最近在做基于Oauth2.0协议的认证系统,整体认证流程已经完成,但是Oauth2.0需要HTTPS配合,否则会有安全隐患。由于没有HTTPS证书,所以只有自己进行数据加密。利用切面编程可以在不改变原有模块的情况下加入加密功能,与原有模块解耦。
问题描述
以一个常见的场景举例。
- 客户端传个服务器一个用户ID和token值,服务器验证token并根据ID返回数据
- 传来的token参数已经加密,服务器要根据用户ID查出AES密钥,进行解密,再验证token,并把返回信息加密。
基本功能
使用Spring MVC构建这个简单的接口。
UserController类
使用@Controller
注解声明控制器。@RequestMapping
注解映射地址。@Autowired
注解自动注入UserService
对象,执行业务逻辑。@RequestParam
注解绑定参数。
|
|
UserService类
@Service
注解声明服务类。从UserDao
中查到用户信息并返回。
|
|
UserDao类
@Repository
注解声明仓库类。此处模拟一个数据返回。(Spring MVC 提供的JDBC工具类还是不错的)
UserModel类
一个简单的POJO对象
|
|
web.xml
配置Spring MVC。此处简化了些配置,没有使用模块化配置。
|
|
WebTest-Servlet.xml
Spring配置
|
|
测试
在浏览器输入http://localhost:8080/WebTest/user/message?id=123&token=123
可以看到返回了用户信息,基本功能完成。
返回值
|
|
解密/加密功能
方案一:过滤器+拦截器
- Spring MVC中有拦截器可以在处理方法执行前拦截,其实内部也是用的切面编程。
- 由于`HttpServletRequest``没有提供改变请求参数的接口,所以需要包装一下,使用自己的Request。
HttpRequestWapperFilter类
在doFilter
方法中,使用自己的包装类替换HttpServletRequest
public class HttpRequestWapperFilter implements Filter{
@Override
public void destroy() {}
@Override
public void init(FilterConfig arg0) throws ServletException {}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
request=new HttpRequestWapper((HttpServletRequest)request);
chain.doFilter(request, response);
}
}
HttpRequestWapper类
- 继承HttpServletRequestWrapper。
- Spring MVC在绑定参数过程中使用
getParameterValues
方法,所以我们重写这个方法。 - 增加一个私有属性key表示加密密钥。
- 如果不怕麻烦完全可以在这一步从
request
中得到ID参数,然后写JDBC操作查到用户密钥进行解密。但是我想在Spring中使用之前写好的数据库操作类UserDao
,所以把查密钥这一步放到了拦截器中。
|
|
UserMessageInterceptor类
在拦截器里可以方便的使用SPring注入UserDao
。在preHandle
方法中设置key的值
WebTest-Servlet.xml
加入拦截器配置
测试
- 在浏览器输入
http://localhost:8080/WebTest/user/message?id=123&token=0lCQPVTc8WCNP2FxocbC7Q==
- 此时token值已经经过加密,在控制器message方法中打印token参数,可以成功打印出123
返回信息加密
返回信息的加密原理上跟解密一样,而且本文重点也不在这,所以这里就简单说一下思路。
- 包装
HttpServletResponse
对象,添加一个toByteArray()
方法返回输出缓冲区的内容 - 在过滤器中先调用
doFilter
执行请求,之后使用toByteArray()
方法得到缓冲区字节,在进行加密。
方案二:切面编程
使用了Spring的AOP后,解决这个问题就变的轻松加愉快了。关于AOP这里就不做详细描述了。
AESAspect类
声明切面。
@Component
注解用于声明组件。@Aspect
注解用于声明切面。@Pointcut
注解声明切点,括号里是切点表达式,这里定位到UserService类的message方法@Around
声明是环绕通知方法
|
|
UserModel类
在UserModel中添加一个加密成员变量的方法
WebTest-servlet.xml
更改代理方式,使用cglib代理来替换JDK代理。
总结
- 通过两种方法的对比可以看到,使用切面编程,模块间耦合程度很低,架构清晰,易于实现。
- 但是这仅仅是一个小小的测试,如果项目规模扩大,想要织入一个功能就需要经过精心的设计,从何处切入,切点如何组织都是需要考虑的。如果没设计好,切面部位或许将成为一个重灾区(认证系统里的加密切面就显得有些凌乱,庞杂,但我也不知道该如何优化)
- 还有个小问题,拦截器里应该是可以直接对
request
对象进行包装的,可是我在拦截器里进行包装却没有效果,可能是此处的request
对象只是一个拷贝吧。