专栏首页犀牛饲养员的技术笔记安全框架shiro入门示例

安全框架shiro入门示例

基本原理

原理也很简单,客户端的请求报文如下:

http://localhost:8080/paygateway/core/pay?amount=2&seq=12345678&username=admin&hmac=c85d26f8747da774447de3ef51e715773c8f077fc9f062972862956fefaa7a05

seq是流水号,每笔订单都不一样。username是固定admin,我用它来辨识身份。HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。

这里密钥是通过username去从数据库获取(相当于不同的username用不同的密钥),消息就是流水号,因为每笔交易都不同,所以hmac值也是每次请求都不一样。除非外部攻击者知道我的密钥,否则不可能伪造支付请求。

源码分析

首先是要重写subject工厂的创建方法,因为我希望创建的是不保存session(无状态)的subject

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory{

    private static Logger logger = LoggerFactory.getLogger(StatelessDefaultSubjectFactory.class);

    @Override
    public Subject createSubject(SubjectContext context) {

        //不创建session
        context.setSessionCreationEnabled(false);
        return super.createSubject(context);
    }

}

然后是重写认证过滤器。

public class StatelessAuthcFilter extends AccessControlFilter{

    private static Logger logger = LoggerFactory.getLogger(StatelessAuthcFilter.class);

    @Override
    protected boolean isAccessAllowed(ServletRequest arg0, ServletResponse arg1, Object arg2) throws Exception {

        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {


         //1、客户端生成的消息摘要
        String clientDigest = request.getParameter("hmac");

        logger.debug("clientDigest:"+clientDigest);

        //2、客户端传入的用户身份
        String username = request.getParameter("username");
        logger.debug("username:"+username);

        //订单流水
        String seq = request.getParameter("seq");
        logger.debug("seq:"+seq);

        //4、生成无状态Token
        StatelessToken token = new StatelessToken(username, seq, clientDigest);

        try {
            //5、委托给Realm进行登录
            logger.debug("try login");
            getSubject(request, response).login(token);
        } catch (Exception e) {
            e.printStackTrace();
            logger.error(e.getMessage());
            onLoginFail(response); //6、登录失败
            return false;
        }
        return true;
    }

    //登录失败时默认返回401状态码
    private void onLoginFail(ServletResponse response) throws IOException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType("text/html;charset=utf-8");
        String errmsg = "{\"err\":\"005\", \"msg\":\"没有权限\"}";
        httpResponse.getWriter().write(errmsg);
    }

}

AccessControlFilter是shiro-web模块当中比较重要的类,所有的拦截器都继承此类。它提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理。

isAccessAllowed方法表示是否允许访问,如果允许访问返回true,否则false;

onAccessDenied方法表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返回即可。

在onAccessDenied方法里,我获取客户端传递的用户名,流水号以及摘要字段,并用这些字段生成一个token用于验证(login)。流程如下:

  1. 首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
  2. SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
  3. Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。

所以下面就是自定义realm了,

public class StatelessRealm extends AuthorizingRealm{

    private static Logger logger = LoggerFactory.getLogger(StatelessRealm.class);

    //判断此Realm是否支持此Token 
    @Override
    public boolean supports(AuthenticationToken token) {

        //仅支持StatelessToken类型的Token
        return token instanceof StatelessToken;
    }


    //Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        logger.debug("doGetAuthenticationInfo");

        StatelessToken statelessToken = (StatelessToken) token; 
        String username = statelessToken.getUsername();
        logger.debug("username:"+username);

        String key = getKey(username);//根据用户名获取密钥(和客户端的一样)
        //在服务器端生成客户端参数消息摘要
        String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getSeq());

        //然后进行客户端消息摘要和服务器端消息摘要的匹配
        return new SimpleAuthenticationInfo(
                username,
                serverDigest,
                getName());
    }

    private String getKey(String username) {//得到密钥,此处硬编码一个
        if("admin".equals(username)) {
            return "aaaaaa22222222333333";
        }
        return null;
    }

}

AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm。Shiro从从Realm获取安全数据,然后和客户端传递的进行比较验证用户身份的合法性。

简单起见,我写了一个固定密钥,没有从数据库中取,不过原理是一样的。

最后是StatelessToken的实现,

public class StatelessToken implements AuthenticationToken{

    /**
     * 
     */
    private static final long serialVersionUID = 1L;

    private static Logger logger = LoggerFactory.getLogger(StatelessToken.class);

    private String username;
    private String seq; //流水号
    private String clientDigest;

    public StatelessToken(String username,  String seq, String clientDigest) {

        logger.debug("StatelessToken");
        this.username = username;
        this.seq = seq;
        this.clientDigest = clientDigest;
    }

    public String getSeq() {
        return seq;
    }

    public void setSeq(String seq) {
        this.seq = seq;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getClientDigest() {
        return clientDigest;
    }

    public void setClientDigest(String clientDigest) {
        this.clientDigest = clientDigest;
    }

    @Override
    public Object getCredentials() {
        return clientDigest;
    }

    @Override
    public Object getPrincipal() {
        return username;
    }

}

shiro的配置文件如下,都加了注释说明,不多讲了。

<!--statelessReealm-->
    <bean id="statelessRealm" class="com.inn.pay.shiro.StatelessRealm">

    </bean>

    <!-- Subject工厂 -->  
    <bean id="subjectFactory" class="com.inn.pay.shiro.StatelessDefaultSubjectFactory"/>  

    <!-- 会话管理器 -->  
    <bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">  
        <property name="sessionValidationSchedulerEnabled" value="false"/>  
    </bean>

    <!--配置securityManager-->
    <!-- Shiro安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="statelessRealm"/>
        <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"  value="false"/>  
        <property name="subjectFactory" ref="subjectFactory"/>  
        <property name="sessionManager" ref="sessionManager"/> 
    </bean>

    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->  
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">  
        <property name="staticMethod"
          value="org.apache.shiro.SecurityUtils.setSecurityManager"/>  
        <property name="arguments" ref="securityManager"/>  
    </bean>

    <!--statelessFilter-->
    <bean id="statelessAuthcFilter" class="com.inn.pay.shiro.StatelessAuthcFilter"/>

    <!--配置shiroFilter-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 --> 
        <property name="securityManager" ref="securityManager"/>
        <property name="filters">
            <util:map>
                <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
            </util:map>
        </property>
        <!--过滤链定义-->
        <property name="filterChainDefinitions">
            <value>
                /core/getNotify=anon
                /core/**=statelessAuthc
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

有一处特殊强调下:

<property name="filterChainDefinitions">
            <value>
                /core/getNotify=anon
                /core/**=statelessAuthc
            </value>
</property>

filterChainDefinitions的配置顺序为自上而下,以最上面的为准, 如果你写成这样:

<property name="filterChainDefinitions">
            <value>
                /core/**=statelessAuthc
                /core/getNotify=anon
            </value>
</property>

本文分享自微信公众号 - 犀牛饲养员的技术笔记(coder_start_up),作者:siwuxie18

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 你真的了解LinkedBlockingQueue的put,add和offer的区别吗

    LinkedBlockingQueue的put,add和offer这三个方法功能很相似,都是往队列尾部添加一个元素。既然都是同样的功能,为啥要有有三个方法呢?

    用户7634691
  • fastjson远程代码执行漏洞问题分析

    fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明,

    用户7634691
  • maven导入jar包到本地仓库

    很多时候通过maven来远程下载jar包,由于网速或者仓库地址问题导致下载失败或者非常缓慢。还有一种情况是,我们用的一些三方jar包,中央仓库并没有,比如一些开...

    用户7634691
  • go2school-1

    我司大佬紫月苏最近在QCon上听了关于Go语言的洗脑报告,回来之后给各位普及了go的一些基本情况和未来发展,感觉大家兴致很浓,于是就在我司内部gitlab上开了...

    职场亮哥
  • 【Leet Code】53. Maximum Subarray

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    韩旭051
  • 【leetcode刷题】20T24-跳跃游戏

    https://leetcode-cn.com/problems/jump-game

    木又AI帮
  • 通过 Smb 上传文件到电脑(无需密码)

    win10基本都关闭了SMB1,但是win7是可以使用的,可以设置打开SMB1。也可以使用 SMB2/SMB3 。

    Jingbin
  • 厚土Go学习笔记 | 13. 用循环和函数 实现Sqrt(x)

    利用前面学习的循环和函数,来实现 Sqrt(x)。并且与math.Sqrt(x)的结果做一下比较。 这个很有意思,所以,把中间不断带入的变化值都打印出来。 使用...

    李海彬
  • 推荐一个以动画效果显示github提交记录的黑科技工具:Gource

    程序员每天都会使用到git的一系列命令。其中用git log命令可以查看提交历史记录:

    Jerry Wang
  • (29) 剖析String / 计算机程序的思维逻辑

    上节介绍了单个字符的封装类Character,本节介绍字符串类。字符串操作大概是计算机程序中最常见的操作了,Java中表示字符串的类是String,本节就来详细...

    swiftma

扫码关注云+社区

领取腾讯云代金券