Shiro 10分鐘教學

通過這個快速和簡單的教程，理解開發人員如何在他們的應用程序中使用Shiro。這個教程應該能在10分鐘內完成。

Apache Shiro是一個功能強大且易於使用的Java安全框架，爲開發人員提供一個直觀而全面的身份驗證，授權，加密和會話管理解決方案。

Apache Shiro它實現了管理應用程序的安全性的所有方面，同時儘可能地避免錯誤。 它是建立在聲音接口驅動的設計和OO原則，使您能夠自定義行爲。對於一切都有明智的默認，它是拿來即用的，因爲應用程序的安全性可以得到保證。

Apache Shiro能做什麼？

Shiro能做的很多。但這裏我們不想把QuickStart搞複雜了。如果想了解如何開始和爲什麼存在感到好奇，請參閱Shiro歷史和任務頁面。

注意：Shiro可以在任何環境中運行，從最簡單的命令行應用程序到最大的企業Web和集羣應用程序，但是這裏我們將使用一個簡單的「main」方法中的最簡單的例子來爲這個QuickStart提供一個第一次的感覺。

下載

確保您已安裝JDK 1.6+和Maven 3.0.3+。

1. 從下載頁面下載最新的「源代碼分發」(Source Code Distribution)。 在這個例子中使用1.3.2發佈版本。

2. 解壓縮源包：

   $ unzip shiro-root-1.3.2-source-release.zip

3. 輸入quickstart目錄：

   $ cd shiro-root-1.3.2/samples/quickstart

4. 運行QuickStart：

   $ mvn compile exec：java

這個示例只打印出一些日誌消息，讓你知道發生了什麼，然後退出。 在閱讀這個快速入門的時候，請隨時查看samples/quickstart/src/main/java/Quickstart.java下的代碼。 更改該文件並運行上面的mvn compile exec：java命令，應該會與您所願那樣執行。

Quickstart.java

上面引用的Quickstart.java文件包含了您熟悉API的所有代碼。 現在讓我們在這裏分塊說明，這樣你就可以很容易地理解發生了什麼。

在幾乎所有環境中，您可以通過以下調用獲取當前正在執行的用戶：

Subject currentUser = SecurityUtils.getSubject();

使用SecurityUtils.[getSubject()](static/current/apidocs/org/apache/shiro/SecurityUtils.html#getSubject()), 獲得當前正在執行的主題(Subject)。 主題僅僅是應用程序用戶的安全特定的「視圖」。 我們實際上想把它稱爲「User」，因爲有太多的應用程序自己的用戶類/框架與有現有的API會有些衝突，Shiro儘可能地排除這些衝突。 此外，在安全世界中，術語主題(Subject)實際上是公認的命名。

獨立應用程序中的getSubject()調用可能會返回基於應用程序特定位置中的用戶數據的主題，並且在服務器環境(例如：Web應用程序)中，它基於與當前線程或傳入請求相關聯的用戶數據獲取主題。

現在有一個主題，你能用它做什麼？

如果您想要用戶在應用程序的當前會話期間使用戶可用，那麼可以獲取其會話：

Session session = currentUser.getSession();
session.setAttribute( "someKey", "aValue" );

Session是一個Shiro特定的實例，它提供了大多數開發人員習慣的常規HttpSession，但有一些額外的好處和一些的區別：它不需要HTTP環境！

如果在Web應用程序中部署，默認情況下會話將基於HttpSession。 但是，在非Web環境中，像這個簡單的Quickstart，Shiro將默認自動使用其企業會話管理。無論部署環境如何，您都可以在任何層次的應用程序中使用相同的API。這是一個全新的應用程序世界，因爲任何需要會話的應用程序不需要強制使用HttpSession或EJB有狀態會話Bean。 而且，任何客戶端技術現在都可以共享會話數據。

現在可以獲得一個主題和會話。真正有用的東西是檢查他們是否允許執行某項操作，檢查角色和權限。

我們只能爲已知用戶執行這些檢查。上面的主題(Subject)實例代表當前用戶，但是誰是當前用戶？ 好吧，這裏他們是匿名的 - 也就是說，他們至少登錄一次。可以這樣做：

if ( !currentUser.isAuthenticated() ) {
    //collect user principals and credentials in a gui specific manner
    //such as username/password html form, X509 certificate, OpenID, etc.
    //We'll use the username/password example here since it is the most common.
    //(do you know what movie this is from? ;)
    UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
    //this is all you have to do to support 'remember me' (no config - built in!):
    token.setRememberMe(true);
    currentUser.login(token);
}

但是，如果他們的登錄嘗試失敗怎麼辦？ 您可以捕獲各種特定的異常，異常中告訴發生了什麼，並允許您處理做出相應的反應：

try {
    currentUser.login( token );
    //if no exception, that's it, we're done!
} catch ( UnknownAccountException uae ) {
    //username wasn't in the system, show them an error message?
} catch ( IncorrectCredentialsException ice ) {
    //password didn't match, try again?
} catch ( LockedAccountException lae ) {
    //account for that username is locked - can't login.  Show them a message?
}
    ... more types exceptions to check if you want ...
} catch ( AuthenticationException ae ) {
    //unexpected condition - error?
}

有很多不同類型的異常可根據需要檢查匹配，或拋出自己的自定義的異常。 有關更多信息，請參閱：AuthenticationException JavaDoc。

提示：安全最佳做法是向用戶提供通用登錄失敗消息，因爲我們不想幫助攻擊者試圖進入系統。

好的，所以到現在爲止，我們有一個登錄用戶。接下來能做什麼？

讓登錄用戶說他們是誰(獲取用戶身份)：

//print their identifying principal (in this case, a username): 
log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

我們還可以測試他們是否有特定的作用：

if ( currentUser.hasRole( "schwartz" ) ) {
    log.info("May the Schwartz be with you!" );
} else {
    log.info( "Hello, mere mortal." );
}

還可以查看他們是否有權對某種類型的實體執行操作：

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {
    log.info("You may use a lightsaber ring.  Use it wisely.");
} else {
    log.info("Sorry, lightsaber rings are for schwartz masters only.");
}

此外，我們可以執行非常強大的實例級別權限檢查 - 查看用戶是否能夠訪問類型的特定實例：

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
    log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'.  " +
                "Here are the keys - have fun!");
} else {
    log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

最後，當用戶完成使用應用程序時，他們可以執行註銷：

currentUser.logout(); //removes all identifying information and invalidates their session too.

上面這些是在應用程序開發人員級別使用Apache Shiro的核心。 雖然有一些非常複雜的東西在Shiro掩蓋下使這項工作如此優雅。

但是你可能會問：「誰負責在登錄期間獲取用戶數據(用戶名和密碼，角色和權限等)，以及誰在運行期間實際執行這些安全檢查？」嗯， Shiro調用Realm並將該Realm插入Shiro的配置。

但是，如何配置Realm主要取決於運行時環境。 例如，如果您運行獨立應用程序，或者您有基於Web的應用程序，或基於Spring或JEE容器的應用程序或其組合。 這種類型的配置不在本QuickStart的範圍之內，因爲QuickStart的目的是讓您輕鬆使用API和理解Shiro的基本概念。