我有一个spring REST控制器,它返回以下JSON有效负载:
@RequestMapping(value = "example")
public Iterable<Souvenir> souvenirs(@PathVariable("user") String user) {
return new souvenirRepository.findByUserUsernameOrderById(user);
}
REST控制器及其相应的get请求方法:
@Entity
@Data
public class Souvenir {
@Id
@GeneratedValue
private long id;
private String title;
private Date date;
}
现在Souvenir类是一个pojo:
@RequestMapping(value = "example")
public SouvenirWrapper souvenirs(@PathVariable("user") String user) {
return new SouvenirWrapper(souvenirRepository.findByUserUsernameOrderById(user));
}
@Data
class SouvenirWrapper {
private final List<Souvenir> souvenirs;
public SouvenirWrapper(List<Souvenir> souvenirs) {
this.souvenirs = souvenirs;
}
}
关于https://www.owasp.org/index.php/OWASP_AJAX_Security_Guidelines#Always_return_JSON_with_an_Object_on_the_outside和http://haacked.com/archive/2009/06/25/json-hijacking.aspx/我想将响应包装在一个对象中,这样它就不容易受到攻击。当然,我可以这样做:
{
"souvenirs": [
{
"id": 5920,
"title": "a title"
},
{
"id": 5926,
"title": "another title",
}
]
}
这会产生以下JSON有效负载:
{{1}}
这有助于防止一些JSON / Javascript攻击,但我不喜欢Wrapper类的冗长。我当然可以用泛型来概括上述方法。是否有另一种方法可以在Spring生态系统中实现相同的结果(带注释或类似的东西)?一个想法是,行为是由Spring自动完成的,所以每当有一个REST控制器返回一个对象列表时,它就可以将这些对象包装在一个对象包装器中,这样就不会有任何直接的对象列表被序列化了吗?
答案 0 :(得分:1)
我最终得到了以下解决方案(感谢@ vadim-kirilchuk):
我的控制器看起来仍然像以前一样:
@RequestMapping(value = "example")
public Iterable<Souvenir> souvenirs(@PathVariable("user") String user) {
return new souvenirRepository.findByUserUsernameOrderById(user);
}
我添加了ResponseBodyAdvice
的以下实现,当引用包中的控制器尝试响应客户端调用时(基于我的理解),它基本上被执行:
@ControllerAdvice(basePackages = "package.where.all.my.controllers.are")
public class JSONResponseWrapper implements ResponseBodyAdvice {
@Override
public boolean supports(MethodParameter returnType, Class converterType) {
return true;
}
@Override
@SuppressWarnings("unchecked")
public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
if (body instanceof List) {
return new Wrapper<>((List<Object>) body);
}
return body;
}
@Data // just the lombok annotation which provides getter and setter
private class Wrapper<T> {
private final List<T> list;
public Wrapper(List<T> list) {
this.list = list;
}
}
}
因此,通过这种方法,我可以在控制器中保留现有的方法签名(public Iterable<Souvenir> souvenirs(@PathVariable("user") String user)
),未来的控制器不必担心将其Iterables包装在这样的包装器中,因为框架完成了这部分工作
答案 1 :(得分:-1)
@RequestBody就是你想要的。然后你会用字段&#34; id&#34;制作一个POJO。和&#34; title&#34;,它会自动将有效负载JSON解析为您的POJO。非常容易使用,你只需将它放在控制器的方法参数中,类似于@PathVariable的使用方式。