10分钟教会你简单的使用Shiro

admin

前言

欢迎来到Apache Shiro 10分钟之旅！

# [& u  j/ l* l0 w# A/ M希望通过这个简单、快速的示例，可以让你对应用程序中使用Shiro有个深入的了解。嗯，10分钟你应该可以搞定它。

4 T5 W8 u* d1 E4 Z% c6 x概述

$ A& ]3 r( O  E: v3 f% n. S' {Apache Shiro是什么？

Apache Shiro一个功能强大，使用简单的java安全框架，它为开发人员提供一个直观而全面的认证，授权，加密及会话管理的解决方案。
( j# X# A- w( O8 Q7 `6 A# L
! R* n5 r7 b+ c7 W实际上，Shiro的主要功能是管理应用程序中与安全相关的全部，同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的，支持各种自定义行为。Shiro提供的默认实现，使其能完成与其他安全框架同样的功能，这不也是我们一直努力想要得到的吗！

那么Apache Shiro能用来做什么呢？
0 Z4 T4 a: [! @7 [* {& h
很多，很多，嘿嘿。但是不在快速指南中做介绍，如果你想知道，那怎么办呢？去这里找寻你的答案吧。当然如果你还想知道我们什么时候，以及为什么要"创造"Shiro，去看看Shrio的历史和使命吧。
/ f" P# \) ]6 Y( r( m- ~, t: u
OK，现在让我们动手做点儿什么吧。

注：Shiro可以在任何环境下运行，小到最简单的命令行应用，大到大型的企业应用以及集群应用。但是我们准备在快速指南中使用最最简单的main方法的方式，让你对Shiro的API有个感官的认识。
2 _+ {) ^1 [# J6 z
下载
6 f; b2 ]6 e) x$ p9 g
/ l3 |2 J9 L& {" ?+ E确保已经安装了JDK1.5+和Maven2.2+
去这里下载最新已发布的源码。例子中我们使用1.1.0发布版本。
, {, [, Z7 Y1 O6 K解压源代码
进入快速指南文件夹
" K) f+ B2 X/ [( H8 c, Ucd shiro-root-1.1.0/samples/quickstart
1 h$ ~  U& N3 ^( j. r
) i6 v# N8 [! k运行快速指南
( r& m) V  S- T( }9 g5 I7 m, ?mvn compile exec:java

过程中会输出日志信息，用来告诉你正在进行的是什么，最后退出执行。可以在这里"samples/quickstart/src/main/java/Quickstart.java "找到源码，也可以进行修改，记得修改后运行"mvn compile exec:java "即可。

: P' u0 b2 K; F3 xQuickstart.java
5 V  s0 E# c3 ~3 F5 K
5 }2 Y  f* Z" b5 @1 lQuickstart.java中包含刚刚我们提到的所有内容(认证、授权等等)，通过这个简单的示例可以让你轻松的熟悉Shiro的API。那么，让我们把Quickstart.java中的代码，一点一点剖析，这样便于理解它们的作用。 几乎所有的环境下，都可以通过这种方式获取当前用户：

1 O% z! q3 B0 HSubject currentUser = SecurityUtils.getSubject();

  J% O* d: x3 M1 A  F( E% U通过SecurityUtils.getSubject()，就可以获取当前Subject。Subject是应用中用户的一个特定安全的缩影，虽然感觉上直接使用User会更贴切，但是实际上它的意义远远超过了User。而且每个应用程序都会有自己的用户以及框架，我们可不想和它们混淆在一起，况且Subject就是安全领域公认的名词。OK，我们继续。
8 |, u2 m) }% c
) W; e9 E. K( D: P" n6 W在单应用系统中，调用getSubject()会返回一个Subject，它是位于应用程序中特定位置的用户信息；在服务器中运行的情况下(比如web应用)，getSubject会返回一个位于当前线程或请求中的用户信息。 现在你已经得到了Subject对象，那么用它可以做什么呢？

/ E( h' B. B/ l5 k如果你想得到应用中用户当前Session的其他参数，可以这样获取Session对象：

. u# y) s  E- O5 q7 ASession session = currentUser.getSession();
7 \. f4 L8 g& D6 X- @
. V5 ?4 L8 r# Y% K& z, ^; gsession.setAttribute( "someKey", "aValue" );
- l% g* }$ b9 N: @& c, F9 ]" O
这个Session对象是Shiro中特有的对象，它和我们经常使用的HttpSession非常相似，但还提供了额外的东西，其中与HttpSession最大的不同就是Shiro中的Session不依赖HTTP环境(换句话说，可以在非HTTP 容器下运行)。
& z, Q7 M* X2 [3 g6 m
% i# w6 S0 L+ T: K8 ^7 [如果将Shiro部署在web应用程序中，那么这个Session就是基于HttpSession的。但是像QuickStart示例那样，在非web环境下使用，Shiro则默认使用EnterpriseSessionManagment。也就是说，不论在应用中的任何一层使用同样的API，却不需要考虑部署环境，这一优点为应用打开一个全新的世界，因为应用中要获取Session对象再也不用依赖于HttpSession或者EJB的会话Bean。而且任何客户端技术都可以共享session 数据。

+ r5 i! ~/ g" F& a8 c  G$ {2 F现在你可以得到当前Subject和它的Session对象。那么我们如何验证比如角色和权限这些东西呢？

很简单，可以通过已得到的user对象进行验证。Subject对象代表当前用户，但是，谁才是当前用户呢？他们可是匿名用户啊。也就是说，必须登录才能获取到当前用户。没问题，这样就可以搞定：

if ( !currentUser.isAuthenticated() ) {

//collect user principals and credentials in a gui specific manner

//such as username/password html form, X509 certificate, OpenID, etc.

//We'll use the username/password example here since it is the most common.
' n* c) R/ ^3 Y9 t9 V
//(do you know what movie this is from? ;)

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

2 D" \, A3 u6 f# F$ [; N; M+ U//this is all you have to do to support 'remember me' (no config - built in!):

token.setRememberMe(true);
. z/ I; M2 A2 o+ C( G, w: K
' ]8 Z: H5 B: d& {; d& _$ i- ^currentUser.login(token);

}
& a# B# X+ Q# `
就是这样，太简单了吧！
" ~# R. {+ f# H- y! [- w
那登录失败了怎么处理呢？可以通过捕获各类异常，根据不同类型的异常做出不同的处理：
' a7 h' @9 |0 \1 J
6 \7 [: q, ?4 m/ ]7 ytry {
' s- V+ w% D, j$ o2 c; S) M8 Y
currentUser.login( token );

6 H1 }6 T7 T. Y' F  @* ~, r3 ~% J//if no exception, that's it, we're done!
+ ^0 x: k, P# J( N# b
} catch ( UnknownAccountException uae ) {

//username wasn't in the system, show them an error message?
# o" U- z: F0 q# N5 W
} catch ( IncorrectCredentialsException ice ) {
, G2 ~. S' H( k, C- W0 F6 u8 C
//password didn't match, try again?
9 Y$ g+ N! P" a& n  ^6 R
8 h% b$ v7 U8 A+ @- E( _. C6 p} catch ( LockedAccountException lae ) {

" V8 v( s& p% Z1 e2 J  }- @//account for that username is locked - can't login. Show them a message?
. o( O/ A" Z1 m9 _1 [4 @# q
: x$ b& a7 [2 R( @) ]}
; |8 `7 U5 n7 a& P  }# v; v  ]
... more types exceptions to check if you want ...
& y6 b# V2 }  C
} catch ( AuthenticationException ae ) {
; \4 p! q; {/ v; _
9 _6 b6 t# I$ S//unexpected condition - error?

) y0 m+ T- n% W# U- B}

( p) j% g3 n' f" X. A" t可以捕获Shiro提供的各种异常，也可以抛出自定义类异常用于处理Shiro未考虑到的情况。预知详情，可以去了解AuthenticationException JavaDoc。

. N5 J+ m( o) @, k+ b提示：最安全的做法是将登录失败的消息告知用户，你总不会帮助攻击者入侵你的系统吧！

OK，现在已经拥有一个登录用户了，我们还能做点儿什么呢？
0 [* D: a3 V2 \  e
& l# T- N2 H6 `! a3 |* F8 i比方说，他们是谁：
- V% C1 d5 G( o1 }3 [0 }& ^% k+ g+ l
7 ~4 b( h$ Y$ Z//print their identifying principal (in this case, a username):
: j' a: ]* g! X$ [7 O- Z
' j0 ~2 d0 Q3 o- ?. zlog.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
. W* H, I& a5 i9 L# F4 N+ ^6 N
$ F. u7 \$ I3 z/ t/ Z也可以判断用户是否拥有特定的角色：

$ I8 y! i3 m+ F: o8 Dif ( currentUser.hasRole( "schwartz" ) ) {

. N; B9 ?2 \  P5 qlog.info("May the Schwartz be with you!" );

* i9 c2 u. Q' _& p4 B3 \; }0 V} else {
1 R$ D; B+ c- H6 C0 R
# b) ^% m2 K! {/ C: h7 i* E% n0 ^log.info( "Hello, mere mortal." );

}

还可以判断用户是否对特定某实体有操作权限：

- |% B, U2 x& l4 n. U8 I, mif ( currentUser.isPermitted( "lightsaber:weild" ) ) {

- I7 Z1 N/ R4 u3 E6 Alog.info("You may use a lightsaber ring. Use it wisely.");
; G2 g/ d+ l$ g3 V: o2 d' Q; X/ f
2 I3 s( u5 {) s- z} else {
' M3 U# y- O4 a; s. a: k6 b
  w+ g. ~5 P$ w( ^log.info("Sorry, lightsaber rings are for schwartz masters only.");
* m3 l+ I0 J0 h8 q8 j) e
}

" u: E6 a- l" p9 O' w2 h当然，还可以进行功能强大的实例级别的权限验证。通过它可以判断用户是否有访问特定类型实例的权限：
9 a; G3 |  g0 h7 X
if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {

log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +"Here are the keys - have fun!");

$ w' J# |$ w: S( o} else {

, V- {9 |1 \: h" C7 Y9 s5 ilog.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");

}

3 n! I" u" U+ i小菜一碟，对吧。
; n- h# [% E0 @: }9 D- y$ M1 V
最后，当用户使用完毕，还可以退出应用。

currentUser.logout(); //removes all identifying information and invalidates their session too.

' V! j/ n- {, n; t这些就是使用Apache Shiro开发应用的核心了，当然，Apache Shiro已将将很多复杂的东西封装在内部了，但是现在它就是这么简单。

: Z' N( T+ q- H) x/ \# D4 d1 V你会有疑问吧，用户登录时，谁负责把用户信息(用户名、密码、角色、权限等)取出来，还有运行时，谁负责安全认证呢？当然由你决定了啊。通过将一个实现了Shiro中的Realm的Reaml配置到Shiro中即可。
$ @. b+ @8 ?! d6 |' ^3 l
至于如何配置很大程度上取决于你的运行时环境，比如在单应用、web应用、基于spring或JEE 容器的应用或者组合模式中使用Shiro，配置都有所不同。如何配置已经超出QuickStart示例的范围，因为它的主要目的是帮助你熟悉Shiro的API和概念。

8 @8 q) X$ h  ]& U, P, a& e如果想进一步了解Shiro，可以看看Authentication Guide和Authorization Guide。也可以查看其他文档(特别是Reference Manual)，这里可以解决你的各种疑问。