10分钟教会你简单的使用Shiro

admin

前言
9 h: @8 G1 w  h
欢迎来到Apache Shiro 10分钟之旅！
, y1 A/ d: D8 _7 c3 K( \8 H
3 `! N5 B: o$ g) w+ t9 N希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。

- o- t! }0 q+ D4 A概述

5 b9 O; w) @+ v9 A, cApache Shiro是什么？
: ^$ z3 k( s5 B# |0 F* `
7 T5 |8 P0 U3 z* A4 {Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。

2 D# x' J) [0 _实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！
, X9 |  n* ~1 A* K5 k
那么Apache Shiro能用来做什么呢？
1 |7 ?: C7 B. C- C+ `# F: H7 s
2 v; [* e; O2 p# v1 X, n很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。

OK，现在让我们动手做点儿什么吧。
0 Z  b& c/ ~0 p. `' z! W
* ]& U; m4 e" J; O2 u1 e; y注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。
9 [/ |: t6 h# k1 a; `: S+ t8 u
3 O7 [6 D+ T6 Y! {( h下载
: G) A; m4 {1 z0 U
/ l# w; s' u) w8 `确保已经安装了JDK1.5+和Maven2.2+
去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
/ B: M+ Y/ f$ D解压源代码
  H* P: w- R1 q  \进入快速指南文件夹
3 d+ f6 T% P, [cd shiro-root-1.1.0/samples/quickstart
% |$ a& S2 X/ t7 H1 o' d3 b' [
运行快速指南
) x/ S( @6 k8 P2 ?( ?( v3 jmvn compile exec:java
. Q6 `* X& k( i+ Y& w
$ {  U- U5 o1 l  f1 e过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。
) O2 z5 H  S( }6 v# K5 G3 p7 W# [
; S/ K3 M. S$ VQuickstart.java

Quickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：

  r1 x* ?3 D- n. B2 [Subject currentUser = SecurityUtils.getSubject();
1 s* X& Q4 w6 e; F  j
/ k& q! G; Q4 k; |, c' x5 z8 @通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。

在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？
( X* ^- D$ y1 K( y" W
+ x5 s' G6 U. f- D9 s0 M如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：

- u$ Z  k1 w: U* y4 H0 k. m" FSession session = currentUser.getSession();

session.setAttribute( "someKey", "aValue" );

这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。
6 j4 J" s$ M- |& U, g. r
如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？
+ B- O4 q1 o6 O* u: C6 h
3 s8 m9 c8 h9 v6 ]很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：

% N* m0 d0 z0 X3 S/ T2 C# aif ( !currentUser.isAuthenticated() ) {

//collect user principals and credentials in a gui specific manner

//such as username/password html form, X509 certificate, OpenID, etc.
; C1 Z7 i: w( M. e' f6 w# Q# W' ]) ]- ~; p
//We'll use the username/password example here since it is the most common.
0 g  a2 J. g) p( a3 H% L/ n9 l3 X1 v
//(do you know what movie this is from? ;)

4 P- M  E* s' kUsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
! m! @5 o: b7 y, l) P- u! t! y  c
; u/ g. T4 b! M$ g4 ^//this is all you have to do to support 'remember me' (no config - built in!):

token.setRememberMe(true);

currentUser.login(token);

}

7 {2 ]0 E  S& X, g) v& f8 x7 b就是这样，太简单了吧！

/ `' Q/ |9 H( x% D2 y8 }" w+ g( T那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：
* |8 d: M  K; a# J* P
try {
( o# e+ z- @1 u, h
  z: p4 L" E5 L6 y+ fcurrentUser.login( token );

//if no exception, that's it, we're done!

} catch ( UnknownAccountException uae ) {

( D& ]( K! |' @* |5 P3 M//username wasn't in the system, show them an error message?

} catch ( IncorrectCredentialsException ice ) {

# J' T8 S$ K0 X9 g) o+ N  a  g//password didn't match, try again?
5 I& i( K2 H& Y' v
} catch ( LockedAccountException lae ) {
0 D) o- o& U, z8 q- I1 U7 n+ U
//account for that username is locked - can't login. Show them a message?

}

6 I$ V) g% B: `) }& V% S  a$ A... more types exceptions to check if you want ...

% u) _: f& N& y0 r9 Z& d8 L0 c1 ~} catch ( AuthenticationException ae ) {
. }/ j  V' y% X4 h! [+ N2 |: |- N+ f
1 W8 R# U1 s9 s) V9 @//unexpected condition - error?

& b8 n7 {: v6 D8 Q: Y% L. G}

可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。

6 C9 v* n. v7 J( l提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！
4 ^& x5 B4 f/ ~4 W! q' h
OK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？
" `  f! Q" P: [( G* K1 T. r
! \) l, f1 Z% g# E1 Y9 Q比方说，他们是谁：

8 a5 n% ?3 h1 o& h//print their identifying principal (in this case, a username):

log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

也可以判断用户是否拥有特定的角色：

if ( currentUser.hasRole( "schwartz" ) ) {
9 |6 L- k# _' R) E0 c$ V
log.info("May the Schwartz be with you!" );

! C4 p0 t; t6 `% V5 C- O, n4 Z. h1 F} else {
) d/ t! d7 @% z+ R! }' A
/ J. J+ \9 e& b/ w6 @- v1 qlog.info( "Hello, mere mortal." );

}
7 m3 x* v# H6 k2 s" p
还可以判断用户是否对特定某实体有操作权限：
& m: l2 P, M( j$ I
2 e' A- P' _& Z' `6 O$ u+ Zif ( currentUser.isPermitted( "lightsaber:weild" ) ) {

log.info("You may use a lightsaber ring. Use it wisely.");

} else {

* e! p" M8 y; r! w, C3 _  Rlog.info("Sorry, lightsaber rings are for schwartz masters only.");

1 [- I& d# e6 s" d5 z) P  G}
' N- ^3 E/ p$ k9 Q2 l
当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：
; s  _9 i) ]+ h% u& }
* }" Y6 d; v" A8 y& L& k+ Nif ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {

& g- r" c$ o2 R9 z1 W$ X4 b. Zlog.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");
- G% m6 G* r/ V' I! q8 ~
} else {

log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");

}
3 @7 o( o) m9 X% ]$ I- [2 H
' d( k( w! N7 g, E" }& U3 x" N小菜一碟，对吧。

9 A8 F  O1 o0 }最后，当用户使用完毕，还可以退出应用。
0 O1 S* n, `7 R) m  [9 O4 F3 _, e* `
# v8 h: x' _2 e  j  vcurrentUser.logout(); //removes all identifying information and invalidates their session too.

这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。
; ?, k7 P( U3 a
1 @  U8 W$ S# ~$ C+ R7 D) b& o你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。

0 l2 ^, @. L* M9 S2 {7 K0 M" o* R至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。
) G8 O# }$ E9 u7 {# d# m- |
如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。
  v6 w' V2 f/ W* A$ f