问题描述：
最近项目代码过三方测试（国企项目），在一系列代码扫描审计检查下，代码发现一部分修改，例如请求参数发生了编码/加密，导致后台需要对请求的参数进行解码/解密，后端那么接口，总不能挨个，挨个的去修改。

由于之前项目中，已经用了AOP进行代码日志的记录，日志记录如下

原本代码的核心逻辑如下：因此想着，既然这里已经拿到请求参数了，直接在这里统一解码/加密，就不用对每个接口解码了

        MethodSignature ms = (MethodSignature) joinPoint.getSignature();
        methodApiOperation = ms.getMethod().getDeclaredAnnotation(ApiOperation.class);
        if (methodApiOperation != null) {
        	apiOperationDes = methodApiOperation.value();
        }
        logger.info("start-->请求{}模块的[{}]服务",apiDes, apiOperationDes);
        logger.info("  请求地址：{}",url);
        logger.info("  请求方法：{}.{}", abbreviateName(joinPoint.getSignature().getDeclaringTypeName()), methodName);
        Object[] args = joinPoint.getArgs();
        for (int i = 0; i < args.length; i++) {
        	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
        		logger.info("  请求参数{}：{}",i+1,JsonUtils.javaBeanToString(args[i]));
        	}
        }

修改思路1（利用Json格式化）(失败)

这里的请求参数是args 是Object类型，但是原始方法的请求类型肯定是各种自定的VO类
以解码html为例，我这里首先将Object[]挨个元素转成字符串，然后对整个字符串做html解码，将加码后的字符串，在创建一个新的对象赋joinPoint.getArgs的参数。结果发现修改并没有成功。

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	Object[] args = joinPoint.getArgs();
	for (int i = 0; i < args.length; i++) {
	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
		String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
		logger.info("  解码Html请求参数{}",decode);
		//修改请求入参
		joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
		}
	}
}

代码执行逻辑是：

1. 切面中记录请求参数-----》原始文本
2. 切面中修改请求参数-----》修改后的文本
3. 实际请求的controller-----》原始文本(也就是修改没有生效)
4. 切面中调用请求参数-----》修改后的文本
   

修改思路2（原始对象Set值）(有效，但没意义)

思路1中，我们是重新创建一个请求入参，然后把新的请求入参赋值给原始请求入参（Json格式化返回新的对象）
思路2，我们直接在原始的对象进行set值

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	for (int i = 0; i < args.length; i++) {
	/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
		String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
		logger.info("  解码Html请求参数{}",decode);
		//修改请求入参
		joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
	}*/
		if( (args[i] instanceof QueryResult)) {
			QueryResult query = (QueryResult)args[i];
			//修改请求入参
			query.setName(StringEscapeUtils.unescapeHtml(query.getName()));
		}
	}
}

此时查看实际的请求接口，发现值真的被修改了。

但是这里有个问题，上诉我是通过直接指定类型，然后强转类型，接着调用原对象的set方法，这是是我已知具体类型，具体字段，这样修改，我还不如直接找到原始的接口，在原来的接口里面修改。
AOP

QueryResult query = (QueryResult)args[i];
query.setName(StringEscapeUtils.unescapeHtml(query.getName()));

实际接口

@GetMapping
@DecodeURL
public void exportNxauto(HttpServletResponse response, QueryResult queryResult) {
	queryResult.setName(StringEscapeUtils.unescapeHtml(queryResult.getName()));
}

修改思路3（反射）

总结下思路1，思路1不用类型转换，也不用指定属性，格式化整个Json，然后对整个Json进行中文解码，但是转Json以后，导致重新创建了一个对象。思路2里面虽然没有创建新的对象，但是需要我们强制转化为某个类型，然后调用某个方式，实际请用场景，每个接口的入参的类型都不一样，具体是那个参数需要解码，所以也不知道调用那个Set方法。

Object[] args = joinPoint.getArgs();
for (int i = 0; i < args.length; i++) {
	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
    	logger.info("  请求参数{}：{}",i+1,JsonUtils.javaBeanToString(args[i]));
    }
}
ecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	for (int i = 0; i < args.length; i++) {
		/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
			String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
			logger.info("  解码Html请求参数{}",decode);
			//修改请求入参 失败：这里创建了一个新的对象，原始对象没有修改，修改的是新的对象。
			joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
		}*/
		/*if( (args[i] instanceof QueryResult)) {
			QueryResult query = (QueryResult)args[i];
			//修改请求入参 修改成功，但是太过于狭义，需要知道类型和具体的属性，然后调用Set方法
			query.setName();
		}*/
		if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
			Class<? extends Object> classz = args[i].getClass();
			//使用反射改成功
			for (Field field : classz.getDeclaredFields()) {
				if(field.getType() == String.class) {
					ReflectionUtils.makeAccessible(field);
					Object value = field.get(args[i]);
					if(value != null) {
						ReflectionUtils.setField(field, args[i], StringEscapeUtils.unescapeHtml(value.toString()));
					}
				}else if (Collection.class.isAssignableFrom(field.getType())) {
				    // 字段是集合类型
				}else if (List.class.isAssignableFrom(field.getType())) {
				    // 字段是List类型
				}else if (field.getType().isArray()) {
				    // 字段是数组类型
				}else if (field.getType().isPrimitive()) {
				    // 字段是基本类型
				}
			}
		}
	}
}

接下来，我们看下运行的日志，可以看到，在我们的实际controller接口中，可以看到字符串类型的已经被html进行解码。