON("普通用戶");
private String code;
private String type;
UserType(String type) {
this.code = name();
this.type = type;
}
}
構造一個簡單的用戶列表查詢示例:
@RestController
@RequestMapping(value = {"/user", "/secret/user"})
public class UserController {
@RequestMapping("/list")
ResponseEntity<List<User>> listUser() {
List<User> users = new ArrayList<>();
User u = new User();
u.setId(1);
u.setName("boyka");
u.setRegisterTime(LocalDateTime.now());
u.setUserType(UserType.COMMON);
users.add(u);
ResponseEntity<List<User>> response = new ResponseEntity<>();
response.setCode(200);
response.setData(users);
response.setMsg("用戶列表查詢成功");
return response;
}
}
調用:localhost:8080/user/list
查詢結果如下,沒毛病:
{
"code": 200,
"data": [{
"id": 1,
"name": "boyka",
"userType": {
"code": "COMMON",
"type": "普通用戶"
},
"registerTime": "2022-03-24 23:58:39"
}],
"msg": "用戶列表查詢成功"
}
目前主要是利用 ControllerAdvice 來對請求和響應體進行攔截,主要定義 SecretRequestAdvice 對請求進行加密和 SecretResponseAdvice 對響應進行加密 (實際情況會稍微複雜一點,項目中又 GET 類型請求,自定義了一個 Filter 進行不同的請求解密處理)。
好了,網上的 ControllerAdvice 使用示例非常多,我這把兩個核心方法給大家展示看看,相信大佬們一看就曉得了,不需多言。上代碼:
SecretRequestAdvice 請求解密:
@ControllerAdvice
@Order(Ordered.HIGHEST_PRECEDENCE)
@Slf4j
public class SecretRequestAdvice extends RequestBodyAdviceAdapter {
@Override
public boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
return true;
}
@Override
public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
//如果支持加密消息,進行消息解密。
String httpBody;
if (Boolean.TRUE.equals(SecretFilter.secretThreadLocal.get())) {
httpBody = decryptBody(inputMessage);
} else {
httpBody = StreamUtils.copyToString(inputMessage.getBody(), Charset.defaultCharset());
}
//返回處理後的消息體給messageConvert
return new SecretHttpMessage(new ByteArrayInputStream(httpBody.getBytes()), inputMessage.getHeaders());
}
/**
* 解密消息體
*
* @param inputMessage 消息體
* @return 明文
*/
private String decryptBody(HttpInputMessage inputMessage) throws IOException {
InputStream encryptStream = inputMessage.getBody();
String requestBody = StreamUtils.copyToString(encryptStream, Charset.defaultCharset());
// 驗簽過程
HttpHeaders headers = inputMessage.getHeaders();
if (CollectionUtils.isEmpty(headers.get("clientType"))
|| CollectionUtils.isEmpty(headers.get("timestamp"))
|| CollectionUtils.isEmpty(headers.get("salt"))
|| CollectionUtils.isEmpty(headers.get("signature"))) {
throw new ResultException(SECRET_API_ERROR, "請求解密參數錯誤,clientType、timestamp、salt、signature等參數傳遞是否正確傳遞");
}
String timestamp = String.valueOf(Objects.requireNonNull(headers.get("timestamp")).get(0));
String salt = String.valueOf(Objects.requireNonNull(headers.get("salt")).get(0));
String signature = String.valueOf(Objects.requireNonNull(headers.get("signature")).get(0));
String privateKey = SecretFilter.clientPrivateKeyThreadLocal.get();
ReqSecret reqSecret = JSON.parseObject(requestBody, ReqSecret.class);
String data = reqSecret.getData();
String newSignature = "";
if (!StringUtils.isEmpty(privateKey)) {
newSignature = Md5Utils.genSignature(timestamp + salt + data + privateKey);
}
if (!newSignature.equals(signature)) {
// 驗籤失敗
throw new ResultException(SECRET_API_ERROR, "驗籤失敗,請確認加密方式是否正確");
}
try {
String decrypt = EncryptUtils.aesDecrypt(data, privateKey);
if (StringUtils.isEmpty(decrypt)) {
decrypt = "{}";
}
return decrypt;
} catch (Exception e) {
log.error("error: ", e);
}
throw new ResultException(SECRET_API_ERROR, "解密失敗");
}
}
SecretResponseAdvice 響應加密:
@ControllerAdvice
public class SecretResponseAdvice implements ResponseBodyAdvice {
private Logger logger = LoggerFactory.getLogger(SecretResponseAdvice.class);
@Override
public boolean supports(MethodParameter methodParameter, Class aClass) {
return true;
}
@Override
public Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
// 判斷是否需要加密
Boolean respSecret = SecretFilter.secretThreadLocal.get();
String secretKey = SecretFilter.clientPrivateKeyThreadLocal.get();
// 清理本地緩存
SecretFilter.secretThreadLocal.remove();
SecretFilter.clientPrivateKeyThreadLocal.remove();
if (null != respSecret && respSecret) {
if (o instanceof ResponseBasic) {
// 外層加密級異常
if (SECRET_API_ERROR == ((ResponseBasic) o).getCode()) {
return SecretResponseBasic.fail(((ResponseBasic) o).getCode(), ((ResponseBasic) o).getData(), ((ResponseBasic) o).getMsg());
}
// 業務邏輯
try {
String data = EncryptUtils.aesEncrypt(JSON.toJSONString(o), secretKey);
// 增加簽名
long timestamp = System.currentTimeMillis() / 1000;
int salt = EncryptUtils.genSalt();
String dataNew = timestamp + "" + salt + "" + data + secretKey;
String newSignature = Md5Utils.genSignature(dataNew);
return SecretResponseBasic.success(data, timestamp, salt, newSignature);
} catch (Exception e) {
logger.error("beforeBodyWrite error:", e);
return SecretResponseBasic.fail(SECRET_API_ERROR, "", "服務端處理結果數據異常");
}
}
}
return o;
}
}
OK, 代碼 Demo 擼好了,試運行一波:
請求方法:
localhost:8080/secret/user/list
header:
Content-Type:application/json
signature:55efb04a83ca083dd1e6003cde127c45
timestamp:1648308048
salt:123456
clientType:ANDORID
body體:
// 原始請求體
{
"page": 1,
"size": 10
}
// 加密後的請求體
{
"data": "1ZBecdnDuMocxAiW9UtBrJzlvVbueP9K0MsIxQccmU3OPG92oRinVm0GxBwdlXXJ"
}
// 加密響應體:
{
"data": "fxHYvnIE54eAXDbErdrDryEsIYNvsOOkyEKYB1iBcre/QU1wMowHE2BNX/je6OP3NlsCtAeDqcp7J1N332el8q2FokixLvdxAPyW5Un9JiT0LQ3MB8p+nN23pTSIvh9VS92lCA8KULWg2nViSFL5X1VwKrF0K/dcVVZnpw5h227UywP6ezSHjHdA+Q0eKZFGTEv3IzNXWqq/otx5fl1gKQ==",
"code": 200,
"signature": "aa61f19da0eb5d99f13c145a40a7746b",
"msg": "",
"timestamp": 1648480034,
"salt": 632648
}
// 解密後的響應體:
{
"code": 200,
"data": [{
"id": 1,
"name": "boyka",
"registerTime": "2022-03-27T00:19:43.699",
"userType": "COMMON"
}],
"msg": "用戶列表查詢成功",
"salt": 0
}
OK,客戶端請求加密 -》發起請求 -》服務端解密 -》業務處理 -》服務端響應加密 -》客戶端解密展示,看起來沒啥問題,實際是頭天下午花了 2 小時碰需求,差不多花 1 小時寫好 demo 測試,然後對所有接口統一進行了處理,整體一下午趕腳應該行了吧,告訴 H5 和安卓端同學明兒上午聯調(不小的大家到這個時候發現貓膩沒有,當時確實疏忽了,翻了大車......)
次日,安卓端反饋,你這個加解密有問題,解密後的數據格式和之前不一樣,仔細一看,擦,這個 userType 和 registerTime 是不對勁,開始思考:這個能是哪兒的問題呢?1s 之後,初步定位,應該是響應體的 JSON.toJSONString 的問題:
String data = EncryptUtils.aesEncrypt(JSON.toJSONString(o)),
Debug 斷點調試,果然,是 JSON.toJSONString(o) 這一步驟轉換出了問題,那 JSON 轉換時是不是有高級屬性可以配置生成想要的序列化格式呢?FastJson 在序列化時提供重載方法,找到其中一個 "SerializerFeature" 參數可以琢磨一下,這個參數是可以對序列化進行配置的,它提供了很多配置類型,其中感覺這幾個比較沾邊:
WriteEnumUsingToString,
WriteEnumUsingName,
UseISO8601DateFormat
對枚舉類型來說,默認是使用的 WriteEnumUsingName(枚舉的 Name), 另一種 WriteEnumUsingToString 是重新 toString 方法,理論上可以轉換成想要的樣子,即這個樣子:
@Getter
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
public enum UserType {
VIP("VIP用戶"),
COMMON("普通用戶");
private String code;
private String type;
UserType(String type) {
this.code = name();
this.type = type;
}
@Override
public String toString() {
return "{" +
"\"code\":\"" + name() + '\"' +
", \"type\":\"" + type + '\"' +
'}';
}
}
結果轉換出來的數據是字符串類型 "{"code":"COMMON","type":" 普通用戶 "}",這個方法好像行不通,還有什麼好辦法呢?思前想後,看文章開始定義的 User 和 UserType 類,標記數據序列化格式 @JsonFormat,再突然想起之前看到過的一些文章,SpringMVC 底層默認是使用 Jackson 進行序列化的,那好了,就用 Jacksong 實施唄,將 SecretResponseAdvice 中的序列化方法替換一下:
String data = EncryptUtils.aesEncrypt(JSON.toJSONString(o), secretKey);
換爲:
String data =EncryptUtils.aesEncrypt(new ObjectMapper().writeValueAsString(o), secretKey);
重新運行一波,走起:
{
"code": 200,
"data": [{
"id": 1,
"name": "boyka",
"userType": {
"code": "COMMON",
"type": "普通用戶"
},
"registerTime": {
"month": "MARCH",
"year": 2022,
"dayOfMonth": 29,
"dayOfWeek": "TUESDAY",
"dayOfYear": 88,
"monthValue": 3,
"hour": 22,
"minute": 30,
"nano": 453000000,
"second": 36,
"chronology": {
"id": "ISO",
"calendarType": "iso8601"
}
}
}],
"msg": "用戶列表查詢成功"
}
解密後的 userType 枚舉類型和非加密版本一樣了,舒服了,== 好像還不對,registerTime 怎麼變成這個樣子了?原本是 "2022-03-24 23:58:39" 這種格式的,網上有很多解決方案,不過用在我們目前這個需求裏面,就是有損改裝了啊,不太可取,遂去 Jackson 官網上查找一下相關文檔,當然 Jackson 也提供了 ObjectMapper 的序列化配置,重新再初始化配置 ObjectMpper 對象:
String DATE_TIME_FORMATTER = "yyyy-MM-dd HH:mm:ss";
ObjectMapper objectMapper = new Jackson2ObjectMapperBuilder()
.findModulesViaServiceLoader(true)
.serializerByType(LocalDateTime.class, new LocalDateTimeSerializer(
DateTimeFormatter.ofPattern(DATE_TIME_FORMATTER)))
.deserializerByType(LocalDateTime.class, new LocalDateTimeDeserializer(
DateTimeFormatter.ofPattern(DATE_TIME_FORMATTER)))
.build();
轉換結果:
{
"code": 200,
"data": [{
"id": 1,
"name": "boyka",
"userType": {
"code": "COMMON",
"type": "普通用戶"
},
"registerTime": "2022-03-29 22:57:33"
}],
"msg": "用戶列表查詢成功"
}
OK,和非加密版的終於一致了,完了嗎?感覺還是可能存在些什麼問題,首先業務代碼的時間序列化需求不一樣,有 "yyyy-MM-dd hh:mm:ss" 的,也有 "yyyy-MM-dd" 的,還可能其他配置思考不到位的,導致和之前非加密版返回數據不一致的問題,到時候聯調測出來了也麻煩,有沒有一勞永逸的辦法呢?哎,這個時候如果你看過 Spring 源碼的話,就應該知道 spring 框架自身是怎麼序列化的,照着配置應該就行嘛,好像有點道理,我這裏不從 0 開始分析源碼了。
跟着執行鏈路,找到具體的響應序列化,重點就是 RequestResponseBodyMethodProcessor,
protected <T> void writeWithMessageConverters(@Nullable T value, MethodParameter returnType, ServletServerHttpRequest inputMessage, ServletServerHttpResponse outputMessage) throws IOException, HttpMediaTypeNotAcceptableException, HttpMessageNotWritableException {
// 獲取響應的攔截器鏈並執行beforeBodyWrite方法,也就是執行了我們自定義的SecretResponseAdvice中的beforeBodyWrite啦
body = this.getAdvice().beforeBodyWrite(body, returnType, selectedMediaType, converter.getClass(), inputMessage, outputMessage);
if (body != null) {
// 執行響應體序列化工作
if (genericConverter != null) {
genericConverter.write(body, (Type)targetType, selectedMediaType, outputMessage);
} else {
converter.write(body, selectedMediaType, outputMessage);
}
}
進而通過實例化的 AbstractJackson2HttpMessageConverter 對象找到執行序列化的核心方法
-> AbstractGenericHttpMessageConverter:
public final void write(T t, @Nullable Type type, @Nullable MediaType contentType, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
...
this.writeInternal(t, type, outputMessage);
outputMessage.getBody().flush();
}
-> 找到Jackson序列化 AbstractJackson2HttpMessageConverter:
// 從spring容器中獲取並設置的ObjectMapper實例
protected ObjectMapper objectMapper;
protected void writeInternal(Object object, @Nullable Type type, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
MediaType contentType = outputMessage.getHeaders().getContentType();
JsonEncoding encoding = this.getJsonEncoding(contentType);
JsonGenerator generator = this.objectMapper.getFactory().createGenerator(outputMessage.getBody(), encoding);
this.writePrefix(generator, object);
Object value = object;
Class<?> serializationView = null;
FilterProvider filters = null;
JavaType javaType = null;
if (object instanceof MappingJacksonValue) {
MappingJacksonValue container = (MappingJacksonValue)object;
value = container.getValue();
serializationView = container.getSerializationView();
filters = container.getFilters();
}
if (type != null && TypeUtils.isAssignable(type, value.getClass())) {
javaType = this.getJavaType(type, (Class)null);
}
ObjectWriter objectWriter = serializationView != null ? this.objectMapper.writerWithView(serializationView) : this.objectMapper.writer();
if (filters != null) {
objectWriter = objectWriter.with(filters);
}
if (javaType != null && javaType.isContainerType()) {
objectWriter = objectWriter.forType(javaType);
}
SerializationConfig config = objectWriter.getConfig();
if (contentType != null && contentType.isCompatibleWith(MediaType.TEXT_EVENT_STREAM) && config.isEnabled(SerializationFeature.INDENT_OUTPUT)) {
objectWriter = objectWriter.with(this.ssePrettyPrinter);
}
// 重點進行序列化
objectWriter.writeValue(generator, value);
this.writeSuffix(generator, object);
generator.flush();
}
那麼,可以看出 SpringMVC 在進行響應序列化的時候是從容器中獲取的 ObjectMapper 實例對象,並會根據不同的默認配置條件進行序列化,那處理方法就簡單了,我也可以從 Spring 容器拿數據進行序列化啊。SecretResponseAdvice 進行如下進一步改造:
@ControllerAdvice
public class SecretResponseAdvice implements ResponseBodyAdvice {
@Autowired
private ObjectMapper objectMapper;
@Override
public Object beforeBodyWrite(....) {
.....
String dataStr =objectMapper.writeValueAsString(o);
String data = EncryptUtils.aesEncrypt(dataStr, secretKey);
.....
}
}
經測試,響應數據和非加密版萬全一致啦,還有 GET 部分的請求加密,以及後面加解密慘遭跨域問題,後面有空再和大家聊聊。如需本文源碼,可以加我微信分享給大家!
作者:宮三公子
來源:juejin.cn/post/7080568585021554718
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/21f4nkZ0U4j_lzgkKh7Z5w