Shiro 無狀態(tài) Web

2020-12-04 09:48 更新

無狀態(tài) Web 應用集成

在一些環(huán)境中,可能需要把 Web 應用做成無狀態(tài)的,即服務器端無狀態(tài),就是說服務器端不會存儲像會話這種東西,而是每次請求時帶上相應的用戶名進行登錄。如一些 REST 風格的 API,如果不使用 OAuth2 協(xié)議,就可以使用如 REST+HMAC 認證進行訪問。HMAC(Hash-based Message Authentication Code):基于散列的消息認證碼,使用一個密鑰和一個消息作為輸入,生成它們的消息摘要。注意該密鑰只有客戶端和服務端知道,其他第三方是不知道的。訪問時使用該消息摘要進行傳播,服務端然后對該消息摘要進行驗證。如果只傳遞用戶名 + 密碼的消息摘要,一旦被別人捕獲可能會重復使用該摘要進行認證。解決辦法如:

  1. 每次客戶端申請一個 Token,然后使用該 Token 進行加密,而該 Token 是一次性的,即只能用一次;有點類似于 OAuth2 的 Token 機制,但是簡單些;
  2. 客戶端每次生成一個唯一的 Token,然后使用該 Token 加密,這樣服務器端記錄下這些 Token,如果之前用過就認為是非法請求。

為了簡單,本文直接對請求的數(shù)據(jù)(即全部請求的參數(shù))生成消息摘要,即無法篡改數(shù)據(jù),但是可能被別人竊取而能多次調(diào)用。解決辦法如上所示。

服務器端

對于服務器端,不生成會話,而是每次請求時帶上用戶身份進行認證。

服務控制器

@RestController
public class ServiceController {
    @RequestMapping("/hello")
    public String hello1(String[] param1, String param2) {
        return "hello" + param1[0] + param1[1] + param2;
    }
}

當訪問 / hello 服務時,需要傳入 param1、param2 兩個請求參數(shù)。

加密工具類

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils:

//使用指定的密碼對內(nèi)容生成消息摘要(散列值)
public static String digest(String key, String content);
//使用指定的密碼對整個Map的內(nèi)容生成消息摘要(散列值)
public static String digest(String key, Map<String, ?> map)

對 Map 生成消息摘要主要用于對客戶端 / 服務器端來回傳遞的參數(shù)生成消息摘要。

Subject 工廠

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
    public Subject createSubject(SubjectContext context) {
        //不創(chuàng)建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

通過調(diào)用 context.setSessionCreationEnabled(false) 表示不創(chuàng)建會話;如果之后調(diào)用 Subject.getSession() 將拋出 DisabledSessionException 異常。

StatelessAuthcFilter

類似于 FormAuthenticationFilter,但是根據(jù)當前請求上下文信息每次請求時都要登錄的認證過濾器。

public class StatelessAuthcFilter extends AccessControlFilter {
  protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
      return false;
  }
  protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    //1、客戶端生成的消息摘要
    String clientDigest = request.getParameter(Constants.PARAM_DIGEST);
    //2、客戶端傳入的用戶身份
String username = request.getParameter(Constants.PARAM_USERNAME);
    //3、客戶端請求的參數(shù)列表
    Map<String, String[]> params = 
      new HashMap<String, String[]>(request.getParameterMap());
    params.remove(Constants.PARAM_DIGEST);
    //4、生成無狀態(tài)Token
    StatelessToken token = new StatelessToken(username, params, clientDigest);
    try {
      //5、委托給Realm進行登錄
      getSubject(request, response).login(token);
    } catch (Exception e) {
      e.printStackTrace();
      onLoginFail(response); //6、登錄失敗
      return false;
    }
    return true;
  }
  //登錄失敗時默認返回401狀態(tài)碼
  private void onLoginFail(ServletResponse response) throws IOException {
    HttpServletResponse httpResponse = (HttpServletResponse) response;
    httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    httpResponse.getWriter().write("login error");
  }
}

獲取客戶端傳入的用戶名、請求參數(shù)、消息摘要,生成 StatelessToken;然后交給相應的 Realm 進行認證。

StatelessToken

public class StatelessToken implements AuthenticationToken {
    private String username;
    private Map<String, ?> params;
    private String clientDigest;
    //省略部分代碼
    public Object getPrincipal() {  return username;}
    public Object getCredentials() {  return clientDigest;}
}

用戶身份即用戶名;憑證即客戶端傳入的消息摘要。

StatelessRealm

用于認證的 Realm。

public class StatelessRealm extends AuthorizingRealm {
    public boolean supports(AuthenticationToken token) {
        //僅支持StatelessToken類型的Token
        return token instanceof StatelessToken;
    }
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //根據(jù)用戶名查找角色,請根據(jù)需求實現(xiàn)
        String username = (String) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo =  new SimpleAuthorizationInfo();
        authorizationInfo.addRole("admin");
        return authorizationInfo;
    }
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        StatelessToken statelessToken = (StatelessToken) token;
        String username = statelessToken.getUsername();
        String key = getKey(username);//根據(jù)用戶名獲取密鑰(和客戶端的一樣)
        //在服務器端生成客戶端參數(shù)消息摘要
        String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());
        //然后進行客戶端消息摘要和服務器端消息摘要的匹配
        return new SimpleAuthenticationInfo(
                username,
                serverDigest,
                getName());
    }
    private String getKey(String username) {//得到密鑰,此處硬編碼一個
        if("admin".equals(username)) {
            return "dadadswdewq2ewdwqdwadsadasd";
        }
        return null;
    }
}

此處首先根據(jù)客戶端傳入的用戶名獲取相應的密鑰,然后使用密鑰對請求參數(shù)生成服務器端的消息摘要;然后與客戶端的消息摘要進行匹配;如果匹配說明是合法客戶端傳入的;否則是非法的。這種方式是有漏洞的,一旦別人獲取到該請求,可以重復請求;可以考慮之前介紹的解決方案。

Spring 配置——spring-config-shiro.xml

<!-- Realm實現(xiàn) -->
<bean id="statelessRealm" 
  class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm">
    <property name="cachingEnabled" value="false"/>
</bean>
<!-- Subject工廠 -->
<bean id="subjectFactory" 
 class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/>
<!-- 會話管理器 -->
<bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
    <property name="sessionValidationSchedulerEnabled" value="false"/>
</bean>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="statelessRealm"/>
    <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"
      value="false"/>
    <property name="subjectFactory" ref="subjectFactory"/>
    <property name="sessionManager" ref="sessionManager"/>
</bean>
<!-- 相當于調(diào)用SecurityUtils.setSecurityManager(securityManager) -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" 
      value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager"/>
</bean>

sessionManager 通過 sessionValidationSchedulerEnabled 禁用掉會話調(diào)度器,因為我們禁用掉了會話,所以沒必要再定期過期會話了。 

<bean id="statelessAuthcFilter" 
    class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/>

每次請求進行認證的攔截器。 

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="filters">
        <util:map>
            <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /**=statelessAuthc
        </value>
    </property>
</bean>

所有請求都將走 statelessAuthc 攔截器進行認證。

其他配置請參考源代碼。

SpringMVC 學習請參考:
5 分鐘構建 spring web mvc REST 風格 HelloWorld
http://jinnianshilongnian.iteye.com/blog/1996071
跟我學 SpringMVC
http://www.iteye.com/blogs/subjects/kaitao-springmvc

客戶端

此處使用 SpringMVC 提供的 RestTemplate 進行測試。請參考如下文章進行學習:
Spring MVC 測試框架詳解——客戶端測試
http://jinnianshilongnian.iteye.com/blog/2007180
Spring MVC 測試框架詳解——服務端測試
http://jinnianshilongnian.iteye.com/blog/2004660

此處為了方便,使用內(nèi)嵌 jetty 服務器啟動服務端: 

public class ClientTest {
    private static Server server;
    private RestTemplate restTemplate = new RestTemplate();
    @BeforeClass
    public static void beforeClass() throws Exception {
        //創(chuàng)建一個server
        server = new Server(8080);
        WebAppContext context = new WebAppContext();
        String webapp = "shiro-example-chapter20/src/main/webapp";
        context.setDescriptor(webapp + "/WEB-INF/web.xml");  //指定web.xml配置文件
        context.setResourceBase(webapp);  //指定webapp目錄
        context.setContextPath("/");
        context.setParentLoaderPriority(true);
        server.setHandler(context);
        server.start();
    }
    @AfterClass
    public static void afterClass() throws Exception {
        server.stop(); //當測試結束時停止服務器
    }
}

在整個測試開始之前開啟服務器,整個測試結束時關閉服務器。

測試成功情況

@Test
public void testServiceHelloSuccess() {
    String username = "admin";
    String param11 = "param11";
    String param12 = "param12";
    String param2 = "param2";
    String key = "dadadswdewq2ewdwqdwadsadasd";
    MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
    params.add(Constants.PARAM_USERNAME, username);
    params.add("param1", param11);
    params.add("param1", param12);
    params.add("param2", param2);
    params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
    String url = UriComponentsBuilder
            .fromHttpUrl("http://localhost:8080/hello")
            .queryParams(params).build().toUriString();
     ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
    Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody());
}

對請求參數(shù)生成消息摘要后帶到參數(shù)中傳遞給服務器端,服務器端驗證通過后訪問相應服務,然后返回數(shù)據(jù)。

測試失敗情況

@Test
public void testServiceHelloFail() {
    String username = "admin";
    String param11 = "param11";
    String param12 = "param12";
    String param2 = "param2";
    String key = "dadadswdewq2ewdwqdwadsadasd";
    MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
    params.add(Constants.PARAM_USERNAME, username);
    params.add("param1", param11);
    params.add("param1", param12);
    params.add("param2", param2);
    params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
    params.set("param2", param2 + "1");
    String url = UriComponentsBuilder
            .fromHttpUrl("http://localhost:8080/hello")
            .queryParams(params).build().toUriString();
    try {
        ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
    } catch (HttpClientErrorException e) {
        Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode());
        Assert.assertEquals("login error", e.getResponseBodyAsString());
    }
}

在生成請求參數(shù)消息摘要后,篡改了參數(shù)內(nèi)容,服務器端接收后進行重新生成消息摘要發(fā)現(xiàn)不一樣,報 401 錯誤狀態(tài)碼。

到此,整個測試完成了,需要注意的是,為了安全性,請考慮本文開始介紹的相應解決方案。

SpringMVC 相關知識請參考

5 分鐘構建 spring web mvc REST 風格 HelloWorld
http://jinnianshilongnian.iteye.com/blog/1996071
跟我學 SpringMVC
http://www.iteye.com/blogs/subjects/kaitao-springmvc
Spring MVC 測試框架詳解——客戶端測試
http://jinnianshilongnian.iteye.com/blog/2007180
Spring MVC 測試框架詳解——服務端測試
http://jinnianshilongnian.iteye.com/blog/2004660

以上內(nèi)容是否對您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號
微信公眾號

編程獅公眾號