10分钟教会你简单的使用Shiro

admin

前言

. h8 C6 U4 b# x欢迎来到Apache Shiro 10分钟之旅！
6 Y2 H- H* |, f! [
* ~0 s9 W4 t, g% k; |* \( h1 f6 T希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。
0 y8 ?/ _: q/ r4 v4 i( A
概述

8 q; t3 o" o" L( p9 K% c) a1 cApache Shiro是什么？

Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。

: c) G7 e3 r5 k实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！

那么Apache Shiro能用来做什么呢？
/ H" Z  `* |6 b8 K8 v: m+ W. `& a
很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。

OK，现在让我们动手做点儿什么吧。
! J3 V' M6 e4 V4 M$ `
) ~! ~( O1 h/ W注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。

& X+ I7 ]9 C* e; [下载
# I  N! i0 @  s1 [6 P; u
7 A$ J; O& ^- |0 ]确保已经安装了JDK1.5+和Maven2.2+
- Y; g% _% m% C去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
% R+ `6 X/ Y- D+ K4 M解压源代码
进入快速指南文件夹
+ k! _4 y# K; wcd shiro-root-1.1.0/samples/quickstart

运行快速指南
mvn compile exec:java
# y' ^8 x/ g) Y' l+ x6 p
: @) Q7 m4 T+ W1 P, _' E5 l3 c( U0 t* o过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。

  s! w4 R$ |" T' a* Z! v$ FQuickstart.java
0 k4 X' c0 T! r' f; r$ @9 f* a
Quickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：
, W% O" q% {0 j$ Z
Subject currentUser = SecurityUtils.getSubject();
, R  x; ~( v9 _% e, T/ G' Q; B5 u. U
通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。
2 u5 K7 h$ p9 y! z# z! Y& O- O1 d
在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？

9 I0 C$ s6 R3 W4 l$ v7 x; h0 S如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：
: x) u, p8 [* y4 N/ `
9 y# q+ g! c: ^% l5 D. ^& fSession session = currentUser.getSession();
. |$ i7 o1 U4 R% p
) G# Y5 C" K0 o8 Z: H5 o+ @session.setAttribute( "someKey", "aValue" );

. ~& s' t* w/ ^4 i这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。
. d4 R. `0 l5 h8 y( v# p7 Z1 H' H
. ~3 i# \$ Q6 V2 S如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。
* U% p) t8 T; g
现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？
% M/ ?8 B# G! n+ q
' c3 r; V7 \* k0 H& I很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：

if ( !currentUser.isAuthenticated() ) {

0 ?. ^# H, L  ^7 }, x# J. K" M: g//collect user principals and credentials in a gui specific manner
3 M3 W7 D# W3 }! B
0 U, D5 f) |* W% U//such as username/password html form, X509 certificate, OpenID, etc.

& ~2 |/ v5 w( ~8 P! H& P! w" }//We'll use the username/password example here since it is the most common.
. R4 B* ?2 f8 |% `
- U  t, w9 h2 t" ]- r//(do you know what movie this is from? ;)
" l* W4 j; C; {' \( j1 ]6 {. R1 L
& S# ]) s6 T4 ~1 h5 d) mUsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

9 X* x# q# _& l: C" X//this is all you have to do to support 'remember me' (no config - built in!):

token.setRememberMe(true);
  W: W) Q+ Z: K
3 N1 [1 o0 V0 g% `( n8 C; `currentUser.login(token);
2 B) B& C7 m. Y* {
6 P. n" b/ p1 Z' b2 x# P8 N: J1 {2 B}
  K% I& z# p3 x+ l* U3 u8 |
( A. q3 R4 h& r就是这样，太简单了吧！

' }2 ^2 ~/ k8 i* e9 c8 U那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：

try {
3 G" u9 \8 y& _0 Z
7 `1 D0 Q& l# K- s. s0 q0 s9 PcurrentUser.login( token );
" t* N7 n3 g5 X8 X
//if no exception, that's it, we're done!

} catch ( UnknownAccountException uae ) {
% Q8 i' Z! x. q2 D
! o0 Q6 P2 Y% V# \" n& d8 S, B2 Z//username wasn't in the system, show them an error message?

} catch ( IncorrectCredentialsException ice ) {

3 S8 J  U+ u! k! \, ?//password didn't match, try again?
. ]$ j) F4 r% v) D, k" c1 c5 K
& ^$ L, f5 u8 a: F} catch ( LockedAccountException lae ) {

+ K- Z' n0 ~& q4 u3 C. t# J//account for that username is locked - can't login. Show them a message?
! ^8 r' }$ u& i  ~- r% {
}

... more types exceptions to check if you want ...
# \8 y; `. o' K" Z' @6 r0 \( B
+ L% g. N+ O  c- u7 e} catch ( AuthenticationException ae ) {

//unexpected condition - error?
+ |: |' W( k5 u* [. b  s" v+ _" e
}
- D9 x, v9 B3 |0 c( D
8 ^/ O' B, f& q9 @可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。

提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！

$ C1 H0 ~& p4 c( COK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？

比方说，他们是谁：

4 v# W2 ]4 t6 s% r: \' r: R7 P6 ?//print their identifying principal (in this case, a username):
5 N. p# B" W. w/ R# U
log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
( ^7 B" m- K9 E0 @; M. p' _
6 B' C7 C3 ]" v3 o6 Z也可以判断用户是否拥有特定的角色：
+ j2 V8 p5 D; ^# a4 f
) Y) t) I( w. u# Lif ( currentUser.hasRole( "schwartz" ) ) {
$ W% O: [8 N' J" f4 M
% U7 a2 G# I; z. g2 ]: |) ylog.info("May the Schwartz be with you!" );
, m; J7 Z# z3 I' G! t$ @
} else {
2 F/ V( \5 t, A3 F, u7 U
; T, r* {8 q. C* n  G" J5 A* g; Xlog.info( "Hello, mere mortal." );

- N- s0 }9 ^, d1 V9 d3 x}
. i- W9 `/ r9 s; z4 N0 \
还可以判断用户是否对特定某实体有操作权限：

5 g# V4 p+ R1 F# F0 y- X7 xif ( currentUser.isPermitted( "lightsaber:weild" ) ) {
* B- t8 f1 a6 ^8 A& X; M
log.info("You may use a lightsaber ring. Use it wisely.");

} else {

log.info("Sorry, lightsaber rings are for schwartz masters only.");
" w4 {1 `* c# F9 w
7 ]/ m( U' R# r' d4 E2 H2 N}
7 E8 e& j( X6 U7 l( d
当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
3 [& D5 \, b" x. A& M( e6 D
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");

* c: \, c; a  }3 L- q7 S) V} else {
4 U* s( [" W) b, o: h  y
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
. [9 u9 o/ f9 e: }9 v# F+ b
% T1 ^. E7 U# L0 Y}
+ m5 k- A9 [/ ]3 _
小菜一碟，对吧。
7 f8 v2 b/ j1 E: k0 f
最后，当用户使用完毕，还可以退出应用。

* f/ A  ?7 S4 U1 \* P" B' x& vcurrentUser.logout(); //removes all identifying information and invalidates their session too.

# y: T" c5 F! s$ G这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。

你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。

6 h7 \$ E6 l# i; g5 C% n至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。
( l+ V6 S" {+ w/ G8 |9 K
如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。