Shiro 无状态 Web.pdfVIP

Shiro ⽆状态 Web ⽆状态 Web 应⽤集成 在⼀些环境中，可能需要把 Web 应⽤做成⽆状态的，即服务器端⽆状态，就是说服 务器端不会存 像会话这种东西，⽽是每次请求时带上相应的⽤户名进⾏登录。如⼀ 些 REST 风格的 API ，如果不使⽤ OAuth2 协议，就可以使⽤如 REST+HMAC 认证进 ⾏访问。HMAC （Hash-based Message Authentication Code ）：基于散列的消息认证 码，使⽤⼀个密钥和⼀个消息作为输⼊，⽣成它们的消息摘要。注意该密钥只有客户 端和服务端知道，其他第三⽅是不知道的。访问时使⽤该消息摘要进⾏传播，服务端 然后对该消息摘要进⾏验证。如果只传递⽤户名 + 密码的消息摘要，⼀旦被别⼈捕获 可能会重复使⽤该摘要进⾏认证。解决办法如： 1. 每次客户端申请⼀个 To en ，然后使⽤该 To en 进⾏加密，⽽该 To en 是⼀次 性的，即只能⽤⼀次；有点类似于 OAuth2 的 To en 机制，但是简单些； 2. 客户端每次⽣成⼀个唯⼀的 To en ，然后使⽤该 To en 加密，这样服务器端记 录下这些 To en ，如果之前⽤过就认为是⾮法请求。 为了简单，本⽂直接对请求的数据 （即全部请求的参数）⽣成消息摘要，即⽆法篡改 数据，但是可能被别⼈窃取⽽能多次调⽤。解决办法如上所⽰。 服务器端 对于服务器端，不⽣成会话，⽽是每次请求时带上⽤户⾝份进⾏认证。 服务控制器 @RestController public class ServiceController { @RequestMapping(/hello) public String hello1(String[] para 1, String para 2) { return hello + para 1[0] + para 1[1] + para 2; } }nbsp; 当访问 / hello 服务时，需要传⼊ param 1、param2 两个请求参数。 加密⼯具类 com .github .zhang aitao .shiro .chapter20 .codec .HmacSHA256Utils ： //使⽤指定的密码对内容⽣成消息摘要 （散列值） public static String digest(String key, String content); //使⽤指定的密码对整个Map的内容⽣成消息摘要 （散列值） public static String digest(String key, MapString, ? ap)nbsp; 对 Map ⽣成消息摘要主要⽤于对客户端 / 服务器端来回传递的参数⽣成消息摘要。 Subject ⼯⼚ public class StatelessDefaultSubjectFactory extends DefaultWebSubj public Subject createSubject(SubjectContext context) { //不创建session context.setSessionCreationEnabled(false); return super.createSubject(context); } }nbsp; 通过调⽤ context .setSessionCreationEnabled(false) 表⽰不创建会话；如果之后调⽤ Subject .getSession() 将抛出 DisabledSessionException 异常。 StatelessAuthcFilter 类似于 FormAuthenticationFilter ，但是根据当前请求上下⽂信息每次请求时都要登录 的认证过滤器。 public class StatelessAuthcFilter extends AccessControlFilter { protected boolean isAccessAllowed(ServletRequest request, Servle return false; } protected boolean onAccessDenied(ServletRequest