如果利用AOP/Aspect来修改方法的入参

2024-03-14 18:04
文章标签 方法 修改 aop aspect

本文主要是介绍如果利用AOP/Aspect来修改方法的入参,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

问题描述:
最近项目代码过三方测试(国企项目),在一系列代码扫描审计检查下,代码发现一部分修改,例如请求参数发生了编码/加密,导致后台需要对请求的参数进行解码/解密,后端那么接口,总不能挨个,挨个的去修改。

由于之前项目中,已经用了AOP进行代码日志的记录,日志记录如下
在这里插入图片描述
原本代码的核心逻辑如下:因此想着,既然这里已经拿到请求参数了,直接在这里统一解码/加密,就不用对每个接口解码了

        MethodSignature ms = (MethodSignature) joinPoint.getSignature();methodApiOperation = ms.getMethod().getDeclaredAnnotation(ApiOperation.class);if (methodApiOperation != null) {apiOperationDes = methodApiOperation.value();}logger.info("start-->请求{}模块的[{}]服务",apiDes, apiOperationDes);logger.info("  请求地址:{}",url);logger.info("  请求方法:{}.{}", abbreviateName(joinPoint.getSignature().getDeclaringTypeName()), methodName);Object[] args = joinPoint.getArgs();for (int i = 0; i < args.length; i++) {if( !(args[i] instanceof StatHttpServletResponseWrapper)) {logger.info("  请求参数{}:{}",i+1,JsonUtils.javaBeanToString(args[i]));}}

修改思路1(利用Json格式化)(失败)

这里的请求参数是args 是Object类型,但是原始方法的请求类型肯定是各种自定的VO类
以解码html为例,我这里首先将Object[]挨个元素转成字符串,然后对整个字符串做html解码,将加码后的字符串,在创建一个新的对象赋joinPoint.getArgs的参数。结果发现修改并没有成功。

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {Object[] args = joinPoint.getArgs();for (int i = 0; i < args.length; i++) {if( !(args[i] instanceof StatHttpServletResponseWrapper)) {String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));logger.info("  解码Html请求参数{}",decode);//修改请求入参joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());}}
}

代码执行逻辑是:

  1. 切面中记录请求参数-----》原始文本
  2. 切面中修改请求参数-----》修改后的文本
  3. 实际请求的controller-----》原始文本(也就是修改没有生效)
  4. 切面中调用请求参数-----》修改后的文本
    在这里插入图片描述

修改思路2(原始对象Set值)(有效,但没意义)

思路1中,我们是重新创建一个请求入参,然后把新的请求入参赋值给原始请求入参(Json格式化返回新的对象)
思路2,我们直接在原始的对象进行set值

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {for (int i = 0; i < args.length; i++) {/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));logger.info("  解码Html请求参数{}",decode);//修改请求入参joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());}*/if( (args[i] instanceof QueryResult)) {QueryResult query = (QueryResult)args[i];//修改请求入参query.setName(StringEscapeUtils.unescapeHtml(query.getName()));}}
}

此时查看实际的请求接口,发现值真的被修改了。
在这里插入图片描述
但是这里有个问题,上诉我是通过直接指定类型,然后强转类型,接着调用原对象的set方法,这是是我已知具体类型,具体字段,这样修改,我还不如直接找到原始的接口,在原来的接口里面修改。
AOP

QueryResult query = (QueryResult)args[i];
query.setName(StringEscapeUtils.unescapeHtml(query.getName()));

实际接口

@GetMapping
@DecodeURL
public void exportNxauto(HttpServletResponse response, QueryResult queryResult) {queryResult.setName(StringEscapeUtils.unescapeHtml(queryResult.getName()));
}

修改思路3(反射)

总结下思路1,思路1不用类型转换,也不用指定属性,格式化整个Json,然后对整个Json进行中文解码,但是转Json以后,导致重新创建了一个对象。思路2里面虽然没有创建新的对象,但是需要我们强制转化为某个类型,然后调用某个方式,实际请用场景,每个接口的入参的类型都不一样,具体是那个参数需要解码,所以也不知道调用那个Set方法。

Object[] args = joinPoint.getArgs();
for (int i = 0; i < args.length; i++) {if( !(args[i] instanceof StatHttpServletResponseWrapper)) {logger.info("  请求参数{}:{}",i+1,JsonUtils.javaBeanToString(args[i]));}
}
ecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {for (int i = 0; i < args.length; i++) {/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));logger.info("  解码Html请求参数{}",decode);//修改请求入参 失败:这里创建了一个新的对象,原始对象没有修改,修改的是新的对象。joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());}*//*if( (args[i] instanceof QueryResult)) {QueryResult query = (QueryResult)args[i];//修改请求入参 修改成功,但是太过于狭义,需要知道类型和具体的属性,然后调用Set方法query.setName();}*/if( !(args[i] instanceof StatHttpServletResponseWrapper)) {Class<? extends Object> classz = args[i].getClass();//使用反射改成功for (Field field : classz.getDeclaredFields()) {if(field.getType() == String.class) {ReflectionUtils.makeAccessible(field);Object value = field.get(args[i]);if(value != null) {ReflectionUtils.setField(field, args[i], StringEscapeUtils.unescapeHtml(value.toString()));}}else if (Collection.class.isAssignableFrom(field.getType())) {// 字段是集合类型}else if (List.class.isAssignableFrom(field.getType())) {// 字段是List类型}else if (field.getType().isArray()) {// 字段是数组类型}else if (field.getType().isPrimitive()) {// 字段是基本类型}}}}
}

接下来,我们看下运行的日志,可以看到,在我们的实际controller接口中,可以看到字符串类型的已经被html进行解码。
在这里插入图片描述

这篇关于如果利用AOP/Aspect来修改方法的入参的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/809240

相关文章

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

浅谈主机加固,六种有效的主机加固方法

在数字化时代,数据的价值不言而喻,但随之而来的安全威胁也日益严峻。从勒索病毒到内部泄露,企业的数据安全面临着前所未有的挑战。为了应对这些挑战,一种全新的主机加固解决方案应运而生。 MCK主机加固解决方案,采用先进的安全容器中间件技术,构建起一套内核级的纵深立体防护体系。这一体系突破了传统安全防护的局限,即使在管理员权限被恶意利用的情况下,也能确保服务器的安全稳定运行。 普适主机加固措施:

webm怎么转换成mp4?这几种方法超多人在用!

webm怎么转换成mp4?WebM作为一种新兴的视频编码格式,近年来逐渐进入大众视野,其背后承载着诸多优势,但同时也伴随着不容忽视的局限性,首要挑战在于其兼容性边界,尽管WebM已广泛适应于众多网站与软件平台,但在特定应用环境或老旧设备上,其兼容难题依旧凸显,为用户体验带来不便,再者,WebM格式的非普适性也体现在编辑流程上,由于它并非行业内的通用标准,编辑过程中可能会遭遇格式不兼容的障碍,导致操

透彻!驯服大型语言模型(LLMs)的五种方法,及具体方法选择思路

引言 随着时间的发展,大型语言模型不再停留在演示阶段而是逐步面向生产系统的应用,随着人们期望的不断增加,目标也发生了巨大的变化。在短短的几个月的时间里,人们对大模型的认识已经从对其zero-shot能力感到惊讶,转变为考虑改进模型质量、提高模型可用性。 「大语言模型(LLMs)其实就是利用高容量的模型架构(例如Transformer)对海量的、多种多样的数据分布进行建模得到,它包含了大量的先验

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti

【VUE】跨域问题的概念,以及解决方法。

目录 1.跨域概念 2.解决方法 2.1 配置网络请求代理 2.2 使用@CrossOrigin 注解 2.3 通过配置文件实现跨域 2.4 添加 CorsWebFilter 来解决跨域问题 1.跨域概念 跨域问题是由于浏览器实施了同源策略,该策略要求请求的域名、协议和端口必须与提供资源的服务相同。如果不相同,则需要服务器显式地允许这种跨域请求。一般在springbo

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时

两个月冲刺软考——访问位与修改位的题型(淘汰哪一页);内聚的类型;关于码制的知识点;地址映射的相关内容

1.访问位与修改位的题型(淘汰哪一页) 访问位:为1时表示在内存期间被访问过,为0时表示未被访问;修改位:为1时表示该页面自从被装入内存后被修改过,为0时表示未修改过。 置换页面时,最先置换访问位和修改位为00的,其次是01(没被访问但被修改过)的,之后是10(被访问了但没被修改过),最后是11。 2.内聚的类型 功能内聚:完成一个单一功能,各个部分协同工作,缺一不可。 顺序内聚:

模版方法模式template method

学习笔记,原文链接 https://refactoringguru.cn/design-patterns/template-method 超类中定义了一个算法的框架, 允许子类在不修改结构的情况下重写算法的特定步骤。 上层接口有默认实现的方法和子类需要自己实现的方法

如何在运行时修改serialVersionUID

优质博文:IT-BLOG-CN 问题 我正在使用第三方库连接到外部系统,一切运行正常,但突然出现序列化错误 java.io.InvalidClassException: com.essbase.api.base.EssException; local class incompatible: stream classdesc serialVersionUID = 90314637791991