Apache Shiro（简单 Java 安全）

Apache Shiro 是什么

Apache Shiro™是一个功能强大、易于使用的Java安全框架,它的功能有身份验证、授权、加密、和会话管理。它可以保护任何应用程序，包括Mobile移动应用，Web网站应用。

身份验证
基于主题 – 在Shiro中所有事情都是基于当前的用户，叫做主题,您能很容易在代码中检索主题，使您能很容易的理解和使用它。
单一方法调用 – 验证过程就是一个单一方法调用，只需要一个方法就可以完成，代码简单、干净，节省了您的时间。
丰富的异常结构 – 用户登录失败，会输出详细的异常，结构层次清晰，帮助您更容易的诊断错误和原因。另外，还能帮您创建更复杂的身份验证功能。
记住我 – 如果用户返回该应用时，能记住您的用户，用最小的开发工作量获取最大的用户体验。
可插拔数据源 – Shiro使用可插拔数据访问对象(DAO)，称为Realms。
使用1个或多个realms登录 – 你可以使用多个realms验证用户，并返回一个统一身份。您还可以自定义身份验证过程，这些策略可以在配置文件中设置，这样更改就不需要修改源代码-减少复杂性和维护工作量。

起步

导言
欢迎来到ApacheShiro的10分钟教程！
通过这个快速和简单的教程，您应该充分了解开发人员如何在应用程序中使用Shiro。 你应该能在10分钟内完成。
下载
确保安装了JDK1.6和Maven3.0.3。
我们使用的是1.5.3发行版。下载地址
解压文件
$ unzip shiro-root-1.5.3-source-release.zip
进入目录
$ cd shiro-root-1.5.3/samples/quickstart
运行
$ mvn compile exec:java
执行后，会输出一些日志信息，并退出，
Quickstart.java文件包含了一些代码,
在几乎所有的环境中，您都可以通过以下调用获得当前正在执行的用户：

Subject currentUser = SecurityUtils.getSubject();

您可以获得它们的会话：

Session session = currentUser.getSession();
session.setAttribute( "someKey", "aValue" );

我们只能对已知用户进行这些检查。 我们上面的Subject实例表示当前用户，但是当前用户是谁？ 嗯，他们是匿名的-也就是说，直到他们至少登录一次。 所以，让我们这样做：

if ( !currentUser.isAuthenticated() ) {
    //collect user principals and credentials in a gui specific manner
    //such as username/password html form, X509 certificate, OpenID, etc.
    //We'll use the username/password example here since it is the most common.
    //(do you know what movie this is from? ;)
    UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
    //this is all you have to do to support 'remember me' (no config - built in!):
    token.setRememberMe(true);
    currentUser.login(token);
}

就这样！ 再容易不过了。
但是如果他们的登录尝试失败了呢？ 您可以捕捉到各种具体的异常，这些异常可以准确地告诉您发生了什么，并允许您相应地处理和反应：

try {
    currentUser.login( token );
    //if no exception, that's it, we're done!
} catch ( UnknownAccountException uae ) {
    //username wasn't in the system, show them an error message?
} catch ( IncorrectCredentialsException ice ) {
    //password didn't match, try again?
} catch ( LockedAccountException lae ) {
    //account for that username is locked - can't login.  Show them a message?
}
    ... more types exceptions to check if you want ...
} catch ( AuthenticationException ae ) {
    //unexpected condition - error?
}

好的，现在，我们有一个登录用户。 我们还能做什么？让我们说他们是谁：

log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

我们也可以测试他们是否有具体的角色：

if ( currentUser.hasRole( "schwartz" ) ) {
    log.info("May the Schwartz be with you!" );
} else {
    log.info( "Hello, mere mortal." );
}

我们还可以看看他们是否有权对某种类型的实体采取行动：

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {
    log.info("You may use a lightsaber ring.  Use it wisely.");
} else {
    log.info("Sorry, lightsaber rings are for schwartz masters only.");
}

此外，我们还可以执行一个非常强大的实例级别权限检查-查看用户是否有能力访问类型的特定实例：

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
    log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'.  " +
                "Here are the keys - have fun!");
} else {
    log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

小菜一碟，对吧？最后，当用户完成时，他们可以注销：

currentUser.logout();

好了，这就是 Apache Shiro 应用程序的核心。
你可能会问，谁负责在登录期间获取用户数据（用户名和密码、角色和权限等），谁在运行时实际执行这些安全检查？那么，你可以使用Realm。
谢谢你的跟随。 我们希望您喜欢使用ApacheShiro！