Shiro 简单了解

Shiro 简单了解

简单用过 SpringSecurity 安全框架后，再试试另一个安全框架——Shiro。

1. Shiro简介

Apache Shiro 是一个强大且易用的 Java 安全框架：

• Shiro 可以简单地开发出足够好的应用，可以应用在 JavaSE 环境和 JavaEE 环境；
• Shiro 可以完成身份认证、授权、加密、会话管理、Web 集成、缓存等。

Shiro 源码：https://github.com/apache/shiro

Shiro 的主要功能包括：

• Authentication：身份认证，即验证用户是否有登录的身份；
• Authorization：授权，进行访问控制，即验证已认证用户是否有足够的权限；
• Session Manager：会话管理，即管理用户登录后的会话 Session，用户自登录后，信息都会保存在会话中，会话可以是 JavaSE 环境也可以是 JavaEE 环境；
• Cryptography：加密，保护数据的安全性，如将密码加密保存到数据库中

除此之外还有额外的功能，此处暂且略过。

2. Shiro架构

在最高的概念层次上，Shiro 的架构有三个主要的概念：Subject,，SecurityManager 和 Realm。

1. Subject：即“当前操作用户”。但是，在 Shiro 中，Subject 这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
2. SecurityManager：它是 Shiro 框架的核心，典型的Facade模式。Shiro 通过 SecurityManager 来管理内部组件实例，并通过它来提供安全管理的各种服务。Subject 代表了当前用户的安全操作，SecurityManager 则管理所有用户的安全操作。
3. Realm：Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说，**当对用户执行认证（登录）和授权（访问控制）验证时，Shiro 会从应用配置的 Realm 中查找用户及其权限信息。**Realm 实质上是一个安全相关的 DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给 Shiro。当配置 Shiro 时，必须至少指定一个Realm，用于认证和授权。

Shiro 还有复杂的内部架构：

这里就先不管了，还没研究到这么深的程度。

3. 快速开始

通过 Shiro 提供的 Sample 中的 Quickstart 简单了解一下 Shiro 的 API。

public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);


    public static void main(String[] args) {

        // 从工厂方法中获取 SecurityManager 实例！ 此处 .ini 文件中保存了用户名、密码和权限的数据。
        Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        // 将 SecurityManager 作为 JVM 单例使用
        // 一般应用不会这样做，而是依赖于它们的容器配置，此处仅是为了快速开始
        SecurityUtils.setSecurityManager(securityManager);

        // 简单的 Shiro 环境就搭建好了，接下来可以：

        // 获取当前的执行对象 Subject
        Subject currentUser = SecurityUtils.getSubject();

        // 使用会话 Session 做些事情！（不需要 web 或者 EJB 容器！）
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("Retrieved the correct value! [" + value + "]");
        }

        // 登录当前用户，以查看角色和权限
        // currentUser.isAuthenticated() 检查是否认证（登录）
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // 通过不同的认证异常进行不同的提示
            catch (AuthenticationException ae) {
                // 抛出了最高的认证异常，是什么情况？错误？
            }
        }

        // 登录成功，表明身份
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        // 查看是否具有权限 currentUser.hasRole()
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        // 查看类型化权限（非实例级别） currentUser.isPermitted()
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        // （强大的）实例级别权限 （有什么区别？）
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

        // 完成，注销！
        currentUser.logout();

        System.exit(0);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80

通过注释说明了每句代码的作用（也是从原英文注释翻译过来的 = = ），看看其中 API 的使用即可，马上在 SpringBoot 中使用试试！