java 编写无状态代码,shiro无状态web集成的示例代码

于 2021-03-10 13:17:05 发布
阅读量152 收藏
点赞数
文章标签: java 编写无状态代码

在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。注意该密钥只有客户端和服务端知道,其他第三方是不知道的。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要,一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如:

1、每次客户端申请一个Token,然后使用该Token进行加密,而该Token是一次性的,即只能用一次;有点类似于OAuth2的Token机制,但是简单些;

2、客户端每次生成一个唯一的Token,然后使用该Token加密,这样服务器端记录下这些Token,如果之前用过就认为是非法请求。

为了简单,本文直接对请求的数据(即全部请求的参数)生成消息摘要,即无法篡改数据,但是可能被别人窃取而能多次调用。解决办法如上所示。

服务器端

对于服务器端,不生成会话,而是每次请求时带上用户身份进行认证。

服务控制器

@RestController

public class ServiceController {

@RequestMapping("/hello")

public String hello1(String[] param1, String param2) {

return "hello" + param1[0] + param1[1] + param2;

}

}

当访问/hello服务时,需要传入param1、param2两个请求参数。

加密工具类

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils:

//使用指定的密码对内容生成消息摘要(散列值)

public static String digest(String key, String content);

//使用指定的密码对整个Map的内容生成消息摘要(散列值)

public static String digest(String key, Map map)

对Map生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。

Subject工厂

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

public Subject createSubject(SubjectContext context) {

//不创建session

context.setSessionCreationEnabled(false);

return super.createSubject(context);

}

}

通过调用context.setSessionCreationEnabled(false)表示不创建会话;如果之后调用Subject.getSession()将抛出DisabledSessionException异常。

StatelessAuthcFilter

类似于FormAuthenticationFilter,但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。

public class StatelessAuthcFilter extends AccessControlFilter {

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {

return false;

}

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

//1、客户端生成的消息摘要

String clientDigest = request.getParameter(Constants.PARAM_DIGEST);

//2、客户端传入的用户身份

String username = request.getParameter(Constants.PARAM_USERNAME);

//3、客户端请求的参数列表

Map params =

new HashMap(request.getParameterMap());

params.remove(Constants.PARAM_DIGEST);

//4、生成无状态Token

StatelessToken token = new StatelessToken(username, params, clientDigest);

try {

//5、委托给Realm进行登录

getSubject(request, response).login(token);

} catch (Exception e) {

e.printStackTrace();

onLoginFail(response); //6、登录失败

return false;

}

return true;

}

//登录失败时默认返回401状态码

private void onLoginFail(ServletResponse response) throws IOException {

HttpServletResponse httpResponse = (HttpServletResponse) response;

httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

httpResponse.getWriter().write("login error");

}

}

获取客户端传入的用户名、请求参数、消息摘要,生成StatelessToken;然后交给相应的Realm进行认证。

StatelessToken

public class StatelessToken implements AuthenticationToken {

private String username;

private Map params;

private String clientDigest;

//省略部分代码

public Object getPrincipal() { return username;}

public Object getCredentials() { return clientDigest;}

}

用户身份即用户名;凭证即客户端传入的消息摘要。

StatelessRealm

用于认证的Realm。

public class StatelessRealm extends AuthorizingRealm {

public boolean supports(AuthenticationToken token) {

//仅支持StatelessToken类型的Token

return token instanceof StatelessToken;

}

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

//根据用户名查找角色,请根据需求实现

String username = (String) principals.getPrimaryPrincipal();

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

authorizationInfo.addRole("admin");

return authorizationInfo;

}

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

StatelessToken statelessToken = (StatelessToken) token;

String username = statelessToken.getUsername();

String key = getKey(username);//根据用户名获取密钥(和客户端的一样)

//在服务器端生成客户端参数消息摘要

String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());

//然后进行客户端消息摘要和服务器端消息摘要的匹配

return new SimpleAuthenticationInfo(

username,

serverDigest,

getName());

}

private String getKey(String username) {//得到密钥,此处硬编码一个

if("admin".equals(username)) {

return "dadadswdewq2ewdwqdwadsadasd";

}

return null;

}

}

此处首先根据客户端传入的用户名获取相应的密钥,然后使用密钥对请求参数生成服务器端的消息摘要;然后与客户端的消息摘要进行匹配;如果匹配说明是合法客户端传入的;否则是非法的。这种方式是有漏洞的,一旦别人获取到该请求,可以重复请求;可以考虑之前介绍的解决方案。

Spring配置——spring-config-shiro.xml

class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm">

class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/>

value="false"/>

value="org.apache.shiro.SecurityUtils.setSecurityManager"/>

sessionManager通过sessionValidationSchedulerEnabled禁用掉会话调度器,因为我们禁用掉了会话,所以没必要再定期过期会话了。

class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/>

每次请求进行认证的拦截器。

/**=statelessAuthc

所有请求都将走statelessAuthc拦截器进行认证。

其他配置请参考源代码。

客户端

此处使用SpringMVC提供的RestTemplate进行测试。

此处为了方便,使用内嵌jetty服务器启动服务端:

public class ClientTest {

private static Server server;

private RestTemplate restTemplate = new RestTemplate();

@BeforeClass

public static void beforeClass() throws Exception {

//创建一个server

server = new Server(8080);

WebAppContext context = new WebAppContext();

String webapp = "shiro-example-chapter20/src/main/webapp";

context.setDescriptor(webapp + "/WEB-INF/web.xml"); //指定web.xml配置文件

context.setResourceBase(webapp); //指定webapp目录

context.setContextPath("/");

context.setParentLoaderPriority(true);

server.setHandler(context);

server.start();

}

@AfterClass

public static void afterClass() throws Exception {

server.stop(); //当测试结束时停止服务器

}

}

在整个测试开始之前开启服务器,整个测试结束时关闭服务器。

测试成功情况

@Test

public void testServiceHelloSuccess() {

String username = "admin";

String param11 = "param11";

String param12 = "param12";

String param2 = "param2";

String key = "dadadswdewq2ewdwqdwadsadasd";

MultiValueMap params = new LinkedMultiValueMap();

params.add(Constants.PARAM_USERNAME, username);

params.add("param1", param11);

params.add("param1", param12);

params.add("param2", param2);

params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));

String url = UriComponentsBuilder

.fromHttpUrl("http://localhost:8080/hello")

.queryParams(params).build().toUriString();

ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);

Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody());

}

对请求参数生成消息摘要后带到参数中传递给服务器端,服务器端验证通过后访问相应服务,然后返回数据。

测试失败情况

@Test

public void testServiceHelloFail() {

String username = "admin";

String param11 = "param11";

String param12 = "param12";

String param2 = "param2";

String key = "dadadswdewq2ewdwqdwadsadasd";

MultiValueMap params = new LinkedMultiValueMap();

params.add(Constants.PARAM_USERNAME, username);

params.add("param1", param11);

params.add("param1", param12);

params.add("param2", param2);

params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));

params.set("param2", param2 + "1");

String url = UriComponentsBuilder

.fromHttpUrl("http://localhost:8080/hello")

.queryParams(params).build().toUriString();

try {

ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);

} catch (HttpClientErrorException e) {

Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode());

Assert.assertEquals("login error", e.getResponseBodyAsString());

}

}

在生成请求参数消息摘要后,篡改了参数内容,服务器端接收后进行重新生成消息摘要发现不一样,报401错误状态码。

到此,整个测试完成了,需要注意的是,为了安全性,请考虑本文开始介绍的相应解决方案。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

weixin_39669769
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hmacsha256 java_java实现HMACSHA256(md5私钥key)加密签名
weixin_39590989的博客
02-12 756
最近在练习一个api时要对参数进行加密,描述如下:签名机制每次请求private api 都需要验证签名,发送的参数示例:$param = array(amount =1,price =10000,type =‘buy’,nonce =141377098123key =5zi7w-4mnes-swmc4-egg9b-f2iqw-396z4-g541bsignature =459c69d25c496...
java 编写状态代码,一种真正实现RMI无状态化的方法续:JVM源码修改步骤
weixin_28923455的博客
03-10 238
下面详细讲解如何修改JVM源码解决RMI的有状态化问题。从JVM源码可以看到,client通过控制链得到对象ID后,走数据链发送到RMI Server,Server的查找过程如下:target=ObjectTable.getTarget(newObjectEndpoint(id,transport));那么getTarget函数执行了啥?/***Returnsthetargetass...
java状态状态_java状态和有状态区别
weixin_34784025的博客
02-13 608
诸位Java程序员,想必大家对SimpleDateFormat并不陌生。不过,你是否知道,SimpleDateFormat不是线程安全的(thread safe)。这意味着,下面的代码是错误的:class Sample {private static final DateFormat format = new SimpleDateFormat("yyyy.MM.dd");public Stri...
状态和无状态
技术人生
04-17 2203
线程安全问题是由成员变量和静态变量引起的 无状态对象(Stateless Bean)就是没有实例变量的对象,不能保存数据,是线程安全的 public class StatefulBean { // 虽然有userDao 属性,但userDao 是没有状态信息的,是Stateless Bean。 public UserDao userDao ;
加密工具类
纳川的博客
07-20 589
所需jar包 <dependency> <groupId>org.jodd</groupId> <artifactId>jodd</artifactId> <version>3.3.7</version> </dependency> 工具类封装 p...
springboot 集成shiro代码实例
08-28
5. **实战示例**:`spring-boot-shiro`这个文件可能包含了完整的集成示例,包括配置文件、 Realm实现、Shiro过滤器配置以及相关的业务逻辑代码。分析这些代码可以帮助理解Shiro与SpringBoot的整合过程。 6. **注意...
从实例入手学习ShiroWeb的整合示例代码.zip
05-12
在"ShiroWeb"这个示例代码中,你可以看到上述各个步骤的具体实现。通过阅读和运行代码,你将能够更好地理解Shiro在实际项目中的工作方式,以及如何根据项目需求进行定制化配置。 总的来说,Apache ShiroJava...
shiro代码示例2 web项目
04-03
在这个名为 "shiro代码示例2 web项目" 的示例中,我们可以深入学习 Shiro 如何在 Web 应用程序中实现安全控制。 1. **身份认证**:Shiro 提供了简单的认证机制,允许开发者通过配置或自定义实现来验证用户的身份。...
web项目集成shirodemo
01-06
6. **Web集成**:Shiro可以轻松地与Spring MVC等Web框架结合,通过注解或配置实现安全控制。 7. **Remember Me**:Shiro提供了Remember Me服务,可以在用户下次访问时自动登录,提高用户体验。 8. **Cryptography...
java实现HMACSHA256(md5私钥key)加密签名
热门推荐
Dream It Possible
08-08 2万+
最近在练习一个api时要对参数进行加密,描述如下: 签名机制 每次请求private api 都需要验证签名,发送的参数示例: $param = array( amount => 1, price => 10000, type => ‘buy’, nonce => 141377098123 key => 5zi7w-4mnes-swmc4-egg9b-f
高性能java代码优化建议
07-09
这本书里面有一百多个提升java代码的建议,都是一些牛人多年总结出来的好经验,希望对大家有帮助。
springboot整合无状态shiro基本配置
yaoct的博客
12-05 323
<!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependency> shiro基本配置: package com.demo1.config; impo...
状态,无状态对象是什么概念
06-18 4731
基本概念:  有状态就是有数据存储功能。有状态对象(Stateful Bean),就是有实例变量的对象 ,可以保存数据,是非线程安全的。在不同方法调用间不保留任何状态。 无状态就是一次操作,不能保存数据。无状态对象(Stateless Bean),就是没有实例变量的对象 .不能保存数据,是不变类,是线程安全的。 代码更好理解: Java代码    p
你知道编程中无状态和有状态的区别吗?
qf2019的博客
01-16 2018
举例说明 诸位Java程序员,想必大家对SimpleDateFormat并不陌生。不过,你是否知道,SimpleDateFormat不是线程安全的(thread safe)。这意味着,下面的代码是错误的: 从功能的角度上看,单独执行这段代码是没有问题的,但放到多线程环境下,因为SimpleDateFormat不是线程安全的,这段代码就会出错。所以,要想让这段代码正确,我们只要稍做微调: 不知你...
状态服务 VS 有状态服务
mysee1989的专栏
05-12 1万+
对服务器程序来说,究竟是有状态服务,还是无状态服务,其判断依旧是指两个来自相同发起者的请求在服务器端是否具备上下文关系。如果是状态化请求,那么服务器端一般都要保存请求的相关信息,每个请求可以默认地使用以前的请求信息。而对于无状态请求,服务器端所能够处理的过程必须全部来自于请求所携带的信息,以及其他服务器端自身所保存的、并且可以被所有请求所使用的公共信息。         无状态的服务器程序,最著
状态对象和无状态对象
eff666的博客
09-10 7832
1、线程安全   要搞清楚有状态对象和无状态对象,首先需要弄清楚线程安全的问题。如果你的代码所在的进程中有多个线程在同时运行,而这些线程可能会同时运行这段代码。如果每次运行结果和单线程运行的结果是一样的,而且其他的变量的值也和预期的是一样的,那么就是线程安全的。   或者说,一个类或者程序所提供的接口对于线程来说是原子操作或者多个线程之间的切换不会导致该接口的执行结果存在二义性,也就是说我们不
http有状态和无状态_HTTP状态代码列表
cuk0051的博客
08-31 1079
http有状态和无状态An HTTP status code is the first line in an HTTP response, that’s sent from a server to the client. HTTP状态代码是HTTP响应中的第一行,它是从服务器发送到客户端的。 This list will be useful if you are trying to find...
状态的 业务逻辑层 如何设计
自由の力
12-07 2413
1. 什么是无状态– 系统不存储业务的上下文信息 – 仅根据每次请求携带数据进行相应的业务逻辑处理 – 多个模块(子系统)之间完全对称 – 请求提交到任何服务器,处理结果都是完全一样2.无状态业务逻辑层设计– 关键因素• 业务逻辑层不保存请求状态 • 业务逻辑层不保存数据• 所有业务逻辑层服务器完全对称 • 当一台或者多台宕机• 请求提交到集群中的任意可用服务器 • 业务逻辑层高
java状态和有状态区别
weixin_33892359的博客
01-05 1037
 诸位Java程序员,想必大家对SimpleDateFormat并不陌生。不过,你是否知道,SimpleDateFormat不是线程安全的(thread safe)。这意味着,下面的代码是错误的: class Sample { private static final DateFormat format = new SimpleDateFormat("yyyy.MM.dd");...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值