安全框架shiro入门示例

最新推荐文章于 2022-09-20 20:01:41 发布
最新推荐文章于 2022-09-20 20:01:41 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Java技术 文章标签: 框架 安全 shiro 支付 网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pony_maggie/article/details/73743483
版权

最近做了一个简单的线上支付网关。就是接收客户端发起的支付请求,然后转发给第三方的支付通道处理。这个网关是公司内部使用的,接口都是自定义的。为了防止外部攻击,我用shiro做了一个简易的授权机制。

基本原理

原理也很简单,客户端的请求报文如下(考虑到保密性,做了部分删减):

http://localhost:8080/paygateway/core/pay?amount=2&seq=12345678&username=admin&hmac=c85d26f8747da774447de3ef51e715773c8f077fc9f062972862956fefaa7a05

seq是流水号,每笔订单都不一样。username是固定admin,我用它来辨识身份。HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。

这里密钥是通过username去从数据库获取(相当于不同的username用不同的密钥),消息就是流水号,因为每笔交易都不同,所以hmac值也是每次请求都不一样。除非外部攻击者知道我的密钥,否则不可能伪造支付请求。

源码分析

首先是要重写subject工厂的创建方法,因为我希望创建的是不保存session(无状态)的subject

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory{

    private static Logger logger = LoggerFactory.getLogger(StatelessDefaultSubjectFactory.class);

    @Override
    public Subject createSubject(SubjectContext context) {

        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }

}

然后是重写认证过滤器。

public class StatelessAuthcFilter extends AccessControlFilter{

    private static Logger logger = LoggerFactory.getLogger(StatelessAuthcFilter.class);

    @Override
    protected boolean isAccessAllowed(ServletRequest arg0, ServletResponse arg1, Object arg2) throws Exception {

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {


         //1、客户端生成的消息摘要
        String clientDigest = request.getParameter("hmac");

        logger.debug("clientDigest:"+clientDigest);

        //2、客户端传入的用户身份
        String username = request.getParameter("username");
        logger.debug("username:"+username);

        //订单流水
        String seq = request.getParameter("seq");
        logger.debug("seq:"+seq);

        //4、生成无状态Token
        StatelessToken token = new StatelessToken(username, seq, clientDigest);

        try {
            //5、委托给Realm进行登录
            logger.debug("try login");
            getSubject(request, response).login(token);
        } catch (Exception e) {
            e.printStackTrace();
            logger.error(e.getMessage());
            onLoginFail(response); //6、登录失败
            return false;
        }
        return true;
    }

    //登录失败时默认返回401状态码
    private void onLoginFail(ServletResponse response) throws IOException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType("text/html;charset=utf-8");
        String errmsg = "{\"err\":\"005\", \"msg\":\"没有权限\"}";
        httpResponse.getWriter().write(errmsg);
    }

}

AccessControlFilter是shiro-web模块当中比较重要的类,所有的拦截器都继承此类。它提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理。

isAccessAllowed方法表示是否允许访问,如果允许访问返回true,否则false;

onAccessDenied方法表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。

在onAccessDenied方法里,我获取客户端传递的用户名,流水号以及摘要字段,并用这些字段生成一个token用于验证(login)。流程如下:

  1. 首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

  2. SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

  3. Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。

所以下面就是自定义realm了,

public class StatelessRealm extends AuthorizingRealm{

    private static Logger logger = LoggerFactory.getLogger(StatelessRealm.class);

    //判断此Realm是否支持此Token 
    @Override
    public boolean supports(AuthenticationToken token) {

        //仅支持StatelessToken类型的Token
        return token instanceof StatelessToken;
    }


    //Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        logger.debug("doGetAuthenticationInfo");

        StatelessToken statelessToken = (StatelessToken) token; 
        String username = statelessToken.getUsername();
        logger.debug("username:"+username);

        String key = getKey(username);//根据用户名获取密钥(和客户端的一样)
        //在服务器端生成客户端参数消息摘要
        String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getSeq());

        //然后进行客户端消息摘要和服务器端消息摘要的匹配
        return new SimpleAuthenticationInfo(
                username,
                serverDigest,
                getName());
    }

    private String getKey(String username) {//得到密钥,此处硬编码一个
        if("admin".equals(username)) {
            return "aaaaaa22222222333333";
        }
        return null;
    }

}

AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm。Shiro从从Realm获取安全数据,然后和客户端传递的进行比较验证用户身份的合法性。

简单起见,我写了一个固定密钥,没有从数据库中取,不过原理是一样的。

最后是StatelessToken的实现, 

public class StatelessToken implements AuthenticationToken{

    /**
     * 
     */
    private static final long serialVersionUID = 1L;

    private static Logger logger = LoggerFactory.getLogger(StatelessToken.class);

    private String username;
    private String seq; //流水号
    private String clientDigest;

    public StatelessToken(String username,  String seq, String clientDigest) {

        logger.debug("StatelessToken");
        this.username = username;
        this.seq = seq;
        this.clientDigest = clientDigest;
    }

    public String getSeq() {
        return seq;
    }

    public void setSeq(String seq) {
        this.seq = seq;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getClientDigest() {
        return clientDigest;
    }

    public void setClientDigest(String clientDigest) {
        this.clientDigest = clientDigest;
    }

    @Override
    public Object getCredentials() {
        return clientDigest;
    }

    @Override
    public Object getPrincipal() {
        return username;
    }

}

shiro的配置文件如下,都加了注释说明,不多讲了。


<!--statelessReealm-->
    <bean id="statelessRealm" class="com.inn.pay.shiro.StatelessRealm">

    </bean>

    <!-- Subject工厂 -->  
    <bean id="subjectFactory" class="com.inn.pay.shiro.StatelessDefaultSubjectFactory"/>  

    <!-- 会话管理器 -->  
    <bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">  
        <property name="sessionValidationSchedulerEnabled" value="false"/>  
    </bean>

    <!--配置securityManager-->
    <!-- Shiro安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="statelessRealm"/>
        <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"  value="false"/>  
        <property name="subjectFactory" ref="subjectFactory"/>  
        <property name="sessionManager" ref="sessionManager"/> 
    </bean>

    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->  
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">  
        <property name="staticMethod"
          value="org.apache.shiro.SecurityUtils.setSecurityManager"/>  
        <property name="arguments" ref="securityManager"/>  
    </bean>

    <!--statelessFilter-->
    <bean id="statelessAuthcFilter" class="com.inn.pay.shiro.StatelessAuthcFilter"/>

    <!--配置shiroFilter-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 --> 
        <property name="securityManager" ref="securityManager"/>
        <property name="filters">
            <util:map>
                <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
            </util:map>
        </property>
        <!--过滤链定义-->
        <property name="filterChainDefinitions">
            <value>
                /core/getNotify=anon
                /core/**=statelessAuthc
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

有一处特殊强调下:

<property name="filterChainDefinitions">
            <value>
                /core/getNotify=anon
                /core/**=statelessAuthc
            </value>
</property>

filterChainDefinitions的配置顺序为自上而下,以最上面的为准, 如果你写成这样:

<property name="filterChainDefinitions">
            <value>
                /core/**=statelessAuthc
                /core/getNotify=anon
            </value>
</property>

效果是完全不同的。可以自己试试。

参考

E等于MC平方
关注
专栏目录
Shiro安全框架入门与案例
weixin_47081743的博客
07-29 213
1.Shiro安全框架简介 1.1 Shiro 概述 Shiro是apache旗下一个开源安全框架(http://shiro.apache.org/),它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等功能,组成了一个通用的安全认证框架,使用shiro就可以非常快速的完成认证,授权等功能的开发,降低系统成本. 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程图如下: 1.2 Shiro 概要架构 在概念层面,Shiro架构包含三个主要的理念,如图: 其中
Shiro安全框架【快速入门】及上手应用
qq_52252193的博客
05-09 358
目录 Shiro 简介 为什么是 Shiro? Apache Shiro Features 特性 High-Level Overview 高级概述 Shiro 认证过程 Shiro 授权过程 自定义 Realm Shiro 加密 加盐 + 多次加密 SpringBoot 简单实例 第一步:新建SpringBoot项目,搭建基础环境 第二步:新建实体类 第三步:配置 Shiro 第四步:准备 DAO 层和 Service 层 第五步:controller层 第六步:准备页面..
Shiro快速入门入门案例
Zbr_Cheer的博客
01-24 386
Shiro入门案例 一、需求 使用纯Maven项目完成Shiro入门案例,注意不是使用SpringBoot项目 入门案例需求为:使用Shiro进行认证、授权、加密以及使用自定义的realm来完成认证过程的功能 不涉及数据库,使用Shiro规定ini文件进行用户信息、角色、访问权限的配置 二、创建项目 创建一个Maven的jar类型项目 具体的代码实现如下: 三、添加依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="ht
Shiro安全框架快速入门详解
qq_48448951的博客
11-26 540
超详细保姆级教学,手把手教你10分钟入门shiro安全框架
shiro-安全框架入门基础学习
最新发布
Jerry‘s word
09-20 1284
Apache Shiro是Java 的一个安全框架Shiro可以非常容易的开发出足够好的应用,其不仅可以用在]avaSE环境,也可以用在]avaEE环境。Shiro可以帮助我们完成:认证【登陆】、授权【权限】、加密【密码】、会话管理、与Web集成、缓存等。}
Shiro web 的第一个入门级别案例
weixin_42785995的博客
09-11 5861
最近在学习shiro安全框架,写了一个简单入门Shiro Web程序 简介: Apache Shiro是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。 认证、授权: 认证简单的说,就是登录的时候判断你的用户名和密码是否完全匹配,就是证明你是你。 授权,是在认证的基础之上,进行角色和权限的授予。权限决定了一个用户可以进行怎样的操作。 角色、权限: ...
最全的安全框架shiro学习视频
08-09
### 安全框架Shiro详尽学习指南 #### 一、Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理等功能,可以非常容易地开发出足够安全的应用。Shiro的目标是帮助开发者更...
初识安全框架shiro入门指南
安全框架Shiro是一个功能强大的开源Java安全框架,提供了身份验证、授权、会话管理等安全功能。它可以轻松地集成到Java应用程序中,使开发人员能够轻松添加安全控制和保护功能。 Shiro的核心设计理念是简单、灵活和...
慕课中Shiro安全框架入门代码
05-03
在这个"慕课中Shiro安全框架入门代码"中,我们可以深入理解Shiro的核心概念,并通过实际的代码示例来学习如何在项目中应用它。 首先,让我们来看看Shiro的三大核心组件: 1. **认证**:这是验证用户身份的过程。...
apache_shiro入门实例
10-27
介绍了如何用shiro来搭建开发一个权限管理系统,主要是入门的,包括了验证和授权,本文还有一个源码,在我的资源里,
某课网Shiro安全框架入门源码(自己敲的)
05-31
最近的看的一个项目用到了Shiro安全框架来认证,授权,在某课网上找到了这门课程:Shiro安全框架入门,里面的代码都是手动敲的,能够完全运行。
Shiro非常详细的实例
09-09
Shiro非常详细的实例,入门的详细资料
关于Shiro安全框架的详细教程
09-20
Shiro的教程文档,内容很丰富,初学者可以使用该文档进行系统的学习,会用Shiro的可以根据该文档对Shiro技术进行查漏补缺
Shiro安全框架入门篇(登录验证实例详解与源码)
热门推荐
小宝鸽
02-03 18万+
一、Shiro框架简单介绍Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是
Shiro安全框架(1)基础入门案例和原理
冯冬冬的博客
09-03 287
学习Shiro的时候,阅读过很多优秀的文章,比如《跟我学Shiro》系列等等。于是结合自己的实际情况,自己整理了一部分。这是第一篇文章,旨在从基础案例出发了解其原理。 一、认识Shiro 1、简介 Shiro是Apache的一个安全权限框架,比如说我们都遇到过这样一种情况,我们下载完某个软件的时候,然后登陆。突然发现我们可以使用好几种身份去登陆。比如说游客、会员身份、普通用户等。 我们使用的身份...
shiro安全框架
Yellow_Star的博客
01-28 4158
shiro安全框架 简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro整合springboot 例子 这篇文章主要实现以下这么个例子: index页面中有三个超链接,分别对应add、login、update页面,我们需要完成以下需求 进入add、update页面必须有用户登录,如果用户没有登录跳转到login页面 用户认证:登录
java安全框架-Shiro学习笔记(一)-入门小案例
绝版灬小伙的博客
06-26 4872
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。 我们先来输出一个hello word。 1、创建maven项目 2、将依赖jar包引入项目中,包括shiro和slf4j。 注意:不要忘记把log4j.properties加载到项目路径下 3、添加配置文件,shiro.ini,模拟从数据库中查询登录名称和密码 [users]:代
shiro安全框架的简单配置
u012515742的专栏
08-29 1578
参考文章:http://www.cnblogs.com/lixj/p/3403584.html                     http://www.tuicool.com/articles/AFFBre 一、导入shiro相关jar (1.2.3.jar) shiro-core shiro-web shiro-spring shiro-ehcache 二、在web.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值