# 1、什么是Shiro
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
## 下载:http://shiro.apache.org/
# 2、Shiro工作原理
- Authentication: 身份认证/登录,验证用户是否拥有相应的身份
- Authorization: 授权,即授权验证,验证某个已认证的用户是否拥有某个权限。;即判断用 户是否能做事情,
常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用 户对某个资源是否具有某个权限 - Session Management: 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中。
会话可以是普通 JavaSE 环境的,也可以是如Web 环境的 - Cryptography: 加密,保护数据的安全性。如密码加密存储到数据库,而不是明文存储
- Web Support :Web 支持,可以非常容易的集成到 Web 环境
- Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率
- Concurrency :shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能 把权限自动传播过去
- Testing :提供测试支持
- Run As :允许一个用户假装为另一个用户(如果他们允许)的身份进行访问
Remember Me :记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录 了
# 3、Shiro架构
- 应用程序去访问Shiro,一定是Subject,表示的是当前用户,实际上Subject是一个门面,真正核心是SecurityManager,管理Shiro的各个组件;当访问安全数据的时候,比如获取用户信息、获取权限信息,需要用到Realm。
- 总结:可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject; 其每个 API 的含
义: Subject :主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互 的任何东西都是
Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定 到 SecurityManager,与 Subject
的所有交互都会委托给 SecurityManager;可以把 Subject 认 为是一个门面;SecurityManager 才是实际的执
行者。
SecurityManager :安全管理器;即所有与安全有关的操作都会与 SecurityManager 交互; 且它管理着所有
Subject;可以看出它是 Shiro 的核心,它负责与后边介绍的其他组件进行 交互,你可以把它看成 SpringMVC的DispatcherServlet 前端控制器。
Realm:Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证
用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。
#4、 Shiro官方文档shiro-root-1.3.2-source-release quickstart 案例分析
文档参考:http://shiro.apache.org/download.html
(1)测试1
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
// get the currently executing user:
//获取当前的Subject,调用SecurityUtils.getSubject()
Subject currentUser = SecurityUtils.getSubject();
// Do some stuff with a Session (no need for a web or EJB container!!!)
//测试session
//1.获取session: Subject#getSession()
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("---> Retrieved the correct value! [" + value + "]");
}
运行后显示:
(2)测试2
// let's login the current user so we can check against roles and permissions:
//测试当前用户是否已经被认证,即是否已经登录
//调用Subject的isAuthenticated()
if (!currentUser.isAuthenticated()) {
//将用户名和密码封装成UsernamePasswordToken对象
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
token.setRememberMe(true);
try {
//调用Subject#login(),执行登录。能否登录成功,取决于shiro.ini配置文件中是否配了用户"lonestarr"和密码"vespa"
currentUser.login(token);
} catch (UnknownAccountException uae) {
log.info("There is no user with username of " + token.getPrincipal());
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal() + " was incorrect!");
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
//say who they are:
//print their identifying principal (in this case, a username):
log.info("---> User [" + currentUser.getPrincipal() + "] logged in successfully.");
shiro.ini文件的配置:
(3)测试3
# The 'goodguy' role is allowed to 'delete' (action) the user (type) with
# license plate 'zhangsan' (instance specific id)
goodguy = user:delete:zhangsan
//test a typed permission (not instance-level)
// 测试用户是否具备某一个行为
if (currentUser.isPermitted("lightsaber:weild")) {
log.info("---> You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//a (very powerful) Instance Level permission:
// 测试用户是否具备某一个行为,更具体的行为
if (currentUser.isPermitted("user:delete:zhangsan")) {
log.info("---> You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}