10分钟教会你简单的使用Shiro

admin

前言
, m/ w: ]/ G$ e2 ^% I& @3 O
欢迎来到Apache Shiro 10分钟之旅！

希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。
; u6 V/ r3 c/ x) }- e' R
' @7 \* K# c& }( Q概述

Apache Shiro是什么？
, A7 y) ?# |: E
Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。

实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！
, U3 X1 N& D( ^) t) B6 O
那么Apache Shiro能用来做什么呢？
4 p  |& K7 m& K8 \% h% a
很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。
$ [3 |( A8 ?6 N# J4 g4 Y2 C
2 S! k0 z1 W% e) OOK，现在让我们动手做点儿什么吧。

. U) v0 |$ Q* c' w, A% y) X; R2 q注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。
, q5 O5 H& N, S$ X* ^
下载

2 C+ ?+ U. v; N% T0 s2 @  P确保已经安装了JDK1.5+和Maven2.2+
, j7 J, V0 ]. T: x去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
解压源代码
( p- ?7 |' y4 X# z5 Z进入快速指南文件夹
# v1 E% b4 {: d' o  u2 Hcd shiro-root-1.1.0/samples/quickstart
/ A$ M+ [4 m5 s: L* m* D
) V" l$ H% W" b- }% [4 }9 |' f5 i运行快速指南
mvn compile exec:java
3 |, J0 f7 S0 z& s
" b, @6 j0 L* T" Z. Z过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。

Quickstart.java

6 o3 B% L% m- v4 e' LQuickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：

% l7 k. a) l' b5 }. j0 E0 DSubject currentUser = SecurityUtils.getSubject();
4 v6 C% h/ P6 R1 h# S3 D$ K
通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。

在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？
6 g: q/ h! U! o6 f0 J3 w
如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：

Session session = currentUser.getSession();

+ P5 y' X: z, g$ [7 S6 Hsession.setAttribute( "someKey", "aValue" );
" D* z9 Z# U5 q5 e. X) }4 [
% g8 Y- Z8 i( F; @- m& a这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。

) o7 O* q/ W6 G& F' i4 J8 N" O% n如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

1 q, P& C0 N6 E现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？
6 H4 H; s' M: p: Y* I7 h
很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：
5 l' O/ x+ W( q$ U
: [  Q' Q' E, z, \: e7 xif ( !currentUser.isAuthenticated() ) {
! f# c" m0 W8 @$ `
//collect user principals and credentials in a gui specific manner

+ H) ~0 e6 P8 r# _- r: U/ ]//such as username/password html form, X509 certificate, OpenID, etc.

- X7 F  d9 E& s* s2 f; k* N//We'll use the username/password example here since it is the most common.

+ k1 v" n6 q( S& K$ D0 H( W//(do you know what movie this is from? ;)

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

//this is all you have to do to support 'remember me' (no config - built in!):
- Z4 A. E7 A4 P+ ?3 \% R
9 E- P5 p$ e8 e6 t& s( ptoken.setRememberMe(true);
' W  N* _3 {/ F( x
. [4 u- f1 U3 zcurrentUser.login(token);
& \, ]- J  c. l4 }* V
}

就是这样，太简单了吧！

% }& G0 _3 v9 K. F! X0 H& ~那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：

try {

* i( e, j& Y$ L9 acurrentUser.login( token );
2 o: W) A: F% R# I; w! ?/ y2 I6 c6 s8 m
//if no exception, that's it, we're done!
6 K( E" n6 c+ X+ v& r% x; g: B8 m
} catch ( UnknownAccountException uae ) {

) |+ [- _0 u( J& }: \6 L  A//username wasn't in the system, show them an error message?
  {/ B2 Y+ ]$ e+ y5 [
} catch ( IncorrectCredentialsException ice ) {
- ]; l3 Q$ Z. {" a' r& K$ k2 f' M/ t
1 L$ R- l. ], J  c//password didn't match, try again?

} catch ( LockedAccountException lae ) {
- Q, t5 F8 A. u& |$ `
& U- x& v2 q6 j# g//account for that username is locked - can't login. Show them a message?

0 w! ^+ I4 ]% i4 H' S}
/ o  C5 G, B; R# v1 n
... more types exceptions to check if you want ...

7 W7 M% A  D' n} catch ( AuthenticationException ae ) {
0 I: e& G5 ~4 h3 p5 Y- x% U
; \2 n% N8 s, ]4 U" c& Q* I//unexpected condition - error?
5 Y4 Z: |( w; E6 Y
}
5 e" I% A( `- y  A( A9 S9 B
可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。

' m6 k; o, E9 J" a) D8 [2 S+ U0 z提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！

OK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？
, O1 I" `+ C. a
比方说，他们是谁：

//print their identifying principal (in this case, a username):

log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
! @+ Q0 f3 d  K9 |' u2 \( M
. ]9 _, U1 _! @0 F* W! V也可以判断用户是否拥有特定的角色：

& t( T! `+ C  `$ c$ Lif ( currentUser.hasRole( "schwartz" ) ) {

( m" Z; a4 f3 n% wlog.info("May the Schwartz be with you!" );

} else {
* w0 A- {+ F9 ^' d+ Q1 ?7 @
  V3 p9 t  @! I0 _log.info( "Hello, mere mortal." );

! Q+ l9 X) C3 `& a}

, d+ O# Z8 }. d& O& g. L5 L9 P4 r6 b还可以判断用户是否对特定某实体有操作权限：
; W  S: a2 K  c/ u; ?. R$ x
3 j# |8 K- h( E. v$ eif ( currentUser.isPermitted( "lightsaber:weild" ) ) {

2 J$ A: D# l& C. Vlog.info("You may use a lightsaber ring. Use it wisely.");

} else {
( w) |! `/ ?( L" A0 Z- g6 `
1 l  @. ~5 H8 vlog.info("Sorry, lightsaber rings are for schwartz masters only.");
( i/ l5 m  f2 _% Z
}
& A/ q! a' E& `+ `. L
7 f5 g; C3 G* ^$ ^6 ?0 e- O6 g. @' }当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
, h: ]1 k0 O, J
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");

! ^( p/ P$ d5 h; [} else {
6 i- Z0 _0 X6 S* q9 Y) U3 w, x
* ]: I/ i5 j% ^  ilog.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
2 P" _- T1 c" ^
: U; U' n9 O  V% w1 O+ X- I}

小菜一碟，对吧。

" ^2 v* T3 R6 Z0 K$ S3 Z: r最后，当用户使用完毕，还可以退出应用。
) O4 W! k% E- B; X6 `# j8 P4 ]; f
& P1 b! `$ G# n; ^" ~4 {currentUser.logout(); //removes all identifying information and invalidates their session too.
8 ?% ]' C+ B, X% J+ c% l; ], v
/ i& C0 C  t5 Z  h这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。

你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。
9 Y- v% p+ [; h* g
3 A: }5 G8 ^5 Z6 ^至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。
8 A* m3 U# [4 u9 }: y
6 k# ^% s+ b* N+ ?. u如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。

- X8 E+ f2 T: v4 C1 S" k$ `