目录贴:跟我学Shiro目录贴

在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。注意该密钥只有客户端和服务端知道,其他第三方是不知道的。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要,一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如:

1、每次客户端申请一个Token,然后使用该Token进行加密,而该Token是一次性的,即只能用一次;有点类似于OAuth2的Token机制,但是简单些;

2、客户端每次生成一个唯一的Token,然后使用该Token加密,这样服务器端记录下这些Token,如果之前用过就认为是非法请求。

为了简单,本文直接对请求的数据(即全部请求的参数)生成消息摘要,即无法篡改数据,但是可能被别人窃取而能多次调用。解决办法如上所示。

服务器端

对于服务器端,不生成会话,而是每次请求时带上用户身份进行认证。

服务控制器

  1. @RestController
  2. public class ServiceController {
  3. @RequestMapping("/hello")
  4. public String hello1(String[] param1, String param2) {
  5. return "hello" + param1[0] + param1[1] + param2;
  6. }
  7. }

当访问/hello服务时,需要传入param1、param2两个请求参数。

加密工具类

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils:

  1. //使用指定的密码对内容生成消息摘要(散列值)
  2. public static String digest(String key, String content);
  3. //使用指定的密码对整个Map的内容生成消息摘要(散列值)
  4. public static String digest(String key, Map<String, ?> map)

对Map生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。

Subject工厂

  1. public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
  2. public Subject createSubject(SubjectContext context) {
  3. //不创建session
  4. context.setSessionCreationEnabled(false);
  5. return super.createSubject(context);
  6. }
  7. }

通过调用context.setSessionCreationEnabled(false)表示不创建会话;如果之后调用Subject.getSession()将抛出DisabledSessionException异常。

StatelessAuthcFilter

类似于FormAuthenticationFilter,但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。

  1. public class StatelessAuthcFilter extends AccessControlFilter {
  2. protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
  3. return false;
  4. }
  5. protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
  6. //1、客户端生成的消息摘要
  7. String clientDigest = request.getParameter(Constants.PARAM_DIGEST);
  8. //2、客户端传入的用户身份
  9. String username = request.getParameter(Constants.PARAM_USERNAME);
  10. //3、客户端请求的参数列表
  11. Map<String, String[]> params =
  12. new HashMap<String, String[]>(request.getParameterMap());
  13. params.remove(Constants.PARAM_DIGEST);
  14. //4、生成无状态Token
  15. StatelessToken token = new StatelessToken(username, params, clientDigest);
  16. try {
  17. //5、委托给Realm进行登录
  18. getSubject(request, response).login(token);
  19. } catch (Exception e) {
  20. e.printStackTrace();
  21. onLoginFail(response); //6、登录失败
  22. return false;
  23. }
  24. return true;
  25. }
  26. //登录失败时默认返回401状态码
  27. private void onLoginFail(ServletResponse response) throws IOException {
  28. HttpServletResponse httpResponse = (HttpServletResponse) response;
  29. httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
  30. httpResponse.getWriter().write("login error");
  31. }
  32. }

获取客户端传入的用户名、请求参数、消息摘要,生成StatelessToken;然后交给相应的Realm进行认证。

StatelessToken 

  1. public class StatelessToken implements AuthenticationToken {
  2. private String username;
  3. private Map<String, ?> params;
  4. private String clientDigest;
  5. //省略部分代码
  6. public Object getPrincipal() {  return username;}
  7. public Object getCredentials() {  return clientDigest;}
  8. }

用户身份即用户名;凭证即客户端传入的消息摘要。

StatelessRealm

用于认证的Realm。

  1. public class StatelessRealm extends AuthorizingRealm {
  2. public boolean supports(AuthenticationToken token) {
  3. //仅支持StatelessToken类型的Token
  4. return token instanceof StatelessToken;
  5. }
  6. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  7. //根据用户名查找角色,请根据需求实现
  8. String username = (String) principals.getPrimaryPrincipal();
  9. SimpleAuthorizationInfo authorizationInfo =  new SimpleAuthorizationInfo();
  10. authorizationInfo.addRole("admin");
  11. return authorizationInfo;
  12. }
  13. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
  14. StatelessToken statelessToken = (StatelessToken) token;
  15. String username = statelessToken.getUsername();
  16. String key = getKey(username);//根据用户名获取密钥(和客户端的一样)
  17. //在服务器端生成客户端参数消息摘要
  18. String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());
  19. //然后进行客户端消息摘要和服务器端消息摘要的匹配
  20. return new SimpleAuthenticationInfo(
  21. username,
  22. serverDigest,
  23. getName());
  24. }
  25. private String getKey(String username) {//得到密钥,此处硬编码一个
  26. if("admin".equals(username)) {
  27. return "dadadswdewq2ewdwqdwadsadasd";
  28. }
  29. return null;
  30. }
  31. }

此处首先根据客户端传入的用户名获取相应的密钥,然后使用密钥对请求参数生成服务器端的消息摘要;然后与客户端的消息摘要进行匹配;如果匹配说明是合法客户端传入的;否则是非法的。这种方式是有漏洞的,一旦别人获取到该请求,可以重复请求;可以考虑之前介绍的解决方案。

Spring配置——spring-config-shiro.xml

  1. <!-- Realm实现 -->
  2. <bean id="statelessRealm"
  3. class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm">
  4. <property name="cachingEnabled" value="false"/>
  5. </bean>
  6. <!-- Subject工厂 -->
  7. <bean id="subjectFactory"
  8. class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/>
  9. <!-- 会话管理器 -->
  10. <bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
  11. <property name="sessionValidationSchedulerEnabled" value="false"/>
  12. </bean>
  13. <!-- 安全管理器 -->
  14. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
  15. <property name="realm" ref="statelessRealm"/>
  16. <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"
  17. value="false"/>
  18. <property name="subjectFactory" ref="subjectFactory"/>
  19. <property name="sessionManager" ref="sessionManager"/>
  20. </bean>
  21. <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
  22. <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
  23. <property name="staticMethod"
  24. value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
  25. <property name="arguments" ref="securityManager"/>
  26. </bean>

sessionManager通过sessionValidationSchedulerEnabled禁用掉会话调度器,因为我们禁用掉了会话,所以没必要再定期过期会话了。

  1. <bean id="statelessAuthcFilter"
  2. class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/>

每次请求进行认证的拦截器。

  1. <!-- Shiro的Web过滤器 -->
  2. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  3. <property name="securityManager" ref="securityManager"/>
  4. <property name="filters">
  5. <util:map>
  6. <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
  7. </util:map>
  8. </property>
  9. <property name="filterChainDefinitions">
  10. <value>
  11. /**=statelessAuthc
  12. </value>
  13. </property>
  14. </bean>

所有请求都将走statelessAuthc拦截器进行认证。

其他配置请参考源代码。

SpringMVC学习请参考:

5分钟构建spring web mvc REST风格HelloWorld

http://jinnianshilongnian.iteye.com/blog/1996071

跟我学SpringMVC

http://www.iteye.com/blogs/subjects/kaitao-springmvc

客户端

此处使用SpringMVC提供的RestTemplate进行测试。请参考如下文章进行学习:

Spring MVC测试框架详解——客户端测试

http://jinnianshilongnian.iteye.com/blog/2007180

Spring MVC测试框架详解——服务端测试

http://jinnianshilongnian.iteye.com/blog/2004660

此处为了方便,使用内嵌jetty服务器启动服务端:

  1. public class ClientTest {
  2. private static Server server;
  3. private RestTemplate restTemplate = new RestTemplate();
  4. @BeforeClass
  5. public static void beforeClass() throws Exception {
  6. //创建一个server
  7. server = new Server(8080);
  8. WebAppContext context = new WebAppContext();
  9. String webapp = "shiro-example-chapter20/src/main/webapp";
  10. context.setDescriptor(webapp + "/WEB-INF/web.xml");  //指定web.xml配置文件
  11. context.setResourceBase(webapp);  //指定webapp目录
  12. context.setContextPath("/");
  13. context.setParentLoaderPriority(true);
  14. server.setHandler(context);
  15. server.start();
  16. }
  17. @AfterClass
  18. public static void afterClass() throws Exception {
  19. server.stop(); //当测试结束时停止服务器
  20. }
  21. }

在整个测试开始之前开启服务器,整个测试结束时关闭服务器。

测试成功情况 

  1. @Test
  2. public void testServiceHelloSuccess() {
  3. String username = "admin";
  4. String param11 = "param11";
  5. String param12 = "param12";
  6. String param2 = "param2";
  7. String key = "dadadswdewq2ewdwqdwadsadasd";
  8. MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
  9. params.add(Constants.PARAM_USERNAME, username);
  10. params.add("param1", param11);
  11. params.add("param1", param12);
  12. params.add("param2", param2);
  13. params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
  14. String url = UriComponentsBuilder
  15. .fromHttpUrl("http://localhost:8080/hello")
  16. .queryParams(params).build().toUriString();
  17. ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
  18. Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody());
  19. }

对请求参数生成消息摘要后带到参数中传递给服务器端,服务器端验证通过后访问相应服务,然后返回数据。

测试失败情况 

  1. @Test
  2. public void testServiceHelloFail() {
  3. String username = "admin";
  4. String param11 = "param11";
  5. String param12 = "param12";
  6. String param2 = "param2";
  7. String key = "dadadswdewq2ewdwqdwadsadasd";
  8. MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
  9. params.add(Constants.PARAM_USERNAME, username);
  10. params.add("param1", param11);
  11. params.add("param1", param12);
  12. params.add("param2", param2);
  13. params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
  14. params.set("param2", param2 + "1");
  15. String url = UriComponentsBuilder
  16. .fromHttpUrl("http://localhost:8080/hello")
  17. .queryParams(params).build().toUriString();
  18. try {
  19. ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
  20. } catch (HttpClientErrorException e) {
  21. Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode());
  22. Assert.assertEquals("login error", e.getResponseBodyAsString());
  23. }
  24. }

在生成请求参数消息摘要后,篡改了参数内容,服务器端接收后进行重新生成消息摘要发现不一样,报401错误状态码。

到此,整个测试完成了,需要注意的是,为了安全性,请考虑本文开始介绍的相应解决方案。

SpringMVC相关知识请参考

5分钟构建spring web mvc REST风格HelloWorld

http://jinnianshilongnian.iteye.com/blog/1996071

跟我学SpringMVC

http://www.iteye.com/blogs/subjects/kaitao-springmvc

Spring MVC测试框架详解——客户端测试

http://jinnianshilongnian.iteye.com/blog/2007180

Spring MVC测试框架详解——服务端测试

http://jinnianshilongnian.iteye.com/blog/2004660

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群 231889722 探讨Spring/Shiro技术。

第二十章 无状态Web应用集成——《跟我学Shiro》的更多相关文章

  1. Shiro学习(20)无状态Web应用集成

    在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录.如一些REST风格的API,如果不使用OAuth2协议, ...

  2. 无状态Web应用集成——《跟我学Shiro》

    http://www.tuicool.com/articles/iu2qEf 在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上 ...

  3. 跟我学Shiro---无状态 Web 应用集成

    无状态 Web 应用集成 在一些环境中,可能需要把 Web 应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录.如一些 REST 风格的 ...

  4. 第二十三章 多项目集中权限管理及分布式会话——《跟我学Shiro》

    二十三章 多项目集中权限管理及分布式会话——<跟我学Shiro> 博客分类: 跟我学Shiro 跟我学Shiro  目录贴:跟我学Shiro目录贴 在做一些企业内部项目时或一些互联网后台时 ...

  5. 无状态的web应用(单个py文件的Django占位图片服务器)

    本文为作者原创,转载请注明出处(http://www.cnblogs.com/mar-q/)by 负赑屃 阅读本文建议了解Django框架的基本工作流程,了解WSGI应用,如果对以上不是很清楚,建议结 ...

  6. (二)无状态的web应用(单py的Django占位图片服务器)

    本文为作者原创,转载请注明出处(http://www.cnblogs.com/mar-q/)by 负赑屃 阅读本文建议了解Django框架的基本工作流程,了解WSGI应用,如果对以上不是很清楚,建议结 ...

  7. ServiceFabric极简文档-5.0 Service Fabric有状态与无状态

    Service Fabric 应用程序方案 2017/08/14 作者 Edward Chen Jack Zeng Azure Service Fabric提供了一个可靠而灵活的平台,可用于编写和运行 ...

  8. EJB开发第二期---开发具有本地接口的无状态Bean

    一.EJB中的bean 1.1 EJB中bean分类 会话bean(session bean) 负责与客户端交互,是编写业务逻辑的地方,在会话bean中可以通过jdbc直接操作数据库,但大多数情况下都 ...

  9. 【SpringSecurity系列3】基于Spring Webflux集成SpringSecurity实现前后端分离无状态Rest API的权限控制

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/02-springsecurity-state ...

随机推荐

  1. AfxBeginThread深入解析

    看过<深入浅出MFC>书中,j.j.hou提到在创建新的线程时,最好不要直接使用CreateThread,虽然AfxBeginThread也是对CreateThread的封装,但是AfxB ...

  2. 三十一.MySQL存储引擎 、 数据导入导出 管理表记录 匹配条件

    1.MySQL存储引擎的配置 查看服务支持的存储引擎 查看默认存储类型 更改表的存储引擎 设置数据库服务默认使用的存储引擎 1.1 查看存储引擎信息 mysql> SHOW ENGINES\G ...

  3. learning scala stream collection

    最关键的部分是计算序列的同时,不会引发无限递归, #:: 表达式的右边只有在被请求时才会被求值.

  4. P1021 邮票面值设计——搜索+完全背包

    P1021 邮票面值设计 题目意思是你最多用n张邮票,你可以自己设定k种邮票的面值,每种邮票数量无穷,你最多能用这k种邮票在不超过n张的情况下,组合成的价值要求是从1开始连续的, 求最大能连续到多少: ...

  5. 对C#中事件的简单理解

    对于C#中的事件,我举了个简单的例子来理解事件及其处理. 这个例子中母亲是事件的发布者,事件是吃饭了.儿子和父亲是事件的订阅者,各自的Eat方法是处理事件的方法. 下面是详细的加注的例子: using ...

  6. filter方法求出列表所有奇数并构造新列

    a = [, , , , , , , , , ] b = filter(lambda x: x % != , a) for i in b: print(i)

  7. python3编程基础之一:量的表示

    计算机的操作最终表现是数据的操纵,为了表示和存储数据,都需要对数据进行引用,计算机可以直接从内存地址实现一步访问数据,但是编程的人却没有这种能力.就像人可能够不到在高处的氢气球,但是可以拉动邦在氢气球 ...

  8. 【2018.07.29】(深度优先搜索/回溯)学习DFS算法小记

    参考网站:https://blog.csdn.net/ldx19980108/article/details/76324307 这个网站里有动态图给我们体现BFS和DFS的区别:https://www ...

  9. 浅谈JSONP 的本质工作原理

    json 是一种数据格式jsonp 是一种数据调用的方式. 你可以简单的理解为 带callback的json就是jsonp 话说我们访问一个页面的时候 需要像另一个网站获取部分信息, 这就是所谓的跨域 ...

  10. 《Glibc内存管理》笔记DAY2

    目录 Ptmalloc内存管理设计 Main_arena 与 non_main_arena chunk 的组织 空闲 chunk 容器 sbrk 与 mmap 内存分配概述 内存回收概述 边界标记法 ...