`
jinnianshilongnian
  • 浏览: 21504064 次
  • 性别: Icon_minigender_1
博客专栏
5c8dac6a-21dc-3466-8abb-057664ab39c7
跟我学spring3
浏览量:2418684
D659df3e-4ad7-3b12-8b9a-1e94abd75ac3
Spring杂谈
浏览量:3008789
43989fe4-8b6b-3109-aaec-379d27dd4090
跟开涛学SpringMVC...
浏览量:5639490
1df97887-a9e1-3328-b6da-091f51f886a1
Servlet3.1规范翻...
浏览量:259916
4f347843-a078-36c1-977f-797c7fc123fc
springmvc杂谈
浏览量:1597321
22722232-95c1-34f2-b8e1-d059493d3d98
hibernate杂谈
浏览量:250219
45b32b6f-7468-3077-be40-00a5853c9a48
跟我学Shiro
浏览量:5858954
Group-logo
跟我学Nginx+Lua开...
浏览量:702008
5041f67a-12b2-30ba-814d-b55f466529d5
亿级流量网站架构核心技术
浏览量:785224
社区版块
存档分类
最新评论

第二十章 无状态Web应用集成——《跟我学Shiro》

阅读更多

 

目录贴: 跟我学Shiro目录贴

 

在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。注意该密钥只有客户端和服务端知道,其他第三方是不知道的。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要,一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如:

1、每次客户端申请一个Token,然后使用该Token进行加密,而该Token是一次性的,即只能用一次;有点类似于OAuth2的Token机制,但是简单些;

2、客户端每次生成一个唯一的Token,然后使用该Token加密,这样服务器端记录下这些Token,如果之前用过就认为是非法请求。

 

为了简单,本文直接对请求的数据(即全部请求的参数)生成消息摘要,即无法篡改数据,但是可能被别人窃取而能多次调用。解决办法如上所示。

  

服务器端

对于服务器端,不生成会话,而是每次请求时带上用户身份进行认证。

  

服务控制器

@RestController
public class ServiceController {
    @RequestMapping("/hello")
    public String hello1(String[] param1, String param2) {
        return "hello" + param1[0] + param1[1] + param2;
    }
} 

当访问/hello服务时,需要传入param1、param2两个请求参数。

 

加密工具类

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils: 

//使用指定的密码对内容生成消息摘要(散列值)
public static String digest(String key, String content);
//使用指定的密码对整个Map的内容生成消息摘要(散列值)
public static String digest(String key, Map<String, ?> map) 

对Map生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。

  

Subject工厂  

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
} 

通过调用context.setSessionCreationEnabled(false)表示不创建会话;如果之后调用Subject.getSession()将抛出DisabledSessionException异常。

 

StatelessAuthcFilter

类似于FormAuthenticationFilter,但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。

public class StatelessAuthcFilter extends AccessControlFilter {
  protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
      return false;
  }
  protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    //1、客户端生成的消息摘要
    String clientDigest = request.getParameter(Constants.PARAM_DIGEST);
    //2、客户端传入的用户身份
String username = request.getParameter(Constants.PARAM_USERNAME);
    //3、客户端请求的参数列表
    Map<String, String[]> params = 
      new HashMap<String, String[]>(request.getParameterMap());
    params.remove(Constants.PARAM_DIGEST);
    //4、生成无状态Token
    StatelessToken token = new StatelessToken(username, params, clientDigest);
    try {
      //5、委托给Realm进行登录
      getSubject(request, response).login(token);
    } catch (Exception e) {
      e.printStackTrace();
      onLoginFail(response); //6、登录失败
      return false;
    }
    return true;
  }
  //登录失败时默认返回401状态码
  private void onLoginFail(ServletResponse response) throws IOException {
    HttpServletResponse httpResponse = (HttpServletResponse) response;
    httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    httpResponse.getWriter().write("login error");
  }
}
 

获取客户端传入的用户名、请求参数、消息摘要,生成StatelessToken;然后交给相应的Realm进行认证。

 

StatelessToken   

public class StatelessToken implements AuthenticationToken {
    private String username;
    private Map<String, ?> params;
    private String clientDigest;
    //省略部分代码
    public Object getPrincipal() {  return username;}
    public Object getCredentials() {  return clientDigest;}
} 

用户身份即用户名;凭证即客户端传入的消息摘要。

 

StatelessRealm 

用于认证的Realm。

public class StatelessRealm extends AuthorizingRealm {
    public boolean supports(AuthenticationToken token) {
        //仅支持StatelessToken类型的Token
        return token instanceof StatelessToken;
    }
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //根据用户名查找角色,请根据需求实现
        String username = (String) principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo =  new SimpleAuthorizationInfo();
        authorizationInfo.addRole("admin");
        return authorizationInfo;
    }
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        StatelessToken statelessToken = (StatelessToken) token;
        String username = statelessToken.getUsername();
        String key = getKey(username);//根据用户名获取密钥(和客户端的一样)
        //在服务器端生成客户端参数消息摘要
        String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());
        //然后进行客户端消息摘要和服务器端消息摘要的匹配
        return new SimpleAuthenticationInfo(
                username,
                serverDigest,
                getName());
    }
    
    private String getKey(String username) {//得到密钥,此处硬编码一个
        if("admin".equals(username)) {
            return "dadadswdewq2ewdwqdwadsadasd";
        }
        return null;
    }
} 

此处首先根据客户端传入的用户名获取相应的密钥,然后使用密钥对请求参数生成服务器端的消息摘要;然后与客户端的消息摘要进行匹配;如果匹配说明是合法客户端传入的;否则是非法的。这种方式是有漏洞的,一旦别人获取到该请求,可以重复请求;可以考虑之前介绍的解决方案。

 

Spring配置——spring-config-shiro.xml 

<!-- Realm实现 -->
<bean id="statelessRealm" 
  class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm">
    <property name="cachingEnabled" value="false"/>
</bean>
<!-- Subject工厂 -->
<bean id="subjectFactory" 
  class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/>
<!-- 会话管理器 -->
<bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
    <property name="sessionValidationSchedulerEnabled" value="false"/>
</bean>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="statelessRealm"/>
    <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"
      value="false"/>
    <property name="subjectFactory" ref="subjectFactory"/>
    <property name="sessionManager" ref="sessionManager"/>
</bean>
<!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
    <property name="staticMethod" 
      value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
    <property name="arguments" ref="securityManager"/>
</bean> 

sessionManager通过sessionValidationSchedulerEnabled禁用掉会话调度器,因为我们禁用掉了会话,所以没必要再定期过期会话了。 

 

<bean id="statelessAuthcFilter" 
    class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/> 

每次请求进行认证的拦截器。 

 

<!-- Shiro的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="filters">
        <util:map>
            <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /**=statelessAuthc
        </value>
    </property>
</bean> 

所有请求都将走statelessAuthc拦截器进行认证。

 

其他配置请参考源代码。

 

SpringMVC学习请参考:

5分钟构建spring web mvc REST风格HelloWorld

  http://jinnianshilongnian.iteye.com/blog/1996071

跟我学SpringMVC

  http://www.iteye.com/blogs/subjects/kaitao-springmvc

 

客户端

此处使用SpringMVC提供的RestTemplate进行测试。请参考如下文章进行学习:

Spring MVC测试框架详解——客户端测试

   http://jinnianshilongnian.iteye.com/blog/2007180

Spring MVC测试框架详解——服务端测试 

   http://jinnianshilongnian.iteye.com/blog/2004660

 

此处为了方便,使用内嵌jetty服务器启动服务端: 

public class ClientTest {
    private static Server server;
    private RestTemplate restTemplate = new RestTemplate();
    @BeforeClass
    public static void beforeClass() throws Exception {
        //创建一个server
        server = new Server(8080);
        WebAppContext context = new WebAppContext();
        String webapp = "shiro-example-chapter20/src/main/webapp";
        context.setDescriptor(webapp + "/WEB-INF/web.xml");  //指定web.xml配置文件
        context.setResourceBase(webapp);  //指定webapp目录
        context.setContextPath("/");
        context.setParentLoaderPriority(true);
        server.setHandler(context);
        server.start();
    }
    @AfterClass
    public static void afterClass() throws Exception {
        server.stop(); //当测试结束时停止服务器
    }
} 

在整个测试开始之前开启服务器,整个测试结束时关闭服务器。

 

测试成功情况 

@Test
public void testServiceHelloSuccess() {
    String username = "admin";
    String param11 = "param11";
    String param12 = "param12";
    String param2 = "param2";
    String key = "dadadswdewq2ewdwqdwadsadasd";
    MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
    params.add(Constants.PARAM_USERNAME, username);
    params.add("param1", param11);
    params.add("param1", param12);
    params.add("param2", param2);
    params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
    String url = UriComponentsBuilder
            .fromHttpUrl("http://localhost:8080/hello")
            .queryParams(params).build().toUriString();
     ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
    Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody());
} 

对请求参数生成消息摘要后带到参数中传递给服务器端,服务器端验证通过后访问相应服务,然后返回数据。

 

测试失败情况 

@Test
public void testServiceHelloFail() {
    String username = "admin";
    String param11 = "param11";
    String param12 = "param12";
    String param2 = "param2";
    String key = "dadadswdewq2ewdwqdwadsadasd";
    MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
    params.add(Constants.PARAM_USERNAME, username);
    params.add("param1", param11);
    params.add("param1", param12);
    params.add("param2", param2);
    params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
    params.set("param2", param2 + "1");

    String url = UriComponentsBuilder
            .fromHttpUrl("http://localhost:8080/hello")
            .queryParams(params).build().toUriString();
    try {
        ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
    } catch (HttpClientErrorException e) {
        Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode());
        Assert.assertEquals("login error", e.getResponseBodyAsString());
    }
} 

在生成请求参数消息摘要后,篡改了参数内容,服务器端接收后进行重新生成消息摘要发现不一样,报401错误状态码。

 

到此,整个测试完成了,需要注意的是,为了安全性,请考虑本文开始介绍的相应解决方案。

 

 

SpringMVC相关知识请参考

5分钟构建spring web mvc REST风格HelloWorld

  http://jinnianshilongnian.iteye.com/blog/1996071

跟我学SpringMVC

  http://www.iteye.com/blogs/subjects/kaitao-springmvc

Spring MVC测试框架详解——客户端测试

   http://jinnianshilongnian.iteye.com/blog/2007180

Spring MVC测试框架详解——服务端测试 

   http://jinnianshilongnian.iteye.com/blog/2004660

        

 

示例源代码:https://github.com/zhangkaitao/shiro-example;可加群 231889722 探讨Spring/Shiro技术。

        

  

10
3
分享到:
评论
25 楼 flyfeifei66 2019-05-23  
这种方式登录成功后,下次如何标识身份确保不用再次登录?
24 楼 私奔到冰岛 2018-08-27  
看了项目,没找到验证的逻辑在哪?楼主不是说前端发过来的摘要和服务的的摘要要一样才行吗?这个逻辑应该自己实现吧,是不是要在relrealm里自己判断啊,shiro默认的认证实现应该做不到吧
23 楼 zhangcheng125 2018-07-17  
配置中 <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled" value="false"/> 这个报错。
22 楼 lvyuan1234 2018-03-07  
运行demo测试类时,出现两个问题,希望对后来的人有帮助
1.刚开始运行测试类一直报404NOT FOUNDD,把jetty的webapp目录改为String webapp = "./src/main/webapp";即可
2.即使运行success那个测试方法也返回401未授权,原因是测试方法中添加参数的顺序问题,将params.add(Constants.PARAM_USERNAME, username);放到param1和param2之间即可
21 楼 jy02149522 2018-02-01  
我想说的是 如果是用客户端进行加密算法 提交服务器
如果这个客户端就是网页呢 js算法都暴露在页面上 不是很容易被破解吗
这个问题 怎么解决啊
20 楼 LeanTaoT 2018-01-09  
开涛老师你好,我在操作的时候报了以下错误,是在授权完之后,return true SHIRO会自动去创建session,但是session已经disable了,所以请问下是啥问题,具体报错如下:See the org.apache.shiro.subject.support.DisabledSessionException JavaDoc for more
19 楼 u014027433 2017-12-15  
有状态和无状态的情况如何共存?
18 楼 zhufj0952 2016-09-12  
sbwfgihc 写道
newitstar 写道
liuzhifeixff 写道
penwei 写道
liaowu010 写道
xumin_wlt 写道
wsrongdi111 写道
大神,我有两个问题有点不明白希望不吝赐教!
1.如果说一个应用既有有状态的web,又有无状态的app那么shiro对这种情况应该怎么控制呢,可不可以定义两个shiroFilter或者是配置多个SecurityManager呢。
2.还有为什么和spring整合的时候直接在spring的配置文件中声明一个id为shiroFilter的bean然后web.xml中配置一个filter-name为shiroFilter的过滤器之后shiro就能工作了呢,是不是可以这样理解,web.xml中配置的过滤器的名字如果改了,那么在spring的配置文件中的那个bean的id也应该响应变化呢

我也有同样的问题,不知道您有没有解决方案,目前我也在做这方面的web应用,只是不知道从哪个方面入手。

在securityManager配置两个Realm分别对web和app进行身份校验;对应配置两个shiroFilter和filterChainDefinitions来对web和app的请求路径进行分管。
/api/**=HmacAuthc
/login = authc
/**=authc 
<entry key="authc" value-ref="captchaFilter" />
<entry key="HmacAuthc" value-ref="statelessAuthcFilter" />


我也有这需求和疑问,按照你的方式试了一下好像不行。这样在请求成功后还是会创建session,每次次请求都会创建新的session,内存会溢出的。


public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

通过调用context.setSessionCreationEnabled(false)表示不创建会话



我想轻微 调用这个方法之后 对整个程序是不是  都不创建Session 了?如何能动态创建session 移动接口需要无状态的,web 需要session




有大神解决这个问题了吗,留点思路啊


你的想法实现了吗?我也想实现同样的需求
17 楼 loveuserzzz 2016-05-19  
楼主,那上面那两问题最后配置文件得配两个realm吧,可是策略如何配置呢,我也遇到这个问题,好着急啊
16 楼 sbwfgihc 2016-05-15  
newitstar 写道
liuzhifeixff 写道
penwei 写道
liaowu010 写道
xumin_wlt 写道
wsrongdi111 写道
大神,我有两个问题有点不明白希望不吝赐教!
1.如果说一个应用既有有状态的web,又有无状态的app那么shiro对这种情况应该怎么控制呢,可不可以定义两个shiroFilter或者是配置多个SecurityManager呢。
2.还有为什么和spring整合的时候直接在spring的配置文件中声明一个id为shiroFilter的bean然后web.xml中配置一个filter-name为shiroFilter的过滤器之后shiro就能工作了呢,是不是可以这样理解,web.xml中配置的过滤器的名字如果改了,那么在spring的配置文件中的那个bean的id也应该响应变化呢

我也有同样的问题,不知道您有没有解决方案,目前我也在做这方面的web应用,只是不知道从哪个方面入手。

在securityManager配置两个Realm分别对web和app进行身份校验;对应配置两个shiroFilter和filterChainDefinitions来对web和app的请求路径进行分管。
/api/**=HmacAuthc
/login = authc
/**=authc 
<entry key="authc" value-ref="captchaFilter" />
<entry key="HmacAuthc" value-ref="statelessAuthcFilter" />


我也有这需求和疑问,按照你的方式试了一下好像不行。这样在请求成功后还是会创建session,每次次请求都会创建新的session,内存会溢出的。


public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

通过调用context.setSessionCreationEnabled(false)表示不创建会话



我想轻微 调用这个方法之后 对整个程序是不是  都不创建Session 了?如何能动态创建session 移动接口需要无状态的,web 需要session




有大神解决这个问题了吗,留点思路啊
15 楼 newitstar 2016-04-19  
liuzhifeixff 写道
penwei 写道
liaowu010 写道
xumin_wlt 写道
wsrongdi111 写道
大神,我有两个问题有点不明白希望不吝赐教!
1.如果说一个应用既有有状态的web,又有无状态的app那么shiro对这种情况应该怎么控制呢,可不可以定义两个shiroFilter或者是配置多个SecurityManager呢。
2.还有为什么和spring整合的时候直接在spring的配置文件中声明一个id为shiroFilter的bean然后web.xml中配置一个filter-name为shiroFilter的过滤器之后shiro就能工作了呢,是不是可以这样理解,web.xml中配置的过滤器的名字如果改了,那么在spring的配置文件中的那个bean的id也应该响应变化呢

我也有同样的问题,不知道您有没有解决方案,目前我也在做这方面的web应用,只是不知道从哪个方面入手。

在securityManager配置两个Realm分别对web和app进行身份校验;对应配置两个shiroFilter和filterChainDefinitions来对web和app的请求路径进行分管。
/api/**=HmacAuthc
/login = authc
/**=authc 
<entry key="authc" value-ref="captchaFilter" />
<entry key="HmacAuthc" value-ref="statelessAuthcFilter" />


我也有这需求和疑问,按照你的方式试了一下好像不行。这样在请求成功后还是会创建session,每次次请求都会创建新的session,内存会溢出的。


public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

通过调用context.setSessionCreationEnabled(false)表示不创建会话



我想轻微 调用这个方法之后 对整个程序是不是  都不创建Session 了?如何能动态创建session 移动接口需要无状态的,web 需要session
14 楼 mominghuan 2016-03-17  
跑了一下代码,并没有调用授权方法doGetAuthorizationInfo
13 楼 liuzhifeixff 2016-01-22  
penwei 写道
liaowu010 写道
xumin_wlt 写道
wsrongdi111 写道
大神,我有两个问题有点不明白希望不吝赐教!
1.如果说一个应用既有有状态的web,又有无状态的app那么shiro对这种情况应该怎么控制呢,可不可以定义两个shiroFilter或者是配置多个SecurityManager呢。
2.还有为什么和spring整合的时候直接在spring的配置文件中声明一个id为shiroFilter的bean然后web.xml中配置一个filter-name为shiroFilter的过滤器之后shiro就能工作了呢,是不是可以这样理解,web.xml中配置的过滤器的名字如果改了,那么在spring的配置文件中的那个bean的id也应该响应变化呢

我也有同样的问题,不知道您有没有解决方案,目前我也在做这方面的web应用,只是不知道从哪个方面入手。

在securityManager配置两个Realm分别对web和app进行身份校验;对应配置两个shiroFilter和filterChainDefinitions来对web和app的请求路径进行分管。
/api/**=HmacAuthc
/login = authc
/**=authc 
<entry key="authc" value-ref="captchaFilter" />
<entry key="HmacAuthc" value-ref="statelessAuthcFilter" />


我也有这需求和疑问,按照你的方式试了一下好像不行。这样在请求成功后还是会创建session,每次次请求都会创建新的session,内存会溢出的。


public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {

    @Override
    public Subject createSubject(SubjectContext context) {
        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }
}

通过调用context.setSessionCreationEnabled(false)表示不创建会话
12 楼 penwei 2016-01-12  
liaowu010 写道
xumin_wlt 写道
wsrongdi111 写道
大神,我有两个问题有点不明白希望不吝赐教!
1.如果说一个应用既有有状态的web,又有无状态的app那么shiro对这种情况应该怎么控制呢,可不可以定义两个shiroFilter或者是配置多个SecurityManager呢。
2.还有为什么和spring整合的时候直接在spring的配置文件中声明一个id为shiroFilter的bean然后web.xml中配置一个filter-name为shiroFilter的过滤器之后shiro就能工作了呢,是不是可以这样理解,web.xml中配置的过滤器的名字如果改了,那么在spring的配置文件中的那个bean的id也应该响应变化呢

我也有同样的问题,不知道您有没有解决方案,目前我也在做这方面的web应用,只是不知道从哪个方面入手。

在securityManager配置两个Realm分别对web和app进行身份校验;对应配置两个shiroFilter和filterChainDefinitions来对web和app的请求路径进行分管。
/api/**=HmacAuthc
/login = authc
/**=authc 
<entry key="authc" value-ref="captchaFilter" />
<entry key="HmacAuthc" value-ref="statelessAuthcFilter" />


我也有这需求和疑问,按照你的方式试了一下好像不行。这样在请求成功后还是会创建session,每次次请求都会创建新的session,内存会溢出的。
11 楼 msdev 2015-12-16  
楼主写的测试用例是有问题的?MultiValueMap是无序的,所以客户端和服务端生成的digest会不一样?
10 楼 liaowu010 2015-11-11  
xumin_wlt 写道
wsrongdi111 写道
大神,我有两个问题有点不明白希望不吝赐教!
1.如果说一个应用既有有状态的web,又有无状态的app那么shiro对这种情况应该怎么控制呢,可不可以定义两个shiroFilter或者是配置多个SecurityManager呢。
2.还有为什么和spring整合的时候直接在spring的配置文件中声明一个id为shiroFilter的bean然后web.xml中配置一个filter-name为shiroFilter的过滤器之后shiro就能工作了呢,是不是可以这样理解,web.xml中配置的过滤器的名字如果改了,那么在spring的配置文件中的那个bean的id也应该响应变化呢

我也有同样的问题,不知道您有没有解决方案,目前我也在做这方面的web应用,只是不知道从哪个方面入手。

在securityManager配置两个Realm分别对web和app进行身份校验;对应配置两个shiroFilter和filterChainDefinitions来对web和app的请求路径进行分管。
/api/**=HmacAuthc
/login = authc
/**=authc 
<entry key="authc" value-ref="captchaFilter" />
<entry key="HmacAuthc" value-ref="statelessAuthcFilter" />
9 楼 like_dark 2015-06-14  
哥们,你上面说的这个安全方案,感觉太麻烦了,每请求一个接口就得生成一个token,有没有有没有个好办法就是在登录的时候通过https请求,然后返回一个token,以后都通过http请求,只要做身份验证即可,麻烦提供个更好的方案啊
引用
1、每次客户端申请一个Token,然后使用该Token进行加密,而该Token是一次性的,即只能用一次;有点类似于OAuth2的Token机制,但是简单些;

2、客户端每次生成一个唯一的Token,然后使用该Token加密,这样服务器端记录下这些Token,如果之前用过就认为是非法请求。

8 楼 polluxtech 2015-05-10  
另外补充一点,在消息摘要中加入时间,其实是有效的抵制了“重放攻击”  :)
7 楼 polluxtech 2015-05-10  
另外关于可能会重复使用该摘要进行认证这个问题,除了楼主的两个方法外,还可以采用在生成消息摘要时加入当前时间,并在请求头中把这个时间一起传给服务器。服务器获得该时间后,采用相同算法算出该消息摘要,然后可以进一步判断该请求是否在有效时间,如果该请求超过一定的时间范围,则视为无效请求。
6 楼 chenlin_8898 2015-04-29  
博主牛X,太有用了 

相关推荐

    第十七章 OAuth2集成——《跟我学Shiro》 - 开涛的博客 - ITeye技术网站2

    在《跟我学Shiro》的第十七章中,作者开涛介绍了如何集成OAuth2,使用Apache Oltu作为OAuth2服务端的实现。实现中涉及以下关键部分: 1. **依赖**:引入了`authzserver`(授权服务器依赖)和`resourceserver`(资源...

    [资料][Java]跟我学Shiro教程_Java跟我学Shiro教程_shiro_

    Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。...阅读 "[资料][Java]跟我学Shiro教程.pdf",你将得到更详细的步骤指导和实践案例。

    跟我学Shiro

    总之,《跟我学Shiro》教程将带你全面理解 Shiro 的核心概念和使用技巧,帮助你构建安全可靠的 Java 应用程序。通过实践和深入学习,你将能够熟练运用 Shiro 来保护你的系统,为用户提供安全的交互体验。

    跟我一起学shiro 张开涛

    《跟我一起学Shiro——张开涛》这本书是针对初学者的优秀教程,旨在帮助读者快速理解和掌握Shiro的基本用法和核心概念。 **1. Shiro基础** Shiro的基础概念包括Subject、Realms、Cryptography和Session。Subject是...

    Shiro集成OAuth2

    Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,而OAuth2则是一种开放...总之,Shiro集成OAuth2可以提供更高级别的安全性和用户体验,是现代Web应用中常见的一种安全解决方案。

    跟我学Shiro-java开发+spring开发

    《跟我学Shiro-java开发+spring开发》是一个深入学习Java安全框架Shiro和Spring集成的教程,旨在帮助开发者掌握这两个关键技术在实际项目中的应用。Shiro是一个强大的且易用的Java安全框架,提供了认证、授权、加密...

    跟我学Shiro教程.rar

    "跟我学Shiro教程"这个资源显然是为了帮助学习者深入理解并掌握Shiro的核心概念和实际应用。 在Shiro的认证服务中,其主要目标是确认用户身份。这通常涉及用户登录过程,其中用户提供的凭证(如用户名和密码)被...

    跟我学shiro

    - **概念**:在 Web 应用中集成 Shiro,实现 Web 安全。 - **步骤**: - **环境准备**:配置 Web 应用的基本环境。 - **ShiroFilter**:通过 Filter 控制用户的访问权限。 - **WebINI 配置**:配置 Web 应用中的 ...

    跟我学Shiro教程及其课程分章节源码

    Apache Shiro是一个强大易用的Java安全框架,...我找了一版 跟我学Shiro教程PDF,里面讲的很详细.里面还附带了每个章节的源码.值得你收藏哟!饮水思源——原文出自:http://jinnianshilongnian.iteye.com/blog/2049092

    跟我学Shiro第12章Demo(仅JAVA SE+Web+Shiro权限注解)

    《跟我学Shiro第12章Demo:Java SE、Web与Shiro权限注解实践》 Apache Shiro是一款强大的安全框架,广泛应用于Java项目中,提供了身份验证、授权、会话管理和加密等功能。本Demo主要涵盖了Shiro在Java Standard ...

    shiro教程 跟我学Shiro教程

    "跟我学Shiro教程"资源包包含了全面学习Shiro所需的重要材料,包括文档和实践示例。 首先,我们来看《Apache_Shiro参考手册中文版.pdf》。这本书籍详细介绍了Shiro框架的各个组件和使用方法。通过阅读,你可以了解...

    《跟我学Shiro》- 张开涛.txt

    ***txt文件中含有下载地址** 《跟我学Shiro》- 张开涛,PDF版本,带目录,清晰。 示例源代码:https://github.com/zhangkaitao/shiro-example; 加qun 231889722 探讨Spring/Shiro技术。

    跟我学Shiro第12章Demo(仅JAVA SE+Web+Shiro权限注解)2

    《跟我学Shiro第12章Demo:Java SE+Web+Shiro权限注解实践》 Shiro是一款强大的安全管理框架,适用于Java环境中的身份验证、授权、会话管理和加密等功能。在第12章的Demo中,我们主要探讨的是如何在Java SE(标准版...

    跟我学Shiro教程 pdf

    《跟我学Shiro》PDF完结版下载, Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

    跟我学shiro源代码

    "跟我学Shiro源代码"是一份针对Shiro框架的详细教程,通过这本书,读者能够深入理解Shiro的核心概念和用法,并通过实际的代码示例来提升自己的技能。 1. **身份验证(Authentication)**:Shiro提供了一套完善的...

    web项目集成shirodemo

    "web项目集成shirodemo" 指的是一个Web应用程序项目,它已经集成了Apache Shiro安全框架。Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、加密和会话管理。这个项目可能是为了展示如何在Web环境中...

    跟我学shiro文档及源码

    在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...

Global site tag (gtag.js) - Google Analytics