shiro无状态web集成.pdfVIP

shiro 无状态 web 集成 在一些环境中，可能需要把 Web 应用做成无状态的，即服务器端无状态，就是说服务器端不会存储像会话这种东西， 而是每次请求时带上相应的用户名进行登录。如一些REST风格的API ，如果不使用OAuth2 协议，就可以使用如REST+HMAC 认证进行访问。HMAC （Hash-based Message Authentication Code ）：基于散列的消息认证码，使用一个密钥和一个消 息作为输入，生成它们的消息摘要。注意该密钥只有客户端和服务端知道，其他第三方是不知道的。访问时使用该消息摘要 进行传播，服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要，一旦被别人捕获可能会重复使用该摘 要进行认证。解决办法如： 1、每次客户端申请一个Token ，然后使用该Token 进行加密，而该 Token 是一次性的，即只能用一次；有点类似于 OAuth2 的Token 机制，但是简单些； 2、客户端每次生成一个唯一的Token ，然后使用该Token 加密，这样服务器端记录下这些 Token ，如果之前用过就认为是 非法请求。 为了简单，本文直接对请求的数据（即全部请求的参数）生成消息摘要，即无法篡改数据，但是可能被别人窃取而能多次调 用。解决办法如上所示。 服务器端 对于服务器端，不生成会话，而是每次请求时带上用户身份进行认证。 服务控制器 Java 代码 1. @RestController 2. public class ServiceController { 3. @RequestMapping(/hello) 4. public String hello1(String[] param1, String param2) { 5. return hello + param1[0] + param1[1] + param2; 6. } 7. } 当访问/hello 服务时，需要传入 param1、param2 两个请求参数。 加密工具类 com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils ： Java 代码 1. //使用指定的密码对内容生成消息摘要（散列值） 2. public static String digest(String key, String content); 3. //使用指定的密码对整个 Map 的内容生成消息摘要（散列值） 4. public static String digest(String key, MapString, ? map) 1 / 8 对 Map 生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。 Subject 工厂 Java 代码 1. public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory { 2. public Subject createSubject(SubjectContext context) { 3. //不创建 session 4. context.setSessionCreationEnabled(false); 5. return super.createSubject(context); 6. } 7. } 通过调用 context.setSessionCreationEnabled(false) 表示不创建会话；如果之后调用 Subject.getSession()将抛出 DisabledSessionException 异常。 StatelessAuthcFilter 类似于 FormAuthenticationFilter ，但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。 Java 代码 1. public class StatelessAuthcFilter extends AccessControlFilter { 2. protected boolean isAccessAll