10分钟教会你简单的使用Shiro

admin

前言

+ H" S  L+ L) b' _! `# h欢迎来到Apache Shiro 10分钟之旅！

: D; V  v. q  U希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。

概述
; B6 L/ `0 ^! \! `" t
% F, H! b# p6 V+ j$ T) ~Apache Shiro是什么？

9 P5 m; s9 L* v7 c( x9 [& CApache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。
0 b- l' `2 g5 G) }7 q# S
* y* ]/ H+ I6 \# i! T实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！

! X8 {3 ?- Q4 \5 w那么Apache Shiro能用来做什么呢？
7 }# Y+ Z8 b4 L- Y0 [/ J, W
: D6 k: E0 ]& u3 P& m  z0 G% i/ W9 @很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。
3 r$ |* W7 h2 Y6 I5 ]! T. E: H7 E
1 ]# y3 t/ x3 l6 j% F3 fOK，现在让我们动手做点儿什么吧。
+ M; ~4 R* k, G
; W* H8 q& ]; H# v- I5 U+ _2 j: q, D注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。

下载

确保已经安装了JDK1.5+和Maven2.2+
去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
解压源代码
2 O$ _/ q4 u+ c& d* s- O进入快速指南文件夹
cd shiro-root-1.1.0/samples/quickstart

, a* L# H3 r* s2 A" `3 Z8 b2 v运行快速指南
mvn compile exec:java
. M9 P9 k1 r; Q* P
过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。

  ~$ I- A% h2 [# V0 z7 {' KQuickstart.java

8 W7 z! H5 d$ E& u4 YQuickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：
/ a. M: Q0 S2 \% U8 j' a. m+ t
Subject currentUser = SecurityUtils.getSubject();

通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。

4 L" A5 z2 ]/ V, a- S3 j4 b- t在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？
- [, D  E! Q; N% Q" N; t" z# O
如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：
/ u" n; ^$ k1 ~3 m' \# F* d
; s/ M  g5 Y2 u4 M7 E# cSession session = currentUser.getSession();
6 Y' O/ H" g* x9 j) d
& w5 H; O  G* ~( m+ Nsession.setAttribute( "someKey", "aValue" );
/ [. U+ q2 N, r2 h6 G; |4 X# J
这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。

如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

4 g( O6 a3 ]  X( K+ I现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？
2 V4 ]/ F4 z. k+ |/ Y
很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：

% r. C, F: n' [- [5 e; ^) @1 r2 lif ( !currentUser.isAuthenticated() ) {
( O9 V( Z5 w$ k7 y2 h9 M
$ I0 p  v" _) J# m+ ?* C5 {//collect user principals and credentials in a gui specific manner
+ p* n7 P) u  d5 b; u
//such as username/password html form, X509 certificate, OpenID, etc.
+ g1 a1 x( ]; b+ |7 n
//We'll use the username/password example here since it is the most common.

) H# i9 j4 w9 V' h+ w' X//(do you know what movie this is from? ;)
% B( @2 B0 R6 h/ g
: V5 i6 O$ s& `UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

//this is all you have to do to support 'remember me' (no config - built in!):
+ m! {5 M+ b& O- c$ x
7 _% B8 e! B% `+ Q  ^  \. \9 V2 ltoken.setRememberMe(true);

currentUser.login(token);

. V- F% ^! H  J5 E}

2 h) x) B* e/ r$ t3 G就是这样，太简单了吧！

那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：

try {
6 p( l5 R/ T- _. p. R5 E: X: Z
7 l- H3 k6 a9 g' D9 c6 k4 ]# C1 McurrentUser.login( token );

//if no exception, that's it, we're done!

; Y8 m8 n; i5 B1 ~5 m} catch ( UnknownAccountException uae ) {
! n5 M; ]' {+ r' [9 X
! ?8 J" L" C! r' D3 {+ k//username wasn't in the system, show them an error message?

5 X- a4 Q: |/ T; K. y& i} catch ( IncorrectCredentialsException ice ) {
6 z  o% x, I5 S0 Z9 g' k5 i
//password didn't match, try again?

} catch ( LockedAccountException lae ) {
& \! v3 Y+ D# M" n( T0 D2 u8 x
. j* g/ a4 g9 b' N7 F; U//account for that username is locked - can't login. Show them a message?
) H2 g9 z1 c2 |; A& u! y
}

9 p. ^. Q! X4 {8 b! ?4 r... more types exceptions to check if you want ...
3 z5 b6 V" Z: u2 g! T; i
} catch ( AuthenticationException ae ) {
5 K2 D' U/ ^% v: ?- m5 r
//unexpected condition - error?
  W$ T7 b. `* g( Y
8 ^1 d$ w% L; W3 n, x2 o}

* H" e' w8 t1 o3 B可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。
# v/ X( n% h2 h, I
提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！

1 r) v- a& y# ^  X6 W2 x! J! POK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？
4 |/ Y% f. ]7 b9 g- P( J
比方说，他们是谁：

& n! t9 F, r' \( f  M4 F//print their identifying principal (in this case, a username):
1 F0 |$ e% G: o) {$ Q
8 P6 G3 h  ^, s2 \log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

; q4 g/ m$ F3 R& c也可以判断用户是否拥有特定的角色：
! u* N" J- n5 X% g
if ( currentUser.hasRole( "schwartz" ) ) {
/ U, y2 ]+ G7 `8 T3 ~% C
log.info("May the Schwartz be with you!" );
% n( ]& ?6 F/ \/ x# r' B
} else {

. F0 b! V6 e# `+ elog.info( "Hello, mere mortal." );
* `* ^0 y! G0 z5 ]5 e# n7 e
}
! p9 n3 C7 j) _* ~( }$ v7 _! C0 Q' b
还可以判断用户是否对特定某实体有操作权限：

$ g3 t- T& F8 ~" ]( Lif ( currentUser.isPermitted( "lightsaber:weild" ) ) {

! F5 T+ b1 }  {log.info("You may use a lightsaber ring. Use it wisely.");

} else {
5 g! j  `' i8 R; j
log.info("Sorry, lightsaber rings are for schwartz masters only.");
0 X" b/ O( |: x2 t
: J% C( t) G( r5 d: H# N* o}
0 X1 P% t5 C6 v% q) w4 ^# H
$ J/ H) Q* @. m' k5 P$ w当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：
7 Y; X) }$ o. ^3 K
* f! `8 g6 z7 |* `1 Wif ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
- K4 r# l. w8 O  _
, D- h  w# e' u( Ulog.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");
7 ^$ }4 O, t6 ~8 Z2 e) |
4 t& |: z5 ?; O" r5 J: Y} else {
4 h# Z5 Y1 o# a5 B# V- `: M
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
6 N( {  n) i& ^! s+ l# L7 }
; }) |4 r: o1 m8 u4 g& A3 V% T( L$ R}

3 E$ H6 ^  i# Z" q小菜一碟，对吧。

/ g$ O+ ?) h7 j最后，当用户使用完毕，还可以退出应用。
( L1 r! G7 [6 ^7 g. c( R! H
currentUser.logout(); //removes all identifying information and invalidates their session too.
# ^( F& k% l5 J- ]  l
2 }: i4 P  ]/ a; M3 L! s- ^3 k7 W2 K3 C这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。
+ O+ {$ A' u- W$ B3 ~, @2 p* f% X
4 p6 B8 U8 b' F- ]: t你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。
  r; V$ i, D& h
至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。
6 P/ N7 v' g$ ^$ z7 b
如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。

- E8 Z: K' F2 k0 h