Hessian 权限认证

最新推荐文章于 2019-01-24 20:02:46 发布
原创 最新推荐文章于 2019-01-24 20:02:46 发布 · 189 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hessian

本文详细介绍了在使用Hessian进行对象序列化时,如何通过添加用户名密码验证和Token来提升安全性。包括修改服务器端配置以实现权限验证,以及调整客户端连接方式以发送验证信息。同时讨论了在实现安全措施后可能对程序性能的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Hessian 权限认证 
Hessian的一些基本简介已经在上一节已经全部介绍了,上一节还介绍了Hessian是把对象序列化为二进制流的形式在http信道中传输,那么对于安全性高的应用不应该采用hessian(比如网上支付等)、可以加一些权限验证,比如在服务器端加用户名,密码验证,然后在客户端提供用户名和密码,可如此一来用户名密码也会被捕获,毕竟用户名密码都在Http请求中,如果安全级别特别高的可以加Token,也就是加一层发送前的预备,如下图: 
 
这样的话,既使请求被拦截,他们得到的也只不过是一个过期的Token,无法再一次发送到服务端,当然哪个程序都一样,安全级别一高就会添加很多的操作,就像开着防火墙网速会受一定的影响.下面我来介绍简单的权限认证,后续再结合实践优化程序. 
修改服务端程序如下: 

 

public class YclHessianServiceExporter extends HessianServiceExporter { 
	public static final String AUTH = "ycl";
	@Override
	public void handleRequest(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		String auth = request.getHeader("auth");
		if(auth == null || !auth.equalsIgnoreCase(AUTH)){ 
			//记录异常日志
			return ;
		}
		super.handleRequest(request, response);
	}

}

 服务器配置修改如下: 

 

<bean name="/PersonManager" 
		class="org.springframework.remoting.caucho.YclHessianServiceExporter">
		
		<!--  需要导出的目标bean--> 
        <property name="service" >
        	<ref bean="personManager" />
        </property> 
        <!--  Hessian服务的接口--> 
        <property name="serviceInterface" value="com.module.PersonManager"/>  
	</bean>
 

修改客户端程序如下(这是一个代理工厂,每一次客户端通过代码连接服务器时都会先通过URL来得到服务器端的连接) 

 

public class YclHessianProxyFactory extends HessianProxyFactory{

	@Override
	protected URLConnection openConnection(URL url) throws IOException {
		URLConnection conn = super.openConnection(url);
        conn.setRequestProperty("AUTH", "ycl");
        return conn; 
	}

}
 

客户端配置如下: 

 

<!-- PersonManager服务 -->
	<bean id="personManagerClient"
		class="org.springframework.remoting.caucho.HessianProxyFactoryBean">
		<property name="serviceUrl">
			<value>
				http://localhost/Hessian/remoting/PersonManager
			</value>
		</property>
		<property name="serviceInterface">
			<value>com.module.PersonManager</value>
		</property>
		  <property name="proxyFactory">
            <bean class="com.caucho.hessian.client.YclHessianProxyFactory"/> 
       </property> 
	</bean>

 如此一来,在服务器启动的时候接收信息时,就会添加验证,如果Auth验证不通过,那么就不会再继续执行以下的程序.这种方式是能够解决权限验证方式,但是如何添加Token,使用这种方式如果请求被拦截,服务还是可以被窃取,这将在下一节学习,这一节要结合上一节.

 

 

原文:http://a123159521.iteye.com/blog/742718

权限管理系统--Bootstrap框架/JasigCAS单点登录/Dubbo接口授
Java之旅
10-07 2万+
通用权限管理系统-Bootstrap框架/JasigCAS单点登录/Dubbo接口授: 已经放到GitHub,请参阅这里:https://github.com/pumadong/cl-privilege 这已经是第三个版本,放弃了Thrift这个通讯框架,改用Dubbo;对于界面,采用MetroNic这套基于BootStrap和JQuery框架的模板。 代码下载:git clone git@github.com:pumadong/cl-privilege.git 。 权限系统核心表单: 系统模块表:
[Spring] Hessian权限认证,加密前面
hck341204的专栏
03-06 289
Hessian的一些基本简介已经在上一节已经全部介绍了,上一节还介绍了Hessian是把对象序列化为二进制流的形式在http信道中传输,那么对于安全性高的应用不应该采用hessian(比如网上支付等)、可以加一些权限验证,比如在服务器端加用户名,密码验证,然后在客户端提供用户名和密码,可如此一来用户名密码也会被捕获,毕竟用户名密码都在Http请求中,如果安全级别特别高的可以加Token,也就是加一...
[Spring] Hessian权限认证
luotangsha的专栏
08-03 5746
Hessian的一些基本简介已经在上一节已经全部介绍了,上一节还介绍了Hessian是把对象序列化为二进制流的形式在http信道中传输,那么对于安全性高的应用不应该采用hessian(比如网上支付等)、可以加一些权限验证,比如在服务器端加用户名,密码验证,然后在客户端提供用户名和
Hessian 使用 Authorization 做验证
u011186019的专栏
04-07 1408
版本:Hessian 4.0.38 //客户端代码 String url = "http://192.168.2.88:8081/sh/orders"; HessianProxyFactory factory = new HessianProxyFactory(); factory.setUser("yaoxun"); //增加用户 factory.setPassword("123456");
Hessian Token权限认证
犀利的代码总是很精炼
08-20 307
添加Token验证,如何生成Token,计算方式如下,采用不可逆转的方式生成[MD5加密]: 服务器端存储Token,采用线程安全的Map 客户端在发送业务请求前,先去服务器端申请一个Token,然后发送请求时把token和业务类一起发送,这时会发送请求超时和权限验证,因为Token只有一次有效,废话不说,代码如下: Token接口: [code="java"] public inte...
Spring+iBatis集成Hessian接口实现详解
在Spring和Struts2框架中,通常会有权限拦截器来处理用户认证。但在Hessian接口中,我们希望直接调用服务,避免认证流程。为此,需要自定义拦截器,重写其行为,确保Hessian请求能够被正确处理,不经过常规的认证...
Hessian与Spring整合实战
在实际应用中,为了提高服务的稳定性和安全性,我们还需要考虑异常处理、服务注册与发现、负载均衡、安全认证等额外的配置和策略。同时,对于大型项目,可能需要使用服务治理框架如Dubbo或Spring Cloud,它们提供了...
权限管理
04-07
权限管理的上下文中,如果Hessian服务涉及敏感操作,我们需要在客户端和服务端都实现相应的权限校验,确保只有经过授的调用才能执行。 总结起来,权限管理是系统安全的重要组成部分,涉及到用户身份验证、资源...
Java权限管理系统源码:Dubbo与Shiro框架应用
- **Shiro安全框架的应用**:在构建权限管理系统时,Shiro主要负责用户的身份认证和授。Shiro通过定义用户角色和权限,结合用户身份信息进行访问控制。例如,它可能会限制某些URL只对特定角色的用户开放,或者要求...
Hessian
Enter
11-09 217
Hessian 分为服务端和客户端 遵循http协议         客户端:远程调用接口 通过序列化流传输到服务器端 服务端:提供服务的实现和对外的接口 调用相关服务反序列化流返回结果给客户端 客户端核心类 HessianProxy 处理客户端请求,采用proxy模式调用远程服务接口输出序列化流到服务器端 服务器端核心类 HessianSkeleton 通过反序列化流读取调用的方法和
Hessian配置用户名和密码
赵侠客
01-26 2854
原文链接 http://www.zhaochao.net/index.php/2016/01/26/12/配置原因随着业务的发展项目会变的越来越多,项目需要进行模块化与服务化,服务化中常用的方法就是使用RPC技术,Hessian就是常用的一种RPC技术。之前用过Hessian,没有考虑太多,只是用用,最近想了想Hessina没有安全验证,将URL发部到网上后,只要别人知道你的URL,再知道你的方法,
Hessian实战应用之获取客户端请求URL和重新转发客户端请求
我的IT技术杂谈
04-15 511
在项目中,可能存对Hessian的特殊的要求改造,以下两个例子就是我在项目中遇到的   一、对服务器方法调用前做一些校验,获取客户端请求参数 实现方法:继承com.caucho.hessian.server.HessianServlet重写service方法,代码如下: /** * 本地化的HessianServlet,用于服务务器方法调用前的校验 * * @author ...
hessian-添加安全机制
每天积累一点,一年后你会发现,自己变化很大
04-07 2893
Hessian和Burlap是caucho公司提供的开源协议,基于HTTP传输,服务端不用开防火墙端口。协议的规范公开,可以用于任意语言。 相比于常用的RPC协议WebService来说,hessian更加简单高效,速度更快,只需要简单的配置即可,无需生成任何类。相对于RMI 来说,hessian支持多种语言和平台,速度也不逊于前者。相对于ICE,hessian是基于http协议,可以穿透防火
hessian原理
liao0801_123的博客
01-24 987
一.Hessian原理与协议简析:     http的协议约定了数据传输的方式,hessian也无法改变太多:     1) hessian中client与server的交互,基于http-post方式。     2) hessian将辅助信息,封装在http header中,比如“授token”等,我们可以基于http-header来封装关于“安全校验”“meta数据”等。hessian...
前后端常见的几种方式
落叶飘零z的博客
11-13 703
写的不错,转载一篇 https://blog.youkuaiyun.com/wang839305939/article/details/78713124/
Hessian实现安全机制报错
qq_36686358的博客
06-07 1062
下面为错误提示:log4j:WARN No appenders could be found for logger (org.springframework.core.env.StandardEnvironment).log4j:WARN Please initialize the log4j system properly.log4j:WARN See http://logging.apache...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值