最近在做基于Oauth2.0協議的認證系統，整體認證流程已經完成，但是Oauth2.0需要HTTPS配合，否則會有安全隱患。由于沒有HTTPS證書，所以只有自己進行數據加密。利用切面編程可以在不改變原有模塊的情況下加入加密功能，與原有模塊解耦。

問題描述

以一個常見的場景舉例。

• 客戶端傳個服務器一個用戶ID和token值，服務器驗證token并根據ID返回數據
• 傳來的token參數已經加密，服務器要根據用戶ID查出AES密鑰，進行解密，再驗證token，并把返回信息加密。

基本功能

使用Spring MVC構建這個簡單的接口。

UserController類

使用@Controller注解聲明控制器。@RequestMapping注解映射地址。@Autowired注解自動注入UserService對象，執行業務邏輯。@RequestParam注解綁定參數。

@Controller
@RequestMapping(value = "/user")
public class UserController {
    
    @Autowired
    @Qualifier("userService")
    private UserService userService;
    
    
    @RequestMapping(value="/message",method=RequestMethod.GET)
    public @ResponseBody UserModel message(@RequestParam("id") String id,@RequestParam("token") String token){
        return userService.message(id,token);
    }
}

UserService類

@Service注解聲明服務類。從UserDao中查到用戶信息并返回。

@Service("userService")
public class UserService {
    @Autowired
    @Qualifier("userDao")
    private UserDao userDao;
    
    public UserModel message(String id,String token){
        
        /*驗證token......*/
        return userDao.getUserById(id);
    }
}

UserDao類

@Repository注解聲明倉庫類。此處模擬一個數據返回。（Spring MVC 提供的JDBC工具類還是不錯的）

@Repository("userDao")
public class UserDao {

    public UserModel getUserById(String id){
        UserModel user=new UserModel();
        user.setUserName("MagicWolf");
        user.setEmail("dai.dongliang@foxmail.com");
        return user;
    }
}

UserModel類

一個簡單的POJO對象

public class UserModel{
    private String userName;
    private String email;
    public String getUserName() {
        return userName;
    }
    public void setUserName(String userName) {
        this.userName = userName;
    }
    public String getEmail() {
        return email;
    }
    public void setEmail(String email) {
        this.email = email;
    }
}

web.xml

配置Spring MVC。此處簡化了些配置，沒有使用模塊化配置。

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="WebApp_ID" version="3.0">
    <!--字符過濾器-->
    <filter>
        <filter-name>CharacterEncodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>utf-8</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CharacterEncodingFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
            
    <!-- spring 前端控制器 -->
    <servlet>
        <servlet-name>WebTest</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>WebTest</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

</web-app>

WebTest-Servlet.xml

Spring配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
    xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:context="http://www.springframework.org/schema/context"
    xmlns:aop="http://www.springframework.org/schema/aop"
    xsi:schemaLocation="
        http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/aop
        http://www.springframework.org/schema/aop/spring-aop.xsd
        http://www.springframework.org/schema/mvc
        http://www.springframework.org/schema/mvc/spring-mvc.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context.xsd">

    <!-- 注冊注解驅動特性 -->
    <mvc:annotation-driven />  
    <!-- 開啟注解裝配 -->
    <context:annotation-config />
    <!-- 掃描注解 -->
    <context:component-scan base-package="com.magicwolf" />       
    <!-- 內容視圖解析器 -->
    <bean class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver">
        <property name="mediaTypes">
            <map>
                <entry key="json" value="application/json" />
            </map>
        </property>
        <property name="defaultContentType" value="application/json" />
    </bean>
    <!-- 視圖解析器 -->
    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix" value="/WEB-INF/jsp/" />
        <property name="suffix" value=".jsp" />
    </bean>
</beans>

測試

在瀏覽器輸入http://localhost:8080/WebTest/user/message?id=123&token=123
可以看到返回了用戶信息，基本功能完成。

返回值

{
userName: "MagicWolf",
email: "dai.dongliang@foxmail.com"
}

解密/加密功能

方案一：過濾器+攔截器

• Spring MVC中有攔截器可以在處理方法執行前攔截，其實內部也是用的切面編程。
• 由于`HttpServletRequest``沒有提供改變請求參數的接口，所以需要包裝一下，使用自己的Request。

HttpRequestWapperFilter類

在doFilter方法中，使用自己的包裝類替換HttpServletRequest

public class HttpRequestWapperFilter implements Filter{
    @Override
    public void destroy() {}
    @Override
    public void init(FilterConfig arg0) throws ServletException {}

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        request=new HttpRequestWapper((HttpServletRequest)request);
        chain.doFilter(request, response);
    }
}

HttpRequestWapper類

• 繼承HttpServletRequestWrapper。
• Spring MVC在綁定參數過程中使用getParameterValues方法，所以我們重寫這個方法。
• 增加一個私有屬性key表示加密密鑰。
• 如果不怕麻煩完全可以在這一步從request中得到ID參數，然后寫JDBC操作查到用戶密鑰進行解密。但是我想在Spring中使用之前寫好的數據庫操作類UserDao，所以把查密鑰這一步放到了攔截器中。

class HttpRequestWapper extends HttpServletRequestWrapper{
    private String key;
    public HttpRequestWapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] strs=super.getParameterValues(name);
        if(name.equals("id")){
            for(int i=0;i<strs.length;i++)
                strs[i]=AESCodec.decrypt(strs[i], key);//AES解密
        }
        return strs;
    }
    public void setKey(String key) {
        this.key = key;
    }
}

UserMessageInterceptor類

在攔截器里可以方便的使用SPring注入UserDao。在preHandle方法中設置key的值

public class UserMessageInterceptor extends HandlerInterceptorAdapter{
    @Autowired
    @Qualifier("userDao")
    private UserDao userDao;
    
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        String key=userDao.getAESKeyByUserId(request.getParameter("id"));
        ((HttpRequestWapper)request).setKey(key);
        return true;
    }
}

web.xml

在配置文件中加入包裝類的過濾器

    <filter>
       <filter-name>HttpWapperFilter</filter-name>
       <filter-class>com.magicwolf.HttpRequestWapperFilter</filter-class>
    </filter>
    <filter-mapping>
       <filter-name>HttpWapperFilter</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>

WebTest-Servlet.xml

加入攔截器配置

<mvc:interceptors>    
   <mvc:interceptor>    
       <mvc:mapping path="/user/**" />  
       <bean class="com.magicwolf.UserMessageInterceptor"></bean>    
   </mvc:interceptor>  
</mvc:interceptors>

測試

• 在瀏覽器輸入http://localhost:8080/WebTest/user/message?id=123&token=0lCQPVTc8WCNP2FxocbC7Q==
• 此時token值已經經過加密，在控制器message方法中打印token參數，可以成功打印出123

返回信息加密

返回信息的加密原理上跟解密一樣，而且本文重點也不在這，所以這里就簡單說一下思路。

• 包裝HttpServletResponse對象，添加一個toByteArray()方法返回輸出緩沖區的內容
• 在過濾器中先調用doFilter執行請求，之后使用toByteArray()方法得到緩沖區字節，在進行加密。

方案二：切面編程

使用了Spring的AOP后，解決這個問題就變的輕松加愉快了。關于AOP這里就不做詳細描述了。

AESAspect類

聲明切面。

• @Component注解用于聲明組件。
• @Aspect注解用于聲明切面。
• @Pointcut注解聲明切點，括號里是切點表達式，這里定位到UserService類的message方法
• @Around聲明是環繞通知方法

@Component("AESAspect")
@Aspect
public class AESAspect {

    @Autowired
    @Qualifier("userDao")
    private UserDao userDao;

    @Pointcut("execution(* com.magicwolf.UserService.message(..))")
    public void messagePointcut() {}

    @Around("messagePointcut()")
    public UserModel messagePointcut(ProceedingJoinPoint point) throws Throwable {
        Object[] args = point.getArgs();
        String id = (String) args[0];
        String key = userDao.getAESKeyByUserId(id);
        AESCodec.decrypt((String) args[1], key);
        // 執行
        UserModel result = (UserModel) point.proceed(args);
        // 返回值加密
        result.encrypt(key);
        // 返回結果
        return result;
    }
}

UserModel類

在UserModel中添加一個加密成員變量的方法

public void encrypt(String key){
    this.userName=AESCodec.encrypt(userName, key);
    this.email=AESCodec.encrypt(email, key);
}

WebTest-servlet.xml

更改代理方式，使用cglib代理來替換JDK代理。

<aop:aspectj-autoproxy proxy-target-class="true" />

測試

在瀏覽器中輸入http://localhost:8080/WebTest/user/message?id=123&token=0lCQPVTc8WCNP2FxocbC7Q==

返回值

此時返回值已經加密

{
userName: "U/6CJMzF1IRV/HpEjDJPEQ==",
email: "kQAV7t4611RYADmDC69odyQmES+MXv+p4OmYMC8fSoU="
}

總結

• 通過兩種方法的對比可以看到，使用切面編程，模塊間耦合程度很低，架構清晰，易于實現。
• 但是這僅僅是一個小小的測試，如果項目規模擴大，想要織入一個功能就需要經過精心的設計，從何處切入，切點如何組織都是需要考慮的。如果沒設計好，切面部位或許將成為一個重災區（認證系統里的加密切面就顯得有些凌亂，龐雜，但我也不知道該如何優化）
• 還有個小問題，攔截器里應該是可以直接對request對象進行包裝的，可是我在攔截器里進行包裝卻沒有效果，可能是此處的request對象只是一個拷貝吧。

我的博客:http://www.magicalwolf.com