20 无状态web应用集成

最新推荐文章于 2022-02-18 15:40:59 发布
最新推荐文章于 2022-02-18 15:40:59 发布
阅读量302 收藏
点赞数
文章标签: shiro

 

在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。注意该密钥只有客户端和服务端知道,其他第三方是不知道的。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要,一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如:

1、每次客户端申请一个Token,然后使用该Token进行加密,而该Token是一次性的,即只能用一次;有点类似于OAuth2的Token机制,但是简单些;

2、客户端每次生成一个唯一的Token,然后使用该Token加密,这样服务器端记录下这些Token,如果之前用过就认为是非法请求。

 

为了简单,本文直接对请求的数据(即全部请求的参数)生成消息摘要,即无法篡改数据,但是可能被别人窃取而能多次调用。解决办法如上所示。

  

服务器端

对于服务器端,不生成会话,而是每次请求时带上用户身份进行认证。

  

服务控制器

Java代码  收藏代码

  1. @RestController  
  2. public class ServiceController {  
  3.     @RequestMapping("/hello")  
  4.     public String hello1(String[] param1, String param2) {  
  5.         return "hello" + param1[0] + param1[1] + param2;  
  6.     }  
  7. }   

当访问/hello服务时,需要传入param1、param2两个请求参数。

 

加密工具类

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils: 

Java代码  收藏代码

  1. //使用指定的密码对内容生成消息摘要(散列值)  
  2. public static String digest(String key, String content);  
  3. //使用指定的密码对整个Map的内容生成消息摘要(散列值)  
  4. public static String digest(String key, Map<String, ?> map)   

对Map生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。

  

Subject工厂  

Java代码  收藏代码

  1. public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {  
  2.     public Subject createSubject(SubjectContext context) {  
  3.         //不创建session  
  4.         context.setSessionCreationEnabled(false);  
  5.         return super.createSubject(context);  
  6.     }  
  7. }   

通过调用context.setSessionCreationEnabled(false)表示不创建会话;如果之后调用Subject.getSession()将抛出DisabledSessionException异常。

 

StatelessAuthcFilter

类似于FormAuthenticationFilter,但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。

Java代码  收藏代码

  1. public class StatelessAuthcFilter extends AccessControlFilter {  
  2.   protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  
  3.       return false;  
  4.   }  
  5.   protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {  
  6.     //1、客户端生成的消息摘要  
  7.     String clientDigest = request.getParameter(Constants.PARAM_DIGEST);  
  8.     //2、客户端传入的用户身份  
  9. String username = request.getParameter(Constants.PARAM_USERNAME);  
  10.     //3、客户端请求的参数列表  
  11.     Map<String, String[]> params =   
  12.       new HashMap<String, String[]>(request.getParameterMap());  
  13.     params.remove(Constants.PARAM_DIGEST);  
  14.     //4、生成无状态Token  
  15.     StatelessToken token = new StatelessToken(username, params, clientDigest);  
  16.     try {  
  17.       //5、委托给Realm进行登录  
  18.       getSubject(request, response).login(token);  
  19.     } catch (Exception e) {  
  20.       e.printStackTrace();  
  21.       onLoginFail(response); //6、登录失败  
  22.       return false;  
  23.     }  
  24.     return true;  
  25.   }  
  26.   //登录失败时默认返回401状态码  
  27.   private void onLoginFail(ServletResponse response) throws IOException {  
  28.     HttpServletResponse httpResponse = (HttpServletResponse) response;  
  29.     httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);  
  30.     httpResponse.getWriter().write("login error");  
  31.   }  
  32. }  
  33.    

获取客户端传入的用户名、请求参数、消息摘要,生成StatelessToken;然后交给相应的Realm进行认证。

 

StatelessToken   

Java代码  收藏代码

  1. public class StatelessToken implements AuthenticationToken {  
  2.     private String username;  
  3.     private Map<String, ?> params;  
  4.     private String clientDigest;  
  5.     //省略部分代码  
  6.     public Object getPrincipal() {  return username;}  
  7.     public Object getCredentials() {  return clientDigest;}  
  8. }   

用户身份即用户名;凭证即客户端传入的消息摘要。

 

StatelessRealm 

用于认证的Realm。

Java代码  收藏代码

  1. public class StatelessRealm extends AuthorizingRealm {  
  2.     public boolean supports(AuthenticationToken token) {  
  3.         //仅支持StatelessToken类型的Token  
  4.         return token instanceof StatelessToken;  
  5.     }  
  6.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
  7.         //根据用户名查找角色,请根据需求实现  
  8.         String username = (String) principals.getPrimaryPrincipal();  
  9.         SimpleAuthorizationInfo authorizationInfo =  new SimpleAuthorizationInfo();  
  10.         authorizationInfo.addRole("admin");  
  11.         return authorizationInfo;  
  12.     }  
  13.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  14.         StatelessToken statelessToken = (StatelessToken) token;  
  15.         String username = statelessToken.getUsername();  
  16.         String key = getKey(username);//根据用户名获取密钥(和客户端的一样)  
  17.         //在服务器端生成客户端参数消息摘要  
  18.         String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());  
  19.         //然后进行客户端消息摘要和服务器端消息摘要的匹配  
  20.         return new SimpleAuthenticationInfo(  
  21.                 username,  
  22.                 serverDigest,  
  23.                 getName());  
  24.     }  
  25.       
  26.     private String getKey(String username) {//得到密钥,此处硬编码一个  
  27.         if("admin".equals(username)) {  
  28.             return "dadadswdewq2ewdwqdwadsadasd";  
  29.         }  
  30.         return null;  
  31.     }  
  32. }   

此处首先根据客户端传入的用户名获取相应的密钥,然后使用密钥对请求参数生成服务器端的消息摘要;然后与客户端的消息摘要进行匹配;如果匹配说明是合法客户端传入的;否则是非法的。这种方式是有漏洞的,一旦别人获取到该请求,可以重复请求;可以考虑之前介绍的解决方案。

 

Spring配置——spring-config-shiro.xml 

Java代码  收藏代码

  1. <!-- Realm实现 -->  
  2. <bean id="statelessRealm"   
  3.   class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm">  
  4.     <property name="cachingEnabled" value="false"/>  
  5. </bean>  
  6. <!-- Subject工厂 -->  
  7. <bean id="subjectFactory"   
  8.   class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/>  
  9. <!-- 会话管理器 -->  
  10. <bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">  
  11.     <property name="sessionValidationSchedulerEnabled" value="false"/>  
  12. </bean>  
  13. <!-- 安全管理器 -->  
  14. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
  15.     <property name="realm" ref="statelessRealm"/>  
  16.     <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"  
  17.       value="false"/>  
  18.     <property name="subjectFactory" ref="subjectFactory"/>  
  19.     <property name="sessionManager" ref="sessionManager"/>  
  20. </bean>  
  21. <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->  
  22. <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">  
  23.     <property name="staticMethod"   
  24.       value="org.apache.shiro.SecurityUtils.setSecurityManager"/>  
  25.     <property name="arguments" ref="securityManager"/>  
  26. </bean>   

sessionManager通过sessionValidationSchedulerEnabled禁用掉会话调度器,因为我们禁用掉了会话,所以没必要再定期过期会话了。 

 

Java代码  收藏代码

  1. <bean id="statelessAuthcFilter"   
  2.     class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/>   

每次请求进行认证的拦截器。 

 

Java代码  收藏代码

  1. <!-- Shiro的Web过滤器 -->  
  2. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  3.     <property name="securityManager" ref="securityManager"/>  
  4.     <property name="filters">  
  5.         <util:map>  
  6.             <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>  
  7.         </util:map>  
  8.     </property>  
  9.     <property name="filterChainDefinitions">  
  10.         <value>  
  11.             /**=statelessAuthc  
  12.         </value>  
  13.     </property>  
  14. </bean>   

所有请求都将走statelessAuthc拦截器进行认证。

 

其他配置请参考源代码。

 

SpringMVC学习请参考:

5分钟构建spring web mvc REST风格HelloWorld

  http://jinnianshilongnian.iteye.com/blog/1996071

跟我学SpringMVC

  http://www.iteye.com/blogs/subjects/kaitao-springmvc

 

客户端

此处使用SpringMVC提供的RestTemplate进行测试。请参考如下文章进行学习:

Spring MVC测试框架详解——客户端测试

   http://jinnianshilongnian.iteye.com/blog/2007180

Spring MVC测试框架详解——服务端测试 

   http://jinnianshilongnian.iteye.com/blog/2004660

 

此处为了方便,使用内嵌jetty服务器启动服务端: 

Java代码  收藏代码

  1. public class ClientTest {  
  2.     private static Server server;  
  3.     private RestTemplate restTemplate = new RestTemplate();  
  4.     @BeforeClass  
  5.     public static void beforeClass() throws Exception {  
  6.         //创建一个server  
  7.         server = new Server(8080);  
  8.         WebAppContext context = new WebAppContext();  
  9.         String webapp = "shiro-example-chapter20/src/main/webapp";  
  10.         context.setDescriptor(webapp + "/WEB-INF/web.xml");  //指定web.xml配置文件  
  11.         context.setResourceBase(webapp);  //指定webapp目录  
  12.         context.setContextPath("/");  
  13.         context.setParentLoaderPriority(true);  
  14.         server.setHandler(context);  
  15.         server.start();  
  16.     }  
  17.     @AfterClass  
  18.     public static void afterClass() throws Exception {  
  19.         server.stop(); //当测试结束时停止服务器  
  20.     }  
  21. }   

在整个测试开始之前开启服务器,整个测试结束时关闭服务器。

 

测试成功情况 

Java代码  收藏代码

  1. @Test  
  2. public void testServiceHelloSuccess() {  
  3.     String username = "admin";  
  4.     String param11 = "param11";  
  5.     String param12 = "param12";  
  6.     String param2 = "param2";  
  7.     String key = "dadadswdewq2ewdwqdwadsadasd";  
  8.     MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();  
  9.     params.add(Constants.PARAM_USERNAME, username);  
  10.     params.add("param1", param11);  
  11.     params.add("param1", param12);  
  12.     params.add("param2", param2);  
  13.     params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));  
  14.     String url = UriComponentsBuilder  
  15.             .fromHttpUrl("http://localhost:8080/hello")  
  16.             .queryParams(params).build().toUriString();  
  17.      ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);  
  18.     Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody());  
  19. }   

对请求参数生成消息摘要后带到参数中传递给服务器端,服务器端验证通过后访问相应服务,然后返回数据。

 

测试失败情况 

Java代码  收藏代码

  1. @Test  
  2. public void testServiceHelloFail() {  
  3.     String username = "admin";  
  4.     String param11 = "param11";  
  5.     String param12 = "param12";  
  6.     String param2 = "param2";  
  7.     String key = "dadadswdewq2ewdwqdwadsadasd";  
  8.     MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();  
  9.     params.add(Constants.PARAM_USERNAME, username);  
  10.     params.add("param1", param11);  
  11.     params.add("param1", param12);  
  12.     params.add("param2", param2);  
  13.     params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));  
  14.     params.set("param2", param2 + "1");  
  15.   
  16.     String url = UriComponentsBuilder  
  17.             .fromHttpUrl("http://localhost:8080/hello")  
  18.             .queryParams(params).build().toUriString();  
  19.     try {  
  20.         ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);  
  21.     } catch (HttpClientErrorException e) {  
  22.         Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode());  
  23.         Assert.assertEquals("login error", e.getResponseBodyAsString());  
  24.     }  
  25. }   

在生成请求参数消息摘要后,篡改了参数内容,服务器端接收后进行重新生成消息摘要发现不一样,报401错误状态码。

 

到此,整个测试完成了,需要注意的是,为了安全性,请考虑本文开始介绍的相应解决方案。

 

 

SpringMVC相关知识请参考

5分钟构建spring web mvc REST风格HelloWorld

  http://jinnianshilongnian.iteye.com/blog/1996071

跟我学SpringMVC

  http://www.iteye.com/blogs/subjects/kaitao-springmvc

Spring MVC测试框架详解——客户端测试

   http://jinnianshilongnian.iteye.com/blog/2007180

Spring MVC测试框架详解——服务端测试 

   http://jinnianshilongnian.iteye.com/blog/2004660

        

 

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群 231889722 探讨Spring/Shiro技术。

        

西门不止会吹雪
关注
专栏目录
【系统架构设计师】案例专题五:web应用开发考点梳理
数据知道的博客
10-10 2075
摘要:本文主要梳理系统架构设计师 - web应用开发 案例考点 ,主要包括Web应用技术分类、负载均衡、内容分发网络、微服务、缓存技术、XML和JSON、常见Web应用服务及设计等。
第二十章 无状态Web应用集成——《跟我学Shiro
jinnianshilongnian的专栏
04-08 519
  目录贴: 跟我学Shiro目录贴   在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认...
Shiro第二十章-无状态web应用集成
测试
04-30 236
简介 在一些环境中,可能需要把web应用做成无状态的,即服务端无状态,也就是说服务端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。 如不使用OAuth2协议来实现,则可以使用REST+HMAC认证。 REST-HMAC:Hash-based Messager Authentication Code,基于散列的消息认证码。使用一个密钥(只有客户端和服务端知...
状态web应用
weixin_30377461的博客
07-22 371
无意间看到这个话题,随便看了下 觉得有点意思。比较零散,记录一下。 1. http协议无状态。 简单的理解:每一个http请求都是独立的。不会因为前一个请求的失败就影响到下一个请求。既不会影响前面的,也不会影响后面的。 转载于:https://www.cnblogs.com/lxin/p/4668128.html...
第九章:ShiroWEB
逸轩
04-09 496
Shiro可以和普通web集成的,但考虑到现在的应用基本都会使用spring,所以就不去讲最基本的web集成了。跟Spring集成的方式前面已经讲过了。 在Web应用中,可以配置[urls]:   [urls]项允许你做一些在我们已经见过的任何Web 框架都不存在的东西:在你的应用程序中定义自适应过滤器链来匹配URL 路径! [urls]的格式   URL_Ant_Path
【idea drools 执行20次失败中断崩溃】
weixin_44005325的博客
02-18 1662
idea drools 执行20次失败中断崩溃
shiro状态web集成的示例代码
08-29
1. **无状态Web应用**:无状态Web应用意味着服务器不保存任何关于客户端的会话信息,每次请求都包含完整的认证信息。这样可以提高系统的可伸缩性和性能,因为服务器不再需要维护大量的会话状态。 2. **HMAC认证**:...
Web组件的状态转换:TodoMVC应用程序中的状态机和Web组件使用
02-06
TodoMVC应用程序中的状态机和Web组件使用"这个主题揭示了如何通过Web Components实现组件状态管理,以及如何借助状态机来优雅地处理TodoMVC中的各种操作和状态转换,从而构建出高效、可维护的Web应用。...
融云web集成
01-06
"融云Web集成"指的是将融云的通信服务与Web应用程序相结合,以实现诸如即时消息、语音、图片和表情等多媒体功能。融云是一家提供即时通讯云服务的公司,它的API和SDK可以帮助开发者轻松地在自己的Web应用集成聊天...
apache-tomcat-8.0.32
07-20
apache-tomcat-8.0.32 内容概要:通过带着读者手写简版Spring框架,了解Spring核心原理。在手写Spring源码的过程中会摘取整体框架中的核心逻辑,简代码实现过程,保留核心功能,例如:IOC, AOP、 Bean生命周期、上下文、作用域、资源处理等内容实现。适合人群:具备一定编程基础,工作1-3年的研发人能学到什么:@工厂模式、策略模式、观察者模式等都是怎么在Spring中体现的: ②IOC, AOP、代理、切面、循环依赖都是如何设计和实现的。阅读建议:此资源以开发简版Spring学习其原理和内核,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容起来实践,并调试对应的代码。
缓存溢出问题(encache)【待解决】
05-17 1473
ERROR [org.apache.shiro.web.servlet.AbstractShiroFilter] - session.touch() method invocation has failed. Unable to updatethe corresponding session...
文件类校验HMAC-SHA256校验,MD5加密
阳光
10-30 2758
import javax.crypto.KeyGenerator; import javax.crypto.SecretKey; import java.io.File; import org.apache.commons.codec.digest.HmacUtils; import org.apache.log4j.Logger; import org.apache.tomcat.util.c...
Shiro关闭session管理
学医救不了中国人
08-17 7498
  &lt;bean id="securityManager" class="org.apache.shiro.mgt.DefaultSecurityManager"&gt;     &lt;property name="realm"&gt;       &lt;bean class="com.zblog.service.shiro.StatelessRealm" /&gt;  
tomcat无故宕机 哪位大神给看看
wolove1122的博客
09-18 6515
@tomcat无故宕机 A fatal error has been detected by the Java Runtime Environment: SIGSEGV (0xb) at pc=0x00007fd6089a4e9e, pid=17855, tid=0x00007fd5167e9700 JRE version: OpenJDK Runtime Environment (8.0_...
shiro手机无状态登录访问和电脑端登录访问两种方式处理
tom9238的博客
12-26 4485
shiro stateless Demo of shiro session and stateless 安全框架shiro的一个同时支持无状态和session登录的添加部分自定义的demo 完整demo项目github源码 什么是shiro 官网地址 Shiro is a powerful and easy-to-use Java security framework that performs ...
关于shiro 的 session和无状态同时存在时实现思路
qq_39412825的博客
03-09 2386
关于shiro包含userRealm 和MobileUserRealm 以及客户端无状态session问题 以前概念里,关于客户端登录,没有cookieId,需要手动记录保存sessionid。 在看了shiro教程以后,了解了无状态web应用集成 即服务端无状态,服务器端不会存储像会话这种东西,而是每次请求带上相应的用户名进行登录。 具体实现: 1、教程上讲,客户端每次申请一个tok...
Web应用集成Kettle实现无需窗口运行
6. **测试和优:** 对整个集成Web应用进行充分的测试,确保作业能够正确执行,并且前端界面能够正确反映作业状态。 通过上述步骤,Kettle转换作业能够被集成Web应用中,用户可以通过Web界面来管理和控制数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值