10分钟教会你简单的使用Shiro

admin

前言
3 d5 h. q. U$ k$ b+ r
欢迎来到Apache Shiro 10分钟之旅！
  n$ K, D( K3 r* q, _" \
4 E4 k# F) X' g1 X# H: q/ `5 @: |+ D希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。

2 J8 {/ ?( P" N$ [& Y概述
4 K( z7 ^+ W2 ^4 h3 r# a
Apache Shiro是什么？

Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。

% t' _$ Y) B+ X实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！
" B. N9 o# v" |
: g, x: I5 u. k那么Apache Shiro能用来做什么呢？
2 k; e% \* R) R; q2 S: c
很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。

OK，现在让我们动手做点儿什么吧。
5 ]) J: E7 @! g* q
注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。

下载
* n% f+ @3 e, Z# f5 x
" K$ ?0 @: ~' v% g7 w确保已经安装了JDK1.5+和Maven2.2+
去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
解压源代码
3 m& ]; x  p; m' R1 G7 V4 o进入快速指南文件夹
cd shiro-root-1.1.0/samples/quickstart

运行快速指南
$ G  {8 a4 F) N& B  U" rmvn compile exec:java

过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。

Quickstart.java

- @  G7 p) m5 kQuickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：
8 b& @; ^0 L8 l4 i5 O! \- \3 ^
Subject currentUser = SecurityUtils.getSubject();

通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。
. C5 {' u% N# }3 L
在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？

' a$ A* x/ `, B& L# ~3 \$ S& h8 F如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：
$ U# [* Q6 B  |
7 i  ~/ X4 m7 d7 ]" j# CSession session = currentUser.getSession();
- {( g' D. }9 ]# `. G; q& G
session.setAttribute( "someKey", "aValue" );
: W* q0 q! q! z% h3 X) Q  r
4 _" i6 y3 }0 i- Q' n这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。
3 ?3 m, x, {+ P# J1 R! o* _5 g5 q$ ^
如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

5 t7 ^/ L1 K' l: s7 d5 P现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？

很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：
8 D* B6 h4 `8 b
if ( !currentUser.isAuthenticated() ) {

' K+ ^2 s+ A, }+ [$ ]3 x$ @; t+ _//collect user principals and credentials in a gui specific manner
" l1 P* P/ f( w$ g
//such as username/password html form, X509 certificate, OpenID, etc.
, _% P! j+ O, `
//We'll use the username/password example here since it is the most common.

, r) o7 f. X' O//(do you know what movie this is from? ;)
9 L2 [/ r/ A3 X5 p! ?' r
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

//this is all you have to do to support 'remember me' (no config - built in!):

token.setRememberMe(true);
7 e. Y: B' s0 x5 U% L4 }
+ ?9 b" u6 }9 \- J( x$ e/ V8 ecurrentUser.login(token);
! K6 H# f, {3 H' a- P% Y& c3 p
}
$ {) N) N; n! |3 e: X. h
就是这样，太简单了吧！

那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：
! R/ ~7 S* y+ K2 x5 A
( H$ s# M  E8 Vtry {

currentUser.login( token );

//if no exception, that's it, we're done!
, E, p, P' t4 k; d3 _0 V  ?
4 J. l; `, A) x7 C% r& e} catch ( UnknownAccountException uae ) {

' _/ b' B7 L7 x) x/ O1 J//username wasn't in the system, show them an error message?
, k2 `3 _; K) B4 A7 O3 P
; ]" I$ c: r, o, a% b} catch ( IncorrectCredentialsException ice ) {

//password didn't match, try again?
) V+ z4 f' A. A  O/ @, X
1 }% R. M' g; ~} catch ( LockedAccountException lae ) {

- n, f% h- }! E* ~//account for that username is locked - can't login. Show them a message?

}

+ Q2 }. s/ ~! g& G* x... more types exceptions to check if you want ...
' j6 M7 H. \( B& j
} catch ( AuthenticationException ae ) {
9 U- k1 A% C; l$ m4 s
//unexpected condition - error?

}
8 a9 A* ]! d5 q/ `! \
可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。
0 F/ f# \+ N0 }' v$ ^
提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！
  G8 h8 R( b) M' V
' d5 T$ l: M! j/ aOK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？
2 U5 X$ N  k3 b9 r, c9 b0 i$ n
/ z( a  F% X5 U0 V# S% N比方说，他们是谁：

//print their identifying principal (in this case, a username):

+ i' {, P; o. Flog.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
( k' e+ ^& C8 U5 x* S
4 @3 b" I( Y5 ~% k也可以判断用户是否拥有特定的角色：
5 U" e3 j2 k5 ~* S
+ Z8 E& Q9 X& z! m" q3 M" v& l( {if ( currentUser.hasRole( "schwartz" ) ) {

* `9 e+ p6 J5 c# clog.info("May the Schwartz be with you!" );
4 D+ `+ C& E8 R: T7 G2 A
" p( N3 A) V) g* P} else {

8 v+ |- G% ~/ ?( {! alog.info( "Hello, mere mortal." );
6 I5 D9 z8 a9 A* I7 B3 Y
}

% g1 D9 s0 t* q9 T还可以判断用户是否对特定某实体有操作权限：

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {

log.info("You may use a lightsaber ring. Use it wisely.");
; U7 P; U: \, E, v( Z' j+ X0 h
} else {

) J2 U  C9 N6 t, c* k/ Z+ V( Zlog.info("Sorry, lightsaber rings are for schwartz masters only.");

2 ?% s/ E. V0 R6 C& ^- ~}

当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：
' X: E# i- x$ K4 n! L6 a& t' {; J
- r" C3 }/ W: _$ a( H) vif ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
( A$ x, i  e) ]: m/ N) {0 ]
9 U& y: G6 j) s/ [) G0 e" q3 {log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");
: i, g: E2 z/ b* H. H; m; [; p
} else {

log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
8 w, b& f7 i# w- O! ]4 C' e
( y" Z8 c9 }. I( ]' J! X}

小菜一碟，对吧。

最后，当用户使用完毕，还可以退出应用。
1 f% i6 u$ h* L) O! g2 M5 F
* e8 ?6 S$ K3 U% C7 d- x7 L' p" ^currentUser.logout(); //removes all identifying information and invalidates their session too.

这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。
3 N" ~3 [& d7 _
你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。
( e/ H% Q1 m/ D+ R' _9 S. j4 E
8 C+ I9 W. w. g至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。
: Z3 P7 D6 \- O& Y/ c
- E( t" B1 E' s' S- F/ w0 m如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。