10分钟教会你简单的使用Shiro

admin

前言
* d  ^1 b) o% T9 g8 p2 ^
6 H( e3 J* Y( {0 T% u/ n7 L. G欢迎来到Apache Shiro 10分钟之旅！
" x0 R) j! N% U2 O% |: c
: G+ j. u, E9 F9 t! f, [希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。

概述

: k8 }; T6 q2 s7 s6 E, uApache Shiro是什么？
' s/ _) L8 ?# F& f! u  K
Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。
: R: h5 c# t. b) I' N; f  \) l) j/ w
实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！
, t  d2 D, t" U* C- |0 H
; A0 @4 B9 J7 p# z5 U- b那么Apache Shiro能用来做什么呢？

4 N. C5 H4 \3 ?很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。
3 S5 R6 c4 l5 b- t: ~7 d! p
% w" f6 M  Q& tOK，现在让我们动手做点儿什么吧。
# Z8 J& i+ |  f
+ n6 }5 J/ {; I+ N注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。

8 U$ a, L- x" P# c; u6 V# y下载
$ ^5 f0 O# l7 T* ~4 |( n1 l
确保已经安装了JDK1.5+和Maven2.2+
2 v0 Z# [" v2 a去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
" H/ p3 ?" k9 Y3 r6 u解压源代码
0 M( X4 g; x1 O  r) H进入快速指南文件夹
cd shiro-root-1.1.0/samples/quickstart
: p; v0 K7 j' k8 v$ N
' f( Q! E3 G8 S* _! n0 \  I运行快速指南
mvn compile exec:java

过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。

Quickstart.java

4 k( m# d4 Z. N/ \Quickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：

$ e+ s2 b& Y  q9 I: t7 H7 _; qSubject currentUser = SecurityUtils.getSubject();
' a+ P7 `. j* j. I
% D( ?7 c  e0 a! u  H6 a3 `; D通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。
6 |2 G) Y( E4 D% f2 L- b6 H$ q0 D: X
1 c' w  I9 }  _在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？

8 \/ Y6 n% _2 W* g. X; I# x如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：

Session session = currentUser.getSession();

session.setAttribute( "someKey", "aValue" );
. C* S0 y3 D8 L) J& o5 I
这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。

如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

4 e! g* ~( Z8 e$ g5 Q$ {现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？
, C; l5 r1 W. c& Z) m! n7 O
7 X4 C4 e7 U4 `很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：

& s& n1 Q; O- T: f6 \if ( !currentUser.isAuthenticated() ) {
( K+ R, Y7 b0 ^
//collect user principals and credentials in a gui specific manner
' F/ d' i" T# ]
" u6 ]/ G& G4 L) W% y! v/ d//such as username/password html form, X509 certificate, OpenID, etc.

//We'll use the username/password example here since it is the most common.
  C( O7 \7 Q9 }  Y! U& \) |
//(do you know what movie this is from? ;)

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
  s2 X7 c% J/ E8 k( |
//this is all you have to do to support 'remember me' (no config - built in!):
2 E4 l6 H' X8 F: R
token.setRememberMe(true);
" ~; I. _2 D9 ^- @1 I
: i4 _- ]. \; P) p9 qcurrentUser.login(token);

4 q4 J: A& Q& G, w6 z}

就是这样，太简单了吧！
" _' r: j: k) W" x2 d4 C' E/ V
/ ~: _5 _7 m6 E& w6 n9 O/ d' Q那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：
7 [0 L; ^  R- P
: F/ `* [: F* ?; P# ytry {

* r4 B. ?! o+ E$ ScurrentUser.login( token );

* r: h5 c! F; w//if no exception, that's it, we're done!

. o" W# v' i  c. u} catch ( UnknownAccountException uae ) {
9 c3 |0 I* w  ?
//username wasn't in the system, show them an error message?

; Q6 _1 c& }1 f} catch ( IncorrectCredentialsException ice ) {
& f4 z2 z. k$ r% V6 ~
; S+ j3 D+ N5 l, q+ Z5 D- ~8 s//password didn't match, try again?

} catch ( LockedAccountException lae ) {
$ S  s! ?/ r5 N$ ^' W4 G9 c8 Q
9 y" k9 i5 P$ Z$ r//account for that username is locked - can't login. Show them a message?

}
$ B: j  ~3 S8 z/ u& S
; K: X3 ~9 f0 f... more types exceptions to check if you want ...

} catch ( AuthenticationException ae ) {

//unexpected condition - error?

% P* l. m6 E* \. c% j}

可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。

提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！
9 @; d/ o4 i5 K  ~
) \! Z% B+ E! N: fOK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？
5 h7 E, j# n7 V1 |; ?
比方说，他们是谁：
; e; x$ q8 z9 A8 M4 e5 U! Y
  ?! _6 T0 U9 N$ J( ^//print their identifying principal (in this case, a username):

/ j( B2 |* K! ?0 Ulog.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
' B, Y3 h0 J! i$ I' c- k
也可以判断用户是否拥有特定的角色：

if ( currentUser.hasRole( "schwartz" ) ) {

2 V. `. X- g- w4 c4 ]0 f7 V* i( olog.info("May the Schwartz be with you!" );

} else {

log.info( "Hello, mere mortal." );
: g5 `$ ]5 h) z  s; c
}
0 |+ ~; C2 X! o7 q; Y6 @9 B
还可以判断用户是否对特定某实体有操作权限：

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {

log.info("You may use a lightsaber ring. Use it wisely.");

} else {
0 b) W7 }' v: m+ [7 h. E( V2 E4 n; z
! j; I+ k, w# U& y! elog.info("Sorry, lightsaber rings are for schwartz masters only.");
% _- p/ q3 I8 l' Y& z8 G
+ Y! J7 ~$ x" @4 l}

当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
+ P& K% _  \# H6 {
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");

; G1 n" p% |/ Q+ b3 m/ L6 y} else {

log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");

1 j- R; p! W( c! L0 g}

小菜一碟，对吧。

最后，当用户使用完毕，还可以退出应用。

currentUser.logout(); //removes all identifying information and invalidates their session too.
$ C' `! {8 V- _& L
0 u$ M6 ~: K; q& W( k6 l# ~这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。
# E, {4 S- Q9 @3 E' [; d! q" d$ W
+ l$ f. B' i& E( h$ X你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。
! p; v( P+ o4 H  J1 a) H* Y) W# ^
+ b* F* C0 W- j" m8 r8 |至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。

5 m& p  |' [6 j+ f. M如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。