?

介紹

• HttpServletRequestWrapper 實現(xiàn)了 HttpServletRequest 接口，可以讓開發(fā)人員很方便的改造發(fā)送給 Servlet 的請求.HttpServletRequest 對參數(shù)值的獲取實際調(diào)的是org.apache.catalina.connector.Request沒有提供對應(yīng)的set方法修改屬性所以不能對前端傳來的參數(shù)進(jìn)行修改，實際場所像過濾xss攻擊，取認(rèn)證token統(tǒng)一去除token前綴等需要進(jìn)行請求參數(shù)的處理，此時HttpServletRequestWrapper 就應(yīng)運而生了。
• 應(yīng)用了裝飾模式.HttpServletRequestWrapper 采用裝飾者模式對HttpServletRequest進(jìn)行包裝，我們可以通過繼承HttpServletRequestWrapper 類去重寫getParameterValues，getParameter等方法，實際還是調(diào)用HttpServletRequest的相對應(yīng)方法，但是可以對方法的結(jié)果進(jìn)行改裝。
• 一般要和 Filter 配合應(yīng)用

應(yīng)用場景

需要修改客戶端請求參數(shù)的場合，例如

• 將不支持的語言參數(shù)修改為默認(rèn)語言
• 將加密的 DeviceId 解密，并解析出其中的 imei 和 sn，同時在客戶端請求里添加這 2 個參數(shù)
  ** deviceId = hex(rc4(imei + ‘_’ + sn))

示例

就以上面所說的解密 DeviceId 為例

web.xml 配置

添加一個解析 DeviceId 的 Filter

<!-- 解析加密的 deviceId 得到 imei 和 sn --><filter><filter-name>deviceIdParseFilter</filter-name><filter-class>com.xxxxxx.DeviceIdParseFilter</filter-class><init-param><param-name>encoding</param-name><param-value>UTF-8</param-value></init-param><init-param><param-name>forceEncoding</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>deviceIdParseFilter</filter-name><url-pattern>*.do</url-pattern></filter-mapping>

Filter 代碼

public class DeviceIdParseFilter implements Filter {private static final String KEY = "xxxxxxx";private static final Logger log = Logger.getLogger(DeviceIdParseFilter.class);private static final String[] DEFAULT_RESULT = {"",""};@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {String deviceId = request.getParameter("deviceId");if (deviceId != null && deviceId.length() > 0) {String[] result = parseDeviceId(deviceId);DeviceIdParseRequest req = new DeviceIdParseRequest((HttpServletRequest) request,result[0], result[1]);chain.doFilter(req, response);} else {chain.doFilter(request, response);}}/*** * 從 deviceId 里解析出 imei 和 sn* * imei = result[0]* sn   = result[1]* * * @param deviceId* @return*/private static final String[] parseDeviceId(String deviceId) {try {String src = Rc4Util.decrypt(deviceId, KEY);if (src.indexOf('_') >= 0) {return src.split("_");}} catch (Exception e) {log.error(e, e);}return DEFAULT_RESULT;}@Overridepublic void destroy() {}}

這個 Filter 會將包含 deviceId 參數(shù)的請求進(jìn)行如下處理

• 將 deviceId 的值用 RC4 進(jìn)行解密
• 從解密出來的 deviceId 里解析出 imei 和 sn
• 將請求改造成 DeviceIdParseRequest，這就是我們的 HttpServletRequestWrapper
  而不包含 deviceId 參數(shù)的請求不做任何處理

HttpServletRequestWrapper 代碼

public class DeviceIdParseRequest extends HttpServletRequestWrapper {private String imei;private String sn;/*** @param request*/public DeviceIdParseRequest(HttpServletRequest request) {super(request);this.imei = "";this.sn = "";}/*** @param request* @param imei* @param sn*/public DeviceIdParseRequest(HttpServletRequest request, String imei, String sn) {super(request);this.imei = imei;this.sn = sn;}@Overridepublic String getParameter(String name) {if ("imei".equals(name)) {return imei;} else if ("sn".equals(name)) {return sn;} else {return super.getParameter(name);}}@Overridepublic String[] getParameterValues(String name) {if ("imei".equals(name)) {return new String[] { imei };} else if ("sn".equals(name)) {return new String[] { sn };} else {return super.getParameterValues(name);}}}

這里針對 imei 和 sn 進(jìn)行了特殊處理，返回的不是客戶端提交的參數(shù)，而是在 Filter 里通過解析 deviceId 得到的 imei 和 sn

需要注意的是

• 如果用 request.getParameter() 獲取客戶端請求參數(shù)的值，那么只需要重寫該方法就行了
• 如果用 SpringMVC 的 @RequestParam 注解來獲取請求參數(shù)的值，那么需要重寫 getParameterValues 方法：因為 SpringMVC 是用這個方法來獲取參數(shù)值的

運行結(jié)果

用于測試的 controller

這個測試類把接收到的參數(shù)直接返回

@Controller
@RequestMapping("/api/")
public class TestController {@ResponseBody@RequestMapping("test.do")public Result test(String deviceId, String imei, String sn) {Map<String, String> map = new HashMap<>();map.put("deviceId", deviceId);map.put("imei", imei);map.put("sn", sn);return new Result(map);}}

請求參數(shù)不包含 deviceId.請求 url 如下：

http://xxxxx.in.xxxxx.com/api/test.do?reqno=123456&imei=imei&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US

返回結(jié)果

{"code": "200","message": "","redirect": "","value": {"sn": "1001","imei": "imei","deviceId": null}
}

請求參數(shù)包含 deviceId。請求 url

http://xxxxxxx.com/api/test.do?reqno=123456&sn=1001&model=mx6&os=flyme6&ver=1.0.0&locale=en_US&deviceId=7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38

返回結(jié)果

{"code": "200","message": "","redirect": "","value": {"sn": "111","imei": "org.testng.annotations.Test;","deviceId": "7cfbf5cbd70bcf1c006d7d0aa77688518444497a2b45683ea41ce690e92d6d38"}
}

可以看到

• 請求參數(shù)里不存在的 imei 能獲取到值
• 請求參數(shù)里存在的 sn 值被修改了