在一些環境中,可能需要把Web應用做成無狀態的,即服務器端無狀態,就是說服務器端不會存儲像會話這種東西,而是每次請求時帶上相應的用戶名進行登錄。如一些REST風格的API,如果不使用OAuth2協議,就可以使用如REST+HMAC認證進行訪問。HMAC(Hash-based Message Authentication Code):基于散列的消息認證碼,使用一個密鑰和一個消息作為輸入,生成它們的消息摘要。注意該密鑰只有客戶端和服務端知道,其他第三方是不知道的。訪問時使用該消息摘要進行傳播,服務端然后對該消息摘要進行驗證。如果只傳遞用戶名+密碼的消息摘要,一旦被別人捕獲可能會重復使用該摘要進行認證。解決辦法如:
1、每次客戶端申請一個Token,然后使用該Token進行加密,而該Token是一次性的,即只能用一次;有點類似于OAuth2的Token機制,但是簡單些;
2、客戶端每次生成一個唯一的Token,然后使用該Token加密,這樣服務器端記錄下這些Token,如果之前用過就認為是非法請求。
為了簡單,本文直接對請求的數據(即全部請求的參數)生成消息摘要,即無法篡改數據,但是可能被別人竊取而能多次調用。解決辦法如上所示。
服務器端
對于服務器端,不生成會話,而是每次請求時帶上用戶身份進行認證。
服務控制器
|
1
2
3
4
5
6
7
|
@RestControllerpublic class ServiceController { @RequestMapping("/hello") public String hello1(String[] param1, String param2) { return "hello" + param1[0] + param1[1] + param2; } } |
當訪問/hello服務時,需要傳入param1、param2兩個請求參數。
加密工具類
com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils:
|
1
2
3
4
|
//使用指定的密碼對內容生成消息摘要(散列值) public static String digest(String key, String content); //使用指定的密碼對整個Map的內容生成消息摘要(散列值) public static String digest(String key, Map<String, ?> map) |
對Map生成消息摘要主要用于對客戶端/服務器端來回傳遞的參數生成消息摘要。
Subject工廠
|
1
2
3
4
5
6
7
|
public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory { public Subject createSubject(SubjectContext context) { //不創建session context.setSessionCreationEnabled(false); return super.createSubject(context); } } |
通過調用context.setSessionCreationEnabled(false)表示不創建會話;如果之后調用Subject.getSession()將拋出DisabledSessionException異常。
StatelessAuthcFilter
類似于FormAuthenticationFilter,但是根據當前請求上下文信息每次請求時都要登錄的認證過濾器。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
public class StatelessAuthcFilter extends AccessControlFilter { protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return false; } protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { //1、客戶端生成的消息摘要 String clientDigest = request.getParameter(Constants.PARAM_DIGEST); //2、客戶端傳入的用戶身份 String username = request.getParameter(Constants.PARAM_USERNAME); //3、客戶端請求的參數列表 Map<String, String[]> params = new HashMap<String, String[]>(request.getParameterMap()); params.remove(Constants.PARAM_DIGEST); //4、生成無狀態Token StatelessToken token = new StatelessToken(username, params, clientDigest); try { //5、委托給Realm進行登錄 getSubject(request, response).login(token); } catch (Exception e) { e.printStackTrace(); onLoginFail(response); //6、登錄失敗 return false; } return true; } //登錄失敗時默認返回401狀態碼 private void onLoginFail(ServletResponse response) throws IOException { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED); httpResponse.getWriter().write("login error"); } } |
獲取客戶端傳入的用戶名、請求參數、消息摘要,生成StatelessToken;然后交給相應的Realm進行認證。
StatelessToken
|
1
2
3
4
5
6
7
8
|
public class StatelessToken implements AuthenticationToken { private String username; private Map<String, ?> params; private String clientDigest; //省略部分代碼 public Object getPrincipal() { return username;} public Object getCredentials() { return clientDigest;} } |
用戶身份即用戶名;憑證即客戶端傳入的消息摘要。
StatelessRealm
用于認證的Realm。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
public class StatelessRealm extends AuthorizingRealm { public boolean supports(AuthenticationToken token) { //僅支持StatelessToken類型的Token return token instanceof StatelessToken; } protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { //根據用戶名查找角色,請根據需求實現 String username = (String) principals.getPrimaryPrincipal(); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); return authorizationInfo; } protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { StatelessToken statelessToken = (StatelessToken) token; String username = statelessToken.getUsername(); String key = getKey(username);//根據用戶名獲取密鑰(和客戶端的一樣) //在服務器端生成客戶端參數消息摘要 String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams()); //然后進行客戶端消息摘要和服務器端消息摘要的匹配 return new SimpleAuthenticationInfo( username, serverDigest, getName()); } private String getKey(String username) {//得到密鑰,此處硬編碼一個 if("admin".equals(username)) { return "dadadswdewq2ewdwqdwadsadasd"; } return null; } } |
此處首先根據客戶端傳入的用戶名獲取相應的密鑰,然后使用密鑰對請求參數生成服務器端的消息摘要;然后與客戶端的消息摘要進行匹配;如果匹配說明是合法客戶端傳入的;否則是非法的。這種方式是有漏洞的,一旦別人獲取到該請求,可以重復請求;可以考慮之前介紹的解決方案。
Spring配置——spring-config-shiro.xml
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
<!-- Realm實現 --><bean id="statelessRealm" class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm"> <property name="cachingEnabled" value="false"/> </bean> <!-- Subject工廠 --><bean id="subjectFactory" class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/> <!-- 會話管理器 --><bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager"> <property name="sessionValidationSchedulerEnabled" value="false"/> </bean> <!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="statelessRealm"/> <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled" value="false"/> <property name="subjectFactory" ref="subjectFactory"/> <property name="sessionManager" ref="sessionManager"/> </bean> <!-- 相當于調用SecurityUtils.setSecurityManager(securityManager) --><bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"> <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/> <property name="arguments" ref="securityManager"/> </bean> |
sessionManager通過sessionValidationSchedulerEnabled禁用掉會話調度器,因為我們禁用掉了會話,所以沒必要再定期過期會話了。
|
1
2
|
<bean id="statelessAuthcFilter" class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/> |
每次請求進行認證的攔截器。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
<!-- Shiro的Web過濾器 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="filters"> <util:map> <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/> </util:map> </property> <property name="filterChainDefinitions"> <value> /**=statelessAuthc </value> </property> </bean> |
所有請求都將走statelessAuthc攔截器進行認證。
其他配置請參考源代碼。
客戶端
此處使用SpringMVC提供的RestTemplate進行測試。
此處為了方便,使用內嵌jetty服務器啟動服務端:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
public class ClientTest { private static Server server; private RestTemplate restTemplate = new RestTemplate(); @BeforeClass public static void beforeClass() throws Exception { //創建一個server server = new Server(8080); WebAppContext context = new WebAppContext(); String webapp = "shiro-example-chapter20/src/main/webapp"; context.setDescriptor(webapp + "/WEB-INF/web.xml"); //指定web.xml配置文件 context.setResourceBase(webapp); //指定webapp目錄 context.setContextPath("/"); context.setParentLoaderPriority(true); server.setHandler(context); server.start(); } @AfterClass public static void afterClass() throws Exception { server.stop(); //當測試結束時停止服務器 } } |
在整個測試開始之前開啟服務器,整個測試結束時關閉服務器。
測試成功情況
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
@Testpublic void testServiceHelloSuccess() { String username = "admin"; String param11 = "param11"; String param12 = "param12"; String param2 = "param2"; String key = "dadadswdewq2ewdwqdwadsadasd"; MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>(); params.add(Constants.PARAM_USERNAME, username); params.add("param1", param11); params.add("param1", param12); params.add("param2", param2); params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params)); String url = UriComponentsBuilder .fromHttpUrl("http://localhost:8080/hello") .queryParams(params).build().toUriString(); ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class); Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody()); } |
對請求參數生成消息摘要后帶到參數中傳遞給服務器端,服務器端驗證通過后訪問相應服務,然后返回數據。
測試失敗情況
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
@Testpublic void testServiceHelloFail() { String username = "admin"; String param11 = "param11"; String param12 = "param12"; String param2 = "param2"; String key = "dadadswdewq2ewdwqdwadsadasd"; MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>(); params.add(Constants.PARAM_USERNAME, username); params.add("param1", param11); params.add("param1", param12); params.add("param2", param2); params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params)); params.set("param2", param2 + "1"); String url = UriComponentsBuilder .fromHttpUrl("http://localhost:8080/hello") .queryParams(params).build().toUriString(); try { ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class); } catch (HttpClientErrorException e) { Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode()); Assert.assertEquals("login error", e.getResponseBodyAsString()); } } |
在生成請求參數消息摘要后,篡改了參數內容,服務器端接收后進行重新生成消息摘要發現不一樣,報401錯誤狀態碼。
到此,整個測試完成了,需要注意的是,為了安全性,請考慮本文開始介紹的相應解決方案。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持服務器之家。
原文鏈接:http://blog.sina.com.cn/s/blog_9c6852670102wwg2.html
