在一些环境中，可能需要把Web应用做成无状态的，即服务器端无状态，就是说服务器端不会存储像会话这种东西，而是每次请求时带上相应的用户名进行登录。如一些REST风格的API，如果不使用OAuth2协议，就可以使用如REST+HMAC认证进行访问。HMAC（Hash-based Message Authentication Code）：基于散列的消息认证码，使用一个密钥和一个消息作为输入，生成它们的消息摘要。注意该密钥只有客户端和服务端知道，其他第三方是不知道的。访问时使用该消息摘要进行传播，服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要，一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如：

1、每次客户端申请一个Token，然后使用该Token进行加密，而该Token是一次性的，即只能用一次；有点类似于OAuth2的Token机制，但是简单些；

2、客户端每次生成一个唯一的Token，然后使用该Token加密，这样服务器端记录下这些Token，如果之前用过就认为是非法请求。

为了简单，本文直接对请求的数据（即全部请求的参数）生成消息摘要，即无法篡改数据，但是可能被别人窃取而能多次调用。解决办法如上所示。

服务器端

对于服务器端，不生成会话，而是每次请求时带上用户身份进行认证。

服务控制器

@RestController 
public class ServiceController { 
  @RequestMapping("/hello") 
  public String hello1(String[] param1, String param2) { 
    return "hello" + param1[0] + param1[1] + param2; 
  } 
} 

当访问/hello服务时，需要传入param1、param2两个请求参数。

加密工具类

com.github.zhangkaitao.shiro.chapter20.codec.HmacSHA256Utils： 

//使用指定的密码对内容生成消息摘要（散列值） 
public static String digest(String key, String content); 
//使用指定的密码对整个Map的内容生成消息摘要（散列值） 
public static String digest(String key, Map<String, ?> map)  

对Map生成消息摘要主要用于对客户端/服务器端来回传递的参数生成消息摘要。

Subject工厂  

public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory { 
  public Subject createSubject(SubjectContext context) { 
    //不创建session 
    context.setSessionCreationEnabled(false); 
    return super.createSubject(context); 
  } 
}  

通过调用context.setSessionCreationEnabled(false)表示不创建会话；如果之后调用Subject.getSession()将抛出DisabledSessionException异常。

StatelessAuthcFilter

类似于FormAuthenticationFilter，但是根据当前请求上下文信息每次请求时都要登录的认证过滤器。

public class StatelessAuthcFilter extends AccessControlFilter { 
 protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { 
   return false; 
 } 
 protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { 
  //1、客户端生成的消息摘要 
  String clientDigest = request.getParameter(Constants.PARAM_DIGEST); 
  //2、客户端传入的用户身份 
String username = request.getParameter(Constants.PARAM_USERNAME); 
  //3、客户端请求的参数列表 
  Map<String, String[]> params =  
   new HashMap<String, String[]>(request.getParameterMap()); 
  params.remove(Constants.PARAM_DIGEST); 
  //4、生成无状态Token 
  StatelessToken token = new StatelessToken(username, params, clientDigest); 
  try { 
   //5、委托给Realm进行登录 
   getSubject(request, response).login(token); 
  } catch (Exception e) { 
   e.printStackTrace(); 
   onLoginFail(response); //6、登录失败 
   return false; 
  } 
  return true; 
 } 
 //登录失败时默认返回401状态码 
 private void onLoginFail(ServletResponse response) throws IOException { 
  HttpServletResponse httpResponse = (HttpServletResponse) response; 
  httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED); 
  httpResponse.getWriter().write("login error"); 
 } 
} 

获取客户端传入的用户名、请求参数、消息摘要，生成StatelessToken；然后交给相应的Realm进行认证。

StatelessToken   

public class StatelessToken implements AuthenticationToken { 
  private String username; 
  private Map<String, ?> params; 
  private String clientDigest; 
  //省略部分代码 
  public Object getPrincipal() { return username;} 
  public Object getCredentials() { return clientDigest;} 
}  

用户身份即用户名；凭证即客户端传入的消息摘要。

StatelessRealm 

用于认证的Realm。

public class StatelessRealm extends AuthorizingRealm { 
  public boolean supports(AuthenticationToken token) { 
    //仅支持StatelessToken类型的Token 
    return token instanceof StatelessToken; 
  } 
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 
    //根据用户名查找角色，请根据需求实现 
    String username = (String) principals.getPrimaryPrincipal(); 
    SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); 
    authorizationInfo.addRole("admin"); 
    return authorizationInfo; 
  } 
  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { 
    StatelessToken statelessToken = (StatelessToken) token; 
    String username = statelessToken.getUsername(); 
    String key = getKey(username);//根据用户名获取密钥（和客户端的一样） 
    //在服务器端生成客户端参数消息摘要 
    String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams()); 
    //然后进行客户端消息摘要和服务器端消息摘要的匹配 
    return new SimpleAuthenticationInfo( 
        username, 
        serverDigest, 
        getName()); 
  } 
   
  private String getKey(String username) {//得到密钥，此处硬编码一个 
    if("admin".equals(username)) { 
      return "dadadswdewq2ewdwqdwadsadasd"; 
    } 
    return null; 
  } 
} 

此处首先根据客户端传入的用户名获取相应的密钥，然后使用密钥对请求参数生成服务器端的消息摘要；然后与客户端的消息摘要进行匹配；如果匹配说明是合法客户端传入的；否则是非法的。这种方式是有漏洞的，一旦别人获取到该请求，可以重复请求；可以考虑之前介绍的解决方案。

Spring配置——spring-config-shiro.xml 

<!-- Realm实现 --> 
<bean id="statelessRealm"  
 class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm"> 
  <property name="cachingEnabled" value="false"/> 
</bean> 
<!-- Subject工厂 --> 
<bean id="subjectFactory"  
 class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/> 
<!-- 会话管理器 --> 
<bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager"> 
  <property name="sessionValidationSchedulerEnabled" value="false"/> 
</bean> 
<!-- 安全管理器 --> 
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 
  <property name="realm" ref="statelessRealm"/> 
  <property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled" 
   value="false"/> 
  <property name="subjectFactory" ref="subjectFactory"/> 
  <property name="sessionManager" ref="sessionManager"/> 
</bean> 
<!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) --> 
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"> 
  <property name="staticMethod"  
   value="org.apache.shiro.SecurityUtils.setSecurityManager"/> 
  <property name="arguments" ref="securityManager"/> 
</bean> 

sessionManager通过sessionValidationSchedulerEnabled禁用掉会话调度器，因为我们禁用掉了会话，所以没必要再定期过期会话了。 

<bean id="statelessAuthcFilter"  
  class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/> 

每次请求进行认证的拦截器。 

<!-- Shiro的Web过滤器 --> 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 
  <property name="securityManager" ref="securityManager"/> 
  <property name="filters"> 
    <util:map> 
      <entry key="statelessAuthc" value-ref="statelessAuthcFilter"/> 
    </util:map> 
  </property> 
  <property name="filterChainDefinitions"> 
    <value> 
      /**=statelessAuthc 
    </value> 
  </property> 
</bean> 

所有请求都将走statelessAuthc拦截器进行认证。

其他配置请参考源代码。

客户端

此处使用SpringMVC提供的RestTemplate进行测试。 

此处为了方便，使用内嵌jetty服务器启动服务端： 

public class ClientTest { 
  private static Server server; 
  private RestTemplate restTemplate = new RestTemplate(); 
  @BeforeClass 
  public static void beforeClass() throws Exception { 
    //创建一个server 
    server = new Server(8080); 
    WebAppContext context = new WebAppContext(); 
    String webapp = "shiro-example-chapter20/src/main/webapp"; 
    context.setDescriptor(webapp + "/WEB-INF/web.xml"); //指定web.xml配置文件 
    context.setResourceBase(webapp); //指定webapp目录 
    context.setContextPath("/"); 
    context.setParentLoaderPriority(true); 
    server.setHandler(context); 
    server.start(); 
  } 
  @AfterClass 
  public static void afterClass() throws Exception { 
    server.stop(); //当测试结束时停止服务器 
  } 
} 

在整个测试开始之前开启服务器，整个测试结束时关闭服务器。

测试成功情况 

@Test 
public void testServiceHelloSuccess() { 
  String username = "admin"; 
  String param11 = "param11"; 
  String param12 = "param12"; 
  String param2 = "param2"; 
  String key = "dadadswdewq2ewdwqdwadsadasd"; 
  MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>(); 
  params.add(Constants.PARAM_USERNAME, username); 
  params.add("param1", param11); 
  params.add("param1", param12); 
  params.add("param2", param2); 
  params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params)); 
  String url = UriComponentsBuilder 
      .fromHttpUrl("http://localhost:8080/hello") 
      .queryParams(params).build().toUriString(); 
   ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class); 
  Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody()); 
}   

对请求参数生成消息摘要后带到参数中传递给服务器端，服务器端验证通过后访问相应服务，然后返回数据。

测试失败情况 

@Test 
public void testServiceHelloFail() { 
  String username = "admin"; 
  String param11 = "param11"; 
  String param12 = "param12"; 
  String param2 = "param2"; 
  String key = "dadadswdewq2ewdwqdwadsadasd"; 
  MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>(); 
  params.add(Constants.PARAM_USERNAME, username); 
  params.add("param1", param11); 
  params.add("param1", param12); 
  params.add("param2", param2); 
  params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params)); 
  params.set("param2", param2 + "1"); 
 
  String url = UriComponentsBuilder 
      .fromHttpUrl("http://localhost:8080/hello") 
      .queryParams(params).build().toUriString(); 
  try { 
    ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class); 
  } catch (HttpClientErrorException e) { 
    Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode()); 
    Assert.assertEquals("login error", e.getResponseBodyAsString()); 
  } 
}   

在生成请求参数消息摘要后，篡改了参数内容，服务器端接收后进行重新生成消息摘要发现不一样，报401错误状态码。

到此，整个测试完成了，需要注意的是，为了安全性，请考虑本文开始介绍的相应解决方案。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

# shiro  # 无状态  # shiro无状态web集成  # spring boot 1.5.4 集成shiro+cas  # 实现单点登录和权限控制  # SpringBoot集成Shiro进行权限控制和管理的示例  # springmvc集成shiro登录权限示例代码  # spring boot集成shiro详细教程(小结)  # 详解Spring Boot 集成Shiro和CAS  # spring boot 集成shiro的配置方法  # Spring Boot集成Shiro并利用MongoDB做Session存储的方法详解  # 详解spring与shiro集成  # Spring 应用中集成 Apache Shiro的方法  # Shiro集成Spring之注解示例详解  # 客户端  # 服务端  # 管理器  # 类似于  # 解决办法  # 结束时  # 的是  # 拦截器  # 是有  # 都要  # 则是  # 掉了  # 都将  # 用过  # 所示  # 第三方  # 到此  # 主要用于  # 只能用  # 话了 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何快速搭建高效服务器建站系统？  Laravel如何处理JSON字段的查询和更新_Laravel JSON列操作与查询技巧  原生JS获取元素集合的子元素宽度实例  Laravel的辅助函数有哪些_Laravel常用Helpers函数提高开发效率  邀请函制作网站有哪些,有没有做年会邀请函的网站啊？在线制作，模板很多的那种？  惠州网站建设制作推广,惠州市华视达文化传媒有限公司怎么样？  Python企业级消息系统教程_KafkaRabbitMQ高并发应用  mc皮肤壁纸制作器,苹果平板怎么设置自己想要的壁纸我的世界？  Laravel怎么导出Excel文件_Laravel Excel插件使用教程  青岛网站建设如何选择本地服务器？  Win11怎样安装网易有道词典_Win11安装词典教程【步骤】  如何用AI一键生成爆款短视频文案？小红书AI文案写作指令【教程】  Laravel Vite是做什么的_Laravel前端资源打包工具Vite配置与使用  JS经典正则表达式笔试题汇总  Laravel怎么调用外部API_Laravel Http Client客户端使用  利用JavaScript实现拖拽改变元素大小  Laravel如何实现登录错误次数限制_Laravel自带LoginThrottles限流配置【方法】  Laravel如何与Vue.js集成_Laravel + Vue前后端分离项目搭建指南  香港服务器建站指南：免备案优势与SEO优化技巧全解析  焦点电影公司作品,电影焦点结局是什么？  Laravel PHP版本要求一览_Laravel各版本环境要求对照  网站设计制作书签怎么做,怎样将网页添加到书签/主页书签/桌面？  laravel怎么用DB facade执行原生SQL查询_laravel DB facade原生SQL执行方法  HTML 中动态设置元素 name 属性的正确语法详解  Win11怎么查看显卡温度 Win11任务管理器查看GPU温度【技巧】  Laravel如何发送邮件_Laravel Mailables构建与发送邮件的简明教程  网页制作模板网站推荐,网页设计海报之类的素材哪里好？  Laravel Facade的原理是什么_深入理解Laravel门面及其工作机制  高防服务器租用首荐平台，企业级优惠套餐快速部署  Laravel的Blade指令怎么自定义_创建你自己的Laravel Blade Directives  php在windows下怎么调试_phpwindows环境调试操作说明【操作】  Laravel Seeder怎么填充数据_Laravel数据库填充器的使用方法与技巧  详解Oracle修改字段类型方法总结  EditPlus中的正则表达式实战(6)  如何用腾讯建站主机快速创建免费网站？  电商网站制作多少钱一个,电子商务公司的网站制作费用计入什么科目？  Laravel如何优化应用性能？（缓存和优化命令）  bing浏览器学术搜索入口_bing学术文献检索地址  手机网站制作与建设方案,手机网站如何建设？  动图在线制作网站有哪些,滑动动图图集怎么做？  黑客如何利用漏洞与弱口令入侵网站服务器？  佛山企业网站制作公司有哪些,沟通100网上服务官网？  桂林网站制作公司有哪些,桂林马拉松怎么报名？  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  专业商城网站制作公司有哪些,pi商城官网是哪个？  Win11怎么恢复误删照片_Win11数据恢复工具使用【推荐】  Laravel Eloquent模型如何创建_Laravel ORM基础之Model创建与使用教程  Laravel如何使用Gate和Policy进行授权？（权限控制）  如何在HTML表单中获取用户输入并用JavaScript动态控制复利计算循环  用v-html解决Vue.js渲染中html标签不被解析的问题