如何从Spring REST存储库中包装JSON响应?

时间:2016-10-29 20:18:43

标签: java json spring rest spring-restcontroller

我有一个spring REST控制器,它返回以下JSON有效负载:

@RequestMapping(value = "example")
public Iterable<Souvenir> souvenirs(@PathVariable("user") String user) {
    return new souvenirRepository.findByUserUsernameOrderById(user);
}

REST控制器及其相应的get请求方法:

@Entity
@Data
public class Souvenir {

    @Id
    @GeneratedValue
    private long id;

    private String title;

    private Date date;
}

现在Souvenir类是一个pojo:

@RequestMapping(value = "example")
public SouvenirWrapper souvenirs(@PathVariable("user") String user) {
    return new SouvenirWrapper(souvenirRepository.findByUserUsernameOrderById(user));
}

@Data
class SouvenirWrapper {
  private final List<Souvenir> souvenirs;

  public SouvenirWrapper(List<Souvenir> souvenirs) {
    this.souvenirs = souvenirs;
  }
}

关于https://www.owasp.org/index.php/OWASP_AJAX_Security_Guidelines#Always_return_JSON_with_an_Object_on_the_outsidehttp://haacked.com/archive/2009/06/25/json-hijacking.aspx/我想将响应包装在一个对象中,这样它就不容易受到攻击。当然,我可以这样做:

   {
     "souvenirs": [
        {
          "id": 5920,
          "title": "a title"
        },
        {
          "id": 5926,
          "title": "another title",
        }
    ]
  }

这会产生以下JSON有效负载:

{{1}}

这有助于防止一些JSON / Javascript攻击,但我不喜欢Wrapper类的冗长。我当然可以用泛型来概括上述方法。是否有另一种方法可以在Spring生态系统中实现相同的结果(带注释或类似的东西)?一个想法是,行为是由Spring自动完成的,所以每当有一个REST控制器返回一个对象列表时,它就可以将这些对象包装在一个对象包装器中,这样就不会有任何直接的对象列表被序列化了吗?

2 个答案:

答案 0 :(得分:1)

我最终得到了以下解决方案(感谢@ vadim-kirilchuk):

我的控制器看起来仍然像以前一样:

@RequestMapping(value = "example")
public Iterable<Souvenir> souvenirs(@PathVariable("user") String user) {
    return new souvenirRepository.findByUserUsernameOrderById(user);
}

我添加了ResponseBodyAdvice的以下实现,当引用包中的控制器尝试响应客户端调用时(基于我的理解),它基本上被执行:

@ControllerAdvice(basePackages = "package.where.all.my.controllers.are")
public class JSONResponseWrapper implements ResponseBodyAdvice {
    @Override
    public boolean supports(MethodParameter returnType, Class converterType) {
        return true;
    }

    @Override
    @SuppressWarnings("unchecked")
    public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
        if (body instanceof List) {
            return new Wrapper<>((List<Object>) body);
        }
        return body;
    }

    @Data // just the lombok annotation which provides getter and setter
    private class Wrapper<T> {
        private final List<T> list;

        public Wrapper(List<T> list) {
            this.list = list;
        }
    }
}

因此,通过这种方法,我可以在控制器中保留现有的方法签名(public Iterable<Souvenir> souvenirs(@PathVariable("user") String user)),未来的控制器不必担心将其Iterables包装在这样的包装器中,因为框架完成了这部分工作

答案 1 :(得分:-1)

@RequestBody就是你想要的。然后你会用字段&#34; id&#34;制作一个POJO。和&#34; title&#34;,它会自动将有效负载JSON解析为您的POJO。非常容易使用,你只需将它放在控制器的方法参数中,类似于@PathVariable的使用方式。

相关问题
最新问题