shiro

1.shrio简介

Apache Shiro是一个强大且易用的Java安全框架,有身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

1.1 shrio与Spring security的比较

Spring security 重量级安全框架(配置很麻烦 做的比较细)
Apache Shiro 轻量级安全框架 (配置很容易 很方便，很容易使用)

1.2 shrio的作用

Shiro 开发团队称为“应用程序的四大基石” ——身份验证，授权，会话管理和加密作为其目标
Authentication(身份认证)：

有时也简称为“登录”，这是一个证明用户是他们所说的他们是谁的行为Authorization（授权）：

访问控制的过程，也就是绝对“谁”去访问“什么”权限。

Session Management：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。

Cryptography：通过使用加密算法保持数据安全同时易于使用。

也提供了额外的功能来支持和加强在不同环境下所关注的方面，尤其是以下这些： Web Support： Shiro 的 web 支持的 API 能够轻松地帮助保护 Web 应用程序。

Caching：缓存是 Apache Shiro 中的第一层公民，来确保安全操作快速而又高
效。
Concurrency： Apache Shiro 利用它的并发特性来支持多线程应用程序。

Testing：测试支持的存在来帮助你编写单元测试和集成测试，并确保你的能够如预期的一样安全。

"Run As"：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问；

“Remember Me”：在会话中记住用户的身份，所以他们只需要在强制时候登录。

1.3架构
1.3.1从shiro外部来看
从外部来看Shiro,即从应用程序角度来如何使用shiro来完成工作(认证、授权等)。

2.1导入jar包

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.4.0</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
    </dependency>
</dependencies>

2.2准备资源
这个资源我们可以到shiro的源码文件中拷备:
/shiro-root-1.4.0-RC2/samples/quickstart/src/main/resources
shiro.ini
log4j.properties
注：users下面代表的登录的用户(用户名=密码)
shiro.ini文件(对拷备过来的数据进行了解释)：

#所有的用户与对应的用户密码 ，用户的角色

[users]
#root用户有一个密码是secret，他的角色是admin
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
#darkhelmet用户有一个密码是ludicrousspeed，他的角色是darklord, schwartz
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

所有的用户的角色

[roles]
admin这个角色有所有权限功能
admin = *
#schwartz这个角色可以操作所有的lightsaber权限功能
schwartz = lightsaber:*
goodguy 角色拥有对 id 为 eagle5 的 winnebago 资源执行 drive 的权限
goodguy = winnebago:drive:eagle5

2.3测试
 

public class Quickstart {

    private static final transient Logger log = LoggerFactory.getLogger(Quickstart.class);

    public static void main(String[] args) {
        //读取到shiro.ini文件，并且根据文件创建SecurityManager对象
        //  SecurityManager：权限的核心管理对象
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();

        // 为了程序正常运行，需要设计一个这个securityManager(相当于把这个管理放到环境中去了)
        SecurityUtils.setSecurityManager(securityManager);

        //拿到当前用户【Subject:操作当前系统的一个用户】
        Subject currentUser = SecurityUtils.getSubject();

        //拿到一个会话(它在咱们的所有类型系统都可以使用【不要求必需是web项目】)
        Session session = currentUser.getSession();
        //会话操作【可以在会话中设置值与获取值】
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
           // log.info("Retrieved the correct value! [" + value + "]");
            System.out.println("可以获取到这个值"+value);
        }

        //判断这个用户是否经过验证(没有登录我们可以认为是一个游客)
        //没有登录，我们就可以完成登录
        if (!currentUser.isAuthenticated()) {
            //拿到用户名与密码令牌【拿到用户名与密码】
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            //设置记住我的功能
            token.setRememberMe(true);
            try {
                //完成登录功能
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                //log.info("There is no user with username of " + token.getPrincipal());
                //token.getPrincipal()[ˈprɪnsəpl] -> 拿到主体（登录用户的主要标识【用户名】）
                System.out.println("这没有这个账号（用户名）"+token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                //incorrect [ˌɪnkəˈrekt]:不正确的，错误的
                //Credentials[krəˈdenʃlz]:证书; 凭证，证件
                //log.info("Password for account " + token.getPrincipal() + " was incorrect!");
                System.out.println("这个密码是错误的"+token.getPrincipal());
            } catch (LockedAccountException lae) {
                System.out.println("这个账号已经被锁定");
            }
            //其它的登录失败异常【它是所有登录异常的父类】
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

        //用户登录成功
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

        //判断这个用户是否是某一个角色
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

        //测试用户是否有某一个权限
        if (currentUser.isPermitted("lightsaber:wield")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

        //a (very powerful) Instance Level permission:
        if (currentUser.isPermitted("winnebago:drive:eagle5