Shiro介绍

什么是shiro？

Apache Shiro是一个功能强大且灵活的开源安全框架，可以清晰地处理身份验证，授权，企业会话管理和加密。

Apache Shiro的首要目标是易于使用和理解。安全有时可能非常复杂，甚至是痛苦的，但事实并非如此。框架应尽可能掩盖复杂性，并提供简洁直观的API，以简化开发人员确保其应用程序安全的工作。

以下是Apache Shiro可以做的一些事情：

• 验证用户以验证其身份

• 为用户执行访问控制，例如：

1、确定是否为用户分配了某个安全角色

2、确定是否允许用户执行某些操作

3、在任何环境中使用Session API，即使没有Web容器或EJB容器也是如此。

4、在身份验证，访问控制或会话生命周期内对事件做出反应。

5、聚合用户安全数据的1个或多个数据源，并将其全部显示为单个复合用户“视图”。

6、启用单点登录（SSO）功能

7、无需登录即可为用户关联启用“记住我”服务

• ...... ... ... .... ...

• 以及更多 - 全部集成到一个易于使用的内聚API中。

Shiro尝试为所有应用程序环境实现这些目标 - 从最简单的命令行应用程序到最大的企业应用程序，而不会强制依赖其他第三方框架，容器或应用程序服务器。当然，该项目旨在尽可能地融入这些环境，但它可以在任何环境中开箱即用。

Apache Shiro功能

shiro具备如下功能：

功能	说明
Authentication	身份认证/验证，验证用户是不是拥有相应的身份。
Authorization	授权，即权限验证，验证某个已认证的用户是否拥有某个权限；<br>即判断用户是否能进行什么操作，如：验证某个用户是否拥有某个角色；<br>或者细粒度的验证某个用户对某个资源是否具有某个权限；
Session Manager	会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；<br>会话可以是普通JavaSE环境，也可以是Web 环境的；
Cryptography	加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；
Web Support	Web 支持，可以非常容易的集成到Web 环境；
Caching	缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率；
Concurrency	Shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去；
Testing	提供测试支持；
Run As	允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；
Remember Me	记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了

• Shiro针对Shiro开发团队所称的“应用程序安全的四大基石” - 身份验证，授权，会话管理和加密：

身份验证：有时称为“登录”，这是证明用户是他们所说的人的行为。 授权：访问控制的过程，即确定“谁”可以访问“什么”。 会话管理：即使在非Web或EJB应用程序中，也可以管理特定于用户的会话。 密码学：使用加密算法保持数据安全，同时仍然易于使用。

shiro中的shiro.ini说明：

• shiro.ini放置在class path路径下shiro会自动查询。
• ini配置文件中有四大主要配置类：

main、users、roles、urls

main

提供了对根对象securityManager及其依赖对象的配置

[main]
# 自定义 realm
customRealm=com.sxt.realm.MyRealm
#将realm设置到securityManager
securityManager.realms=$customRealm

其构造器必须是public空参构造器，通过反射创建相应的实例。

  1、对象名=全限定类名 相对于调用public无参构造器创建对象   2、对象名.属性名=值 相当于调用setter方法设置常量值   3、对象名.属性名=$对象引用 相当于调用setter方法设置对象引用

users

  提供了对用户/密码及其角色的配置，用户名=密码，角色1，角色2 username=password,role1,role2   例如：配置用户名/密码及其角色，格式：“用户名=密码，角色1，角色2”，角色部分可省略。如：

[users]
zmf = 111,admin,root
# 账号为zmf 密码为111,其角色为admin超级管理员，root管理员

roles

  提供了角色及权限之间关系的配置，角色=权限1，权限2 role1 = permission1 , permission2   例如：配置角色及权限之间的关系，格式：“角色=权限1，权限2”；如：

[roles] 
role1=user:create,user:update 
role2=*  

如果只有角色没有对应的权限，可以不配roles

urls

  用于web，提供了对web url拦截相关的配置，url=拦截器[参数]，拦截器

/index.html = anon 
/admin/** = authc, roles[admin],perms["permission1"]

案例：

添加依赖：

	<dependencies>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.1.0</version>
		</dependency>
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-simple</artifactId>
			<version>1.6.1</version>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>commons-logging</groupId>
			<artifactId>commons-logging</artifactId>
			<version>1.2</version>
		</dependency>
	</dependencies>

创建shiro.ini配置文件：

[users]
root = root
# 账号为root 密码为root

认证操作：

public class Main {

	public static void main(String[] args) {
		//1、获取securityManager工厂对象
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		
		//2、通过factory对象获取securityManager对象。
		SecurityManager securityManager = factory.getInstance();
		
		//3、将securityManager对象添加到当前运行环境中
		SecurityUtils.setSecurityManager(securityManager);
		
		//4、获取subject对象
		Subject subject = SecurityUtils.getSubject();
		
		//5、验证信息
		UsernamePasswordToken token = new UsernamePasswordToken("root", "root");
		
		//登陆操作
		try {
			subject.login(token);
			System.out.println("验证：" + subject.isAuthenticated());
		} catch (UnknownAccountException e) {
			// TODO: handle exception
			System.out.println("账号错误....");
		}catch (IncorrectCredentialsException e) {
			// TODO: handle exception
			System.out.println("密码错误...");
		}
	}
}

测试结果：

转载于:https://my.oschina.net/u/4116644/blog/3043866