阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

修改请求

68次阅读
没有评论

共计 5413 个字符,预计需要花费 14 分钟才能阅读完成。

Filter 可以对请求进行预处理,因此,我们可以把很多公共预处理逻辑放到 Filter 中完成。

考察这样一种需求:我们在 Web 应用中经常需要处理用户上传文件,例如,一个 UploadServlet 可以简单地编写如下:

@WebServlet(urlPatterns = "/upload/file")
public class UploadServlet extends HttpServlet {protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// 读取 Request Body:
        InputStream input = req.getInputStream();
        ByteArrayOutputStream output = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        for (;;) {int len = input.read(buffer);
            if (len == -1) {break;
            }
            output.write(buffer, 0, len);
        }
        // TODO: 写入文件:
        // 显示上传结果:
        String uploadedText = output.toString(StandardCharsets.UTF_8);
        PrintWriter pw = resp.getWriter();
        pw.write("<h1>Uploaded:</h1>");
        pw.write("<pre><code>");
        pw.write(uploadedText);
        pw.write("</code></pre>");
        pw.flush();}
}

但是要保证文件上传的完整性怎么办?在哈希算法一节中,我们知道,如果在上传文件的同时,把文件的哈希也传过来,服务器端做一个验证,就可以确保用户上传的文件一定是完整的。

这个验证逻辑非常适合写在 ValidateUploadFilter 中,因为它可以复用。

我们先写一个简单的版本,快速实现 ValidateUploadFilter 的逻辑:

@WebFilter("/upload/*")
public class ValidateUploadFilter implements Filter {@Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        // 获取客户端传入的签名方法和签名:
        String digest = req.getHeader("Signature-Method");
        String signature = req.getHeader("Signature");
        if (digest == null || digest.isEmpty() || signature == null || signature.isEmpty()) {sendErrorPage(resp, "Missing signature.");
            return;
        }
        // 读取 Request 的 Body 并验证签名:
        MessageDigest md = getMessageDigest(digest);
        InputStream input = new DigestInputStream(request.getInputStream(), md);
        byte[] buffer = new byte[1024];
        for (;;) {int len = input.read(buffer);
            if (len == -1) {break;
            }
        }
        String actual = toHexString(md.digest());
        if (!signature.equals(actual)) {sendErrorPage(resp, "Invalid signature.");
            return;
        }
        // 验证成功后继续处理:
        chain.doFilter(request, response);
    }

    // 将 byte[]转换为 hex string:
    private String toHexString(byte[] digest) {StringBuilder sb = new StringBuilder();
        for (byte b : digest) {sb.append(String.format("%02x", b));
        }
        return sb.toString();}

    // 根据名称创建 MessageDigest:
    private MessageDigest getMessageDigest(String name) throws ServletException {try {return MessageDigest.getInstance(name);
        } catch (NoSuchAlgorithmException e) {throw new ServletException(e);
        }
    }

    // 发送一个错误响应:
    private void sendErrorPage(HttpServletResponse resp, String errorMessage) throws IOException {resp.setStatus(HttpServletResponse.SC_BAD_REQUEST);
        PrintWriter pw = resp.getWriter();
        pw.write("<html><body><h1>");
        pw.write(errorMessage);
        pw.write("</h1></body></html>");
        pw.flush();}
}

这个 ValidateUploadFilter 的逻辑似乎没有问题,我们可以用 curl 命令测试:

$ curl http://localhost:8080/upload/file -v -d 'test-data' \
  -H 'Signature-Method: SHA-1' \
  -H 'Signature: 7115e9890f5b5cc6914bdfa3b7c011db1cdafedb' \
  -H 'Content-Type: application/octet-stream'
*   Trying ::1...
* TCP_NODELAY set
* Connected to localhost (::1) port 8080 (#0)
> POST /upload/file HTTP/1.1
> Host: localhost:8080
> User-Agent: curl/7.64.1
> Accept: */*
> Signature-Method: SHA-1
> Signature: 7115e9890f5b5cc6914bdfa3b7c011db1cdafedb
> Content-Type: application/octet-stream
> Content-Length: 9
> 
* upload completely sent off: 9 out of 9 bytes
< HTTP/1.1 200 
< Transfer-Encoding: chunked
< Date: Thu, 30 Jan 2020 13:56:39 GMT
< 
* Connection #0 to host localhost left intact
<h1>Uploaded:</h1><pre><code></code></pre>
* Closing connection 0

ValidateUploadFilter对签名进行验证的逻辑是没有问题的,但是,细心的童鞋注意到,UploadServlet并未读取到任何数据!

这里的原因是对 HttpServletRequest 进行读取时,只能读取一次。如果 Filter 调用 getInputStream() 读取了一次数据,后续 Servlet 处理时,再次读取,将无法读到任何数据。怎么办?

这个时候,我们需要一个“伪造”的 HttpServletRequest,具体做法是使用代理模式,对getInputStream()getReader()返回一个新的流:

class ReReadableHttpServletRequest extends HttpServletRequestWrapper {private byte[] body;
    private boolean open = false;

    public ReReadableHttpServletRequest(HttpServletRequest request, byte[] body) {super(request);
        this.body = body;
    }

    // 返回 InputStream:
    public ServletInputStream getInputStream() throws IOException {if (open) {throw new IllegalStateException("Cannot re-open input stream!");
        }
        open = true;
        return new ServletInputStream() {private int offset = 0;

            public boolean isFinished() {return offset >= body.length;
            }

            public boolean isReady() {return true;
            }

            public void setReadListener(ReadListener listener) { }

            public int read() throws IOException {if (offset >= body.length) {return -1;
                }
                int n = body[offset] & 0xff;
                offset++;
                return n;
            }
        };
    }

    // 返回 Reader:
    public BufferedReader getReader() throws IOException {if (open) {throw new IllegalStateException("Cannot re-open reader!");
        }
        open = true;
        return new BufferedReader(new InputStreamReader(new ByteArrayInputStream(body), "UTF-8"));
    }
}

注意观察 ReReadableHttpServletRequest 的构造方法,它保存了 ValidateUploadFilter 读取的 byte[] 内容,并在调用 getInputStream() 时通过 byte[] 构造了一个新的ServletInputStream

然后,我们在 ValidateUploadFilter 中,把 doFilter() 调用时传给下一个处理者的 HttpServletRequest 替换为我们自己“伪造”的ReReadableHttpServletRequest

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
    ...
    chain.doFilter(new ReReadableHttpServletRequest(req, output.toByteArray()), response);
}

再注意到我们编写 ReReadableHttpServletRequest 时,是从 HttpServletRequestWrapper 继承,而不是直接实现 HttpServletRequest 接口。这是因为,Servlet 的每个新版本都会对接口增加一些新方法,从 HttpServletRequestWrapper 继承可以确保新方法被正确地覆写了,因为 HttpServletRequestWrapper 是由 Servlet 的 jar 包提供的,目的就是为了让我们方便地实现对 HttpServletRequest 接口的代理。

我们总结一下对 HttpServletRequest 接口进行代理的步骤:

  1. HttpServletRequestWrapper 继承一个 XxxHttpServletRequest,需要传入原始的HttpServletRequest 实例;
  2. 覆写某些方法,使得新的 XxxHttpServletRequest 实例看上去“改变”了原始的 HttpServletRequest 实例;
  3. doFilter() 中传入新的 XxxHttpServletRequest 实例。

虽然整个 Filter 的代码比较复杂,但它的好处在于:这个 Filter 在整个处理链中实现了灵活的“可插拔”特性,即是否启用对 Web 应用程序的其他组件(Filter、Servlet)完全没有影响。

练习

使用 Filter 修改 HttpServletRequest 请求。

下载练习

小结

借助 HttpServletRequestWrapper,我们可以在 Filter 中实现对原始HttpServletRequest 的修改。

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-08-05发表,共计5413字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中