shiro無状態web統合の例示コード
いくつかの環境では、Webアプリケーションを無状態にする必要があるかもしれません。すなわちサーバ端はセッションのようなものを記憶しないで、要求するたびに該当するユーザ名を持ってログインします。いくつかのRESTスタイルのAPIのように、OAuth 2プロトコルを使用しない場合、REST+HMAC認証などを使用してアクセスすることができる。HMAC(Hash-based Message Authentication Code):ハッシュに基づくメッセージ認証コードは、1つの鍵と1つのメッセージを入力として使用して、それらのメッセージ要約を生成する。この鍵はクライアントとサービス端末だけが知っています。他の第三者は分かりません。アクセス時にこのメッセージの要約を使って伝播し、サーバーでその要約を検証します。ユーザ名+パスワードだけを伝えるメッセージの要約は、他の人に取り込まれると重複して認証されます。解決方法:
1、クライアントがTokenを申請するたびに、Tokenを使って暗号化するが、Tokenは使い捨てで、つまり一回だけ使用できる。OAuth 2のTokenメカニズムに似ていますが、簡単です。
2、クライアントは、唯一のTokenを生成するたびに、Tokenを使って暗号化し、これらのTokenをサーバ側に記録し、以前使ったことがあれば、不法要求と見なしている。
簡単にするために、本明細書では、要求されたデータ(即ち、すべての要求のパラメータ)に対して、メッセージの要約を直接生成し、即ちデータを改竄することはできないが、他人に盗撮されて、何度も呼び出すことができる。解決方法は上記の通りです。
サーバ端
サーバ側については、セッションは生成されず、要求されるたびにユーザIDを付けて認証する。
サービスコントローラ
暗号化ツールクラス
cocodec.HmacSHA 256 Utils:
Subject工場
Stateless Authc Filter
FormAuthentication Filterと似ていますが、現在要求されているコンテキスト情報に従って要求ごとに登録される認証フィルタです。
Stteless Token
SttelessRealm
認証用のRealm。
Spring配置――spring-config-shiro.xml
他の構成はソースコードを参照してください。
クライアント
ここではSprigMVCから提供されたRestTemplateを使ってテストします。
ここでは便利のために、インラインキティサーバーを使ってサービスを開始します。
テストの成功状況
テストの失敗状況
ここで、全体のテストが完了しました。安全性のために、ここで紹介した解決策を考慮してください。
以上が本文の全部です。皆さんの勉強に役に立つように、私たちを応援してください。
1、クライアントがTokenを申請するたびに、Tokenを使って暗号化するが、Tokenは使い捨てで、つまり一回だけ使用できる。OAuth 2のTokenメカニズムに似ていますが、簡単です。
2、クライアントは、唯一のTokenを生成するたびに、Tokenを使って暗号化し、これらのTokenをサーバ側に記録し、以前使ったことがあれば、不法要求と見なしている。
簡単にするために、本明細書では、要求されたデータ(即ち、すべての要求のパラメータ)に対して、メッセージの要約を直接生成し、即ちデータを改竄することはできないが、他人に盗撮されて、何度も呼び出すことができる。解決方法は上記の通りです。
サーバ端
サーバ側については、セッションは生成されず、要求されるたびにユーザIDを付けて認証する。
サービスコントローラ
@RestController
public class ServiceController {
@RequestMapping("/hello")
public String hello1(String[] param1, String param2) {
return "hello" + param1[0] + param1[1] + param2;
}
}
アクセス/helloサービスの場合、param 1、param 2の要求パラメータが必要です。暗号化ツールクラス
cocodec.HmacSHA 256 Utils:
// ( )
public static String digest(String key, String content);
// Map ( )
public static String digest(String key, Map<String, ?> map)
Map生成メッセージの要約は、主にクライアント/サーバ端を往復するパラメータ生成メッセージの要約である。Subject工場
public class StatelessDefaultSubjectFactory extends DefaultWebSubjectFactory {
public Subject createSubject(SubjectContext context) {
// session
context.setSessionCreationEnabled(false);
return super.createSubject(context);
}
}
セッションを作成しないことをcontext.set Session CreationEnableを呼び出します。その後Subject.get Sessionを呼び出すと()DispabledSession Exceptionに異常があります。Stateless Authc Filter
FormAuthentication Filterと似ていますが、現在要求されているコンテキスト情報に従って要求ごとに登録される認証フィルタです。
public class StatelessAuthcFilter extends AccessControlFilter {
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
return false;
}
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
//1、
String clientDigest = request.getParameter(Constants.PARAM_DIGEST);
//2、
String username = request.getParameter(Constants.PARAM_USERNAME);
//3、
Map<String, String[]> params =
new HashMap<String, String[]>(request.getParameterMap());
params.remove(Constants.PARAM_DIGEST);
//4、 Token
StatelessToken token = new StatelessToken(username, params, clientDigest);
try {
//5、 Realm
getSubject(request, response).login(token);
} catch (Exception e) {
e.printStackTrace();
onLoginFail(response); //6、
return false;
}
return true;
}
// 401
private void onLoginFail(ServletResponse response) throws IOException {
HttpServletResponse httpResponse = (HttpServletResponse) response;
httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
httpResponse.getWriter().write("login error");
}
}
クライアントからのユーザ名、要求パラメータ、メッセージの要約を取得して、Stateless Tokenを生成する。その後、対応するRealmに認証を渡す。Stteless Token
public class StatelessToken implements AuthenticationToken {
private String username;
private Map<String, ?> params;
private String clientDigest;
//
public Object getPrincipal() { return username;}
public Object getCredentials() { return clientDigest;}
}
ユーザIDとはユーザ名です。証明書とは、クライアントからのメッセージの要約である。SttelessRealm
認証用のRealm。
public class StatelessRealm extends AuthorizingRealm {
public boolean supports(AuthenticationToken token) {
// StatelessToken Token
return token instanceof StatelessToken;
}
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// ,
String username = (String) principals.getPrimaryPrincipal();
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.addRole("admin");
return authorizationInfo;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
StatelessToken statelessToken = (StatelessToken) token;
String username = statelessToken.getUsername();
String key = getKey(username);// ( )
//
String serverDigest = HmacSHA256Utils.digest(key, statelessToken.getParams());
//
return new SimpleAuthenticationInfo(
username,
serverDigest,
getName());
}
private String getKey(String username) {// ,
if("admin".equals(username)) {
return "dadadswdewq2ewdwqdwadsadasd";
}
return null;
}
}
ここでは、まずクライアントからのユーザ名に基づいて、対応する鍵を取得し、鍵を使用して要求パラメータに対してサーバ端のメッセージの要約を生成する。その後、クライアントのメッセージの要約と一致する。マッチング説明が適法クライアントから着信された場合。そうでないと不法です。このような方法には抜け穴があり、一旦他の人がこの要求を取得すれば、繰り返し要求することができる。前に紹介した解決策を考慮することができます。Spring配置――spring-config-shiro.xml
<!-- Realm -->
<bean id="statelessRealm"
class="com.github.zhangkaitao.shiro.chapter20.realm.StatelessRealm">
<property name="cachingEnabled" value="false"/>
</bean>
<!-- Subject -->
<bean id="subjectFactory"
class="com.github.zhangkaitao.shiro.chapter20.mgt.StatelessDefaultSubjectFactory"/>
<!-- -->
<bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
<property name="sessionValidationSchedulerEnabled" value="false"/>
</bean>
<!-- -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="statelessRealm"/>
<property name="subjectDAO.sessionStorageEvaluator.sessionStorageEnabled"
value="false"/>
<property name="subjectFactory" ref="subjectFactory"/>
<property name="sessionManager" ref="sessionManager"/>
</bean>
<!-- SecurityUtils.setSecurityManager(securityManager) -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<property name="staticMethod"
value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
<property name="arguments" ref="securityManager"/>
</bean>
session ManagerはsessionValidation Scheduler Enbaledを通じてセッションスケジューラを無効にしています。私たちはセッションを無効にしていますので、もう定期的に期限が切れる必要はありません。
<bean id="statelessAuthcFilter"
class="com.github.zhangkaitao.shiro.chapter20.filter.StatelessAuthcFilter"/>
毎回認証を要求するスクリーンショットです。
<!-- Shiro Web -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="filters">
<util:map>
<entry key="statelessAuthc" value-ref="statelessAuthcFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/**=statelessAuthc
</value>
</property>
</bean>
すべての要求はstateless Authcスクリーンで認証されます。他の構成はソースコードを参照してください。
クライアント
ここではSprigMVCから提供されたRestTemplateを使ってテストします。
ここでは便利のために、インラインキティサーバーを使ってサービスを開始します。
public class ClientTest {
private static Server server;
private RestTemplate restTemplate = new RestTemplate();
@BeforeClass
public static void beforeClass() throws Exception {
// server
server = new Server(8080);
WebAppContext context = new WebAppContext();
String webapp = "shiro-example-chapter20/src/main/webapp";
context.setDescriptor(webapp + "/WEB-INF/web.xml"); // web.xml
context.setResourceBase(webapp); // webapp
context.setContextPath("/");
context.setParentLoaderPriority(true);
server.setHandler(context);
server.start();
}
@AfterClass
public static void afterClass() throws Exception {
server.stop(); //
}
}
テスト開始前にサーバーをオープンし、テスト終了時にサーバーを閉じます。テストの成功状況
@Test
public void testServiceHelloSuccess() {
String username = "admin";
String param11 = "param11";
String param12 = "param12";
String param2 = "param2";
String key = "dadadswdewq2ewdwqdwadsadasd";
MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
params.add(Constants.PARAM_USERNAME, username);
params.add("param1", param11);
params.add("param1", param12);
params.add("param2", param2);
params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
String url = UriComponentsBuilder
.fromHttpUrl("http://localhost:8080/hello")
.queryParams(params).build().toUriString();
ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
Assert.assertEquals("hello" + param11 + param12 + param2, responseEntity.getBody());
}
要求パラメータに対してメッセージのダイジェストを作成し、パラメータに連れてサーバ側に渡し、サーバ側が検証した後、該当サービスにアクセスし、データを返します。テストの失敗状況
@Test
public void testServiceHelloFail() {
String username = "admin";
String param11 = "param11";
String param12 = "param12";
String param2 = "param2";
String key = "dadadswdewq2ewdwqdwadsadasd";
MultiValueMap<String, String> params = new LinkedMultiValueMap<String, String>();
params.add(Constants.PARAM_USERNAME, username);
params.add("param1", param11);
params.add("param1", param12);
params.add("param2", param2);
params.add(Constants.PARAM_DIGEST, HmacSHA256Utils.digest(key, params));
params.set("param2", param2 + "1");
String url = UriComponentsBuilder
.fromHttpUrl("http://localhost:8080/hello")
.queryParams(params).build().toUriString();
try {
ResponseEntity responseEntity = restTemplate.getForEntity(url, String.class);
} catch (HttpClientErrorException e) {
Assert.assertEquals(HttpStatus.UNAUTHORIZED, e.getStatusCode());
Assert.assertEquals("login error", e.getResponseBodyAsString());
}
}
要求パラメータメッセージの要約を作成した後、パラメータの内容を改ざんし、サーバ側が受信した後に再生成メッセージの要約を行っても違いが分かります。ここで、全体のテストが完了しました。安全性のために、ここで紹介した解決策を考慮してください。
以上が本文の全部です。皆さんの勉強に役に立つように、私たちを応援してください。