10分钟教会你简单的使用Shiro

admin

前言
1 @, E/ U+ x2 X+ g1 q" j, g
! ?" l& f5 _* e' l/ O2 C欢迎来到Apache Shiro 10分钟之旅！
  A: C' e4 W2 [  n9 i! {2 T9 b
  _3 V! Z; |9 k% E3 J' T- f& V8 y希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。

概述
# d' y# x* G+ F; d+ e
Apache Shiro是什么？
4 }' R; ~& F' v% K
Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。
! i6 Z2 @" y, A3 d; O% d
实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！
9 E1 f$ N, Y* G. I9 Y2 ^
那么Apache Shiro能用来做什么呢？

  ^  }- k" _4 X; ^! Q2 K* B很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。
( `; C4 n% y# S& m
4 g$ Z' @$ I8 L1 `2 N; ]OK，现在让我们动手做点儿什么吧。
, B# y$ q0 S0 ?) R  R' W
8 k3 f3 v0 U  r, F3 s0 O注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。

下载

8 {  ]8 i0 u. L) y1 E确保已经安装了JDK1.5+和Maven2.2+
% F& j0 Q0 A0 l' _/ F去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
) q6 e+ P! U& i解压源代码
# f- v' V  S3 k3 n) I进入快速指南文件夹
1 \' N3 }; ]" {* scd shiro-root-1.1.0/samples/quickstart
# F' |" L# k% F
运行快速指南
. \) E) H/ b4 H' H; R4 S8 p3 _4 p5 Amvn compile exec:java
4 u% w; R& k! s/ D
( d, B' R6 f9 a4 C, A) n过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。
3 I; d4 \7 i2 F
6 e  ~5 Y7 l! D# jQuickstart.java

3 @& e# i- _4 v/ \. L; QQuickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：

Subject currentUser = SecurityUtils.getSubject();
" I9 O7 e0 v5 _$ p: ]6 }( L
通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。

7 H! \! {8 ^( a$ Y+ \" I7 ]在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？

( ^0 }9 o3 A# u! `5 d2 r如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：

4 ~1 U( e2 w0 Y  zSession session = currentUser.getSession();

session.setAttribute( "someKey", "aValue" );
% q6 W0 Q8 Y2 b' S  `
这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。

如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？

% h+ N9 d" w( Y4 G& \) q' |很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：
% w' Y) P. O: N) B0 X4 ~6 |4 Q
8 H3 v1 o; R$ J1 q5 p' B' g& dif ( !currentUser.isAuthenticated() ) {

6 d5 v  p( `- _9 ]//collect user principals and credentials in a gui specific manner

( e9 ~, @5 J' x; P/ n//such as username/password html form, X509 certificate, OpenID, etc.
* H$ _8 d' s) ]8 Z+ c- d1 ]
//We'll use the username/password example here since it is the most common.

7 P( Z0 w9 o) _$ ]3 [//(do you know what movie this is from? ;)

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
3 A5 t3 O& j/ l5 T
7 g, E2 \3 V% r- H9 G6 z//this is all you have to do to support 'remember me' (no config - built in!):
, N9 i4 v, J& d$ S
4 x; W/ X7 ^3 [  N( X. W9 [7 D% ?token.setRememberMe(true);

currentUser.login(token);

}
. b: I9 j9 p5 w' n$ T8 ?7 w
就是这样，太简单了吧！
. u9 P0 z8 ^" _* P% ^, ]! p
( V7 n" d% c" Y5 x' K, q那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：
0 k, P5 [3 b2 H  W
try {
8 S3 |  y3 p5 E6 K
: R0 L6 M1 b# ^2 a6 J9 ?currentUser.login( token );
1 y' f7 U+ N) u2 t8 j
//if no exception, that's it, we're done!
. v6 K! z2 i) {5 e5 D
} catch ( UnknownAccountException uae ) {
$ @( D' I! m0 W, }( u* ?
* X" |8 \4 B( g/ e* z0 Z0 r//username wasn't in the system, show them an error message?
/ F! `, z- ?, a  l5 M% ?; {0 }
* p3 J' `2 Z" f/ {% I  U. i} catch ( IncorrectCredentialsException ice ) {
& F& G, T4 [1 u4 w
2 m: }: ~! a5 v2 I2 X) H* Z//password didn't match, try again?
, ^( y& D3 k# H) P* _& g2 ^5 g
7 S& j$ D# Y- f9 Q} catch ( LockedAccountException lae ) {

1 {" h7 Z% [' }, ~6 |- a4 K1 k& e//account for that username is locked - can't login. Show them a message?
1 S5 V' s+ @4 j3 x/ P4 }* a7 H1 F" H
- N2 K; @5 W4 ~2 q3 K' i( I}
! a+ ?# J; i3 p' R: i& v
... more types exceptions to check if you want ...

+ p- {0 a, g7 _, L" u! F} catch ( AuthenticationException ae ) {
) m9 S# b" k* D' e- E- e
$ Z6 R9 ]) }3 `: A1 `//unexpected condition - error?

% K# @  C+ C& V  K/ Q) L}

3 W) }1 _  N4 V% _, U* R可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。

提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！

/ `4 g0 {. Z. MOK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？

' L8 a5 N( [4 C/ J! c" o比方说，他们是谁：

//print their identifying principal (in this case, a username):
6 m7 e/ |" L& e' w
9 [) Z" L) V0 k' y) plog.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

5 i/ B$ l1 S2 x6 P8 z- C0 B也可以判断用户是否拥有特定的角色：

3 S* l: P& T0 l( V6 t1 pif ( currentUser.hasRole( "schwartz" ) ) {
2 T4 v6 ?! e, D% T( z- ^
log.info("May the Schwartz be with you!" );
: \7 f" a8 e$ [9 Q) W. X9 M( I; y
} else {

; I( n& E( r+ D1 D  [log.info( "Hello, mere mortal." );

}
9 [0 T; c/ k7 S
7 [8 B  r/ m' p9 b还可以判断用户是否对特定某实体有操作权限：

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {

log.info("You may use a lightsaber ring. Use it wisely.");
' T" I7 t1 S: |* U+ x/ d+ v* R# t
} else {

* e/ g/ Z- }7 P7 v$ r1 Nlog.info("Sorry, lightsaber rings are for schwartz masters only.");
4 ]: f# i3 y1 ]: k4 |/ H+ D" Z
: _  u; y* s; p  {}

, d' ]9 {: v" X& d2 Z当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：
& U0 ]" Q# k" x+ F! Z
if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
! g4 B5 Z5 x; _& d: w
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");
+ m: g; a3 @  V4 o. v% |
3 C" M2 x4 m; m' P/ {} else {
8 M) B8 V+ S5 ?- D. j! I  F% E: Q
2 W. Y8 e- U( X9 a" ?- Ylog.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
0 o! r& U9 W, m8 i- K
}

小菜一碟，对吧。
7 T' z. @3 A: j- K: x
. G5 r* q* S! G' E  n最后，当用户使用完毕，还可以退出应用。
9 k7 t5 ]8 |( X/ B
4 ?) O, _& @& Z! p& PcurrentUser.logout(); //removes all identifying information and invalidates their session too.
; C; k9 i+ E$ c+ z' S/ |
) K/ f5 }( g7 s% o$ `; _: P; a这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。
8 D8 `2 k. m7 B6 i
你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。
" }2 e5 f& w1 ~: B# N
9 r& V& g, X0 Q至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。

" ^6 k7 h2 Q3 F$ _+ {如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。
$ y" i- w' R- m, r
. D& _) Q9 h& s0 w