目录贴： 跟我学Shiro目录贴

在一些环境中，可能需要把Web应用做成无状态的，即服务器端无状态，就是说服务器端不会存储像会话这种东西，而是每次请求时带上相应的用户名进行登录。如一些REST风格的API，如果不使用OAuth2协议，就可以使用如REST+HMAC认证进行访问。HMAC（Hash-based Message Authentication Code）：基于散列的消息认证码，，使用一个密钥和一个消息作为输入，生成它们的消息摘要。注意该密钥只有客户端和服务端知道，其他第三方是不知道的。访问时使用该消息摘要进行传播，服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要，一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如：

1、每次客户端申请一个Token，然后使用该Token进行加密，而该Token是一次性的，即只能用一次；有点类似于OAuth2的Token机制，但是简单些；

2、客户端每次生成一个唯一的Token，然后使用该Token加密，这样服务器端记录下这些Token，如果之前用过就认为是非法请求。

为了简单，本文直接对请求的数据（即全部请求的参数）生成消息摘要，即无法篡改数据，但是可能被别人窃取而能多次调用。解决办法如上所示。

服务器端

对于服务器端，不生成会话，而是每次请求时带上用户身份进行认证。

服务控制器

Java代码  

@RestController  

public class ServiceController {  

    @RequestMapping("/hello")  

    public String hello1(String[] param1, String param2) {  

        return "hello" + param1[0] + param1[1] + param2;  

    }  

}   

当访问/hello服务时，需要传入param1、param2两个请求参数。

加密工具类

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils： 

Java代码  

//使用指定的密码对内容生成消息摘要（散列值）  

public static String digest(String key, String content);  

//使用指定的密码对整个Map的内容生成消息摘要（散列值）  

public static String digest(String key, Map<String, ?> map)   

对Map生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。

Subject工厂  

Java代码  

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {  

    public Subject createSubject(SubjectContext context) {  

        //不创建session  

        context.setSessionCreationEnabled(false);  

        return super.createSubject(context);  

    }  

}   

通过调用context.setSessionCreationEnabled(false)表示不创建会话；如果之后调用Subject.getSession()将抛出DisabledSessionException异常。

StatelessAuthcFilter

类似于FormAuthenticationFilter，但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。

Java代码  

public class StatelessAuthcFilter extends AccessControlFilter {  

  protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {  

      return false;  

  }  

  protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {  

    //1、客户端生成的消息摘要  

    String clientDigest = request.getParameter(Constants.PARAM_DIGEST);  

    //2、客户端传入的用户身份  

String username = request.getParameter(Constants.PARAM_USERNAME);  

    //3、客户端请求的参数列表  

    Map<String, String[]> params =   

      new HashMap<String, String[]>(request.getParameterMap());  

    params.remove(Constants.PARAM_DIGEST);  

    //4、生成无状态Token  

    StatelessToken token = new StatelessToken(username, params, clientDigest);  

    try {  

      //5、委托给Realm进行登录  

      getSubject(request, response).login(token);  

    } catch (Exception e) {  

      e.printStackTrace();  

      onLoginFail(response); //6、登录失败  

      return false;  

    }  

    return true;  

  }  

  //登录失败时默认返回401状态码  

  private void onLoginFail(ServletResponse response) throws IOException {  

    HttpServletResponse httpResponse = (HttpServletResponse) response;  

    httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);  

    httpResponse.getWriter().write("login error");  

  }  

}  

   

获取客户端传入的用户名、请求参数、消息摘要，生成StatelessToken；然后交给相应的Realm进行认证。

StatelessToken   

Java代码  

public class StatelessToken implements AuthenticationToken {  

    private String username;  

    private Map<String, ?> params;  

    private String clientDigest;  

    //省略部分代码  

    public Object getPrincipal() {  return username;}  

    public Object getCredentials() {  return clientDigest;}  

}   

用户身份即用户名；凭证即客户端传入的消息摘要。

StatelessRealm 

用于认证的Realm。

Java代码  

public class StatelessRealm extends AuthorizingRealm {  

    public boolean supports(AuthenticationToken token) {  

        //仅支持StatelessToken类型的Token  

        return token instanceof StatelessToken;  

    }  

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  

        //根据用户名查找角色，请根据需求实现  

        String username = (String) principals.getPrimaryPrincipal();  

        SimpleAuthorizationInfo authorizationInfo =  new SimpleAuthorizationInfo();  

        authorizationInfo.addRole("admin");  

        return authorizationInfo;  

    }  

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  

        StatelessToken statelessToken = (StatelessToken) token;  

        String username = statelessToken.getUsername();  

        String key = getKey(username);//根据用户名获取密钥（和客户端的一样）  

        //在服务器端生成客户端参数消息摘要  

        String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());  

        //然后进行客户端消息摘要和服务器端消息摘要的匹配  

        return new SimpleAuthenticationInfo(  

                username,  

                serverDigest,  

                getName());  

    }  

      

    private String getKey(String username) {//得到密钥，此处硬编码一个  

        if("admin".equals(username)) {  

            return "dadadswdewq2ewdwqdwadsadasd";  

        }  

        return null;  

    }  

}