Shiro許可權框架使用總結_ZenDei技術網路在線

我們首先瞭解下什麼是shiro ，Shiro 是 JAVA 世界中新近出現的許可權框架，較之 JAAS 和 Spring Security，Shiro 在保持強大功能的同時，還在簡單性和靈活性方面擁有巨大優勢 Shiro 是一個強大而靈活的開源安全框架，能夠非常清晰的處理認證、授權、管理會話以及密碼加

我們首先瞭解下什麼是shiro ，Shiro 是 JAVA 世界中新近出現的許可權框架，較之 JAAS 和 Spring Security，Shiro 在保持強大功能的同時，還在簡單性和靈活性方面擁有巨大優勢

Shiro 是一個強大而靈活的開源安全框架，能夠非常清晰的處理認證、授權、管理會話以及密碼加密。如下是它所具有的特點：

易於理解的 Java Security API；
簡單的身份認證（登錄），支持多種數據源（LDAP，JDBC，Kerberos，ActiveDirectory 等）；
對角色的簡單的簽權（訪問控制），支持細粒度的簽權；
支持一級緩存，以提升應用程式的性能；
內置的基於 POJO 企業會話管理，適用於 Web 以及非 Web 的環境；
異構客戶端會話訪問；
非常簡單的加密 API；
不跟任何的框架或者容器捆綁，可以獨立運行。

Shiro 主要有四個組件

SecurityManager
典型的 Facade，Shiro 通過它對外提供安全管理的各種服務。
Authenticator
對“Who are you ？”進行核實。通常涉及用戶名和密碼。

這個組件負責收集 principals 和 credentials，並將它們提交給應用系統。如果提交的 credentials 跟應用系統中提供的 credentials 吻合，就能夠繼續訪問，否則需要重新提交 principals 和 credentials，或者直接終止訪問。
Authorizer
身份份驗證通過後，由這個組件對登錄人員進行訪問控制的篩查，比如“who can do what”，或者“who can do which actions”。Shiro 採用“基於 Realm”的方法，即用戶（又稱 Subject）、用戶組、角色和 permission 的聚合體。
Session Manager
這個組件保證了異構客戶端的訪問，配置簡單。它是基於 POJO/J2SE 的，不跟任何的客戶端或者協議綁定。

Shiro 的認證和簽權可以通過 JDBC、LDAP 或者 Active Directory 來訪問資料庫、目錄伺服器或者 Active Directory 中的人員以及認證 / 簽權信息。SessionManager 通過會話 DAO 可以將會話保存在 cache 中，或者固化到資料庫或文件系統中。

簡介

apache shiro 是一個功能強大和易於使用的Java安全框架，為開發人員提供一個直觀而全面的的解決方案的認證，授權，加密，會話管理。

在實際應用中，它實現了應用程式的安全管理的各個方面。

shiro的功能

apache shiro能做什麼？

支持認證跨一個或多個數據源（LDAP，JDBC，kerberos身份等）

執行授權，基於角色的細粒度的許可權控制。

增強的緩存的支持。

支持web或者非web環境，可以在任何單點登錄(SSO)或集群分散式會話中使用。

主要功能是：認證，授權，會話管理和加密。

下載並且使用

1，確保系統內安裝JDK1.5+和maven2.2+。

2，到shiro主頁下載shiro.

3，解壓縮

unzip shiro-root-1.1.0-source-release.zip

4，進入到quickstart目錄

cd shiro-root-1.1.0/samples/quickstart

5，運行quickstart

 mvn compile exec:java

執行完成如下圖：

Quickstart.java

 // get the currently executing user:
 Subject currentUser = SecurityUtils.getSubject();

使用SecurityUtils.getSubject()，我們可以得到當前正在執行的主題。

得到主題之後，你可以得到他對應的會話信息

 // Do some stuff with a Session (no need for a web or EJB container!!!)
        Session session = currentUser.getSession();
        session.setAttribute("someKey", "aValue");
        String value = (String) session.getAttribute("someKey");
        if (value.equals("aValue")) {
            log.info("Retrieved the correct value! [" + value + "]");
        }

你可以得到http的session信息，也可以在非web環境中使用，得到相對應的會話信息。

如果在web應用程式中部署應用，預設情況下，應用將以HttpSession為基礎。在企業級應用中，你在多個應用中可以使用相同的API，無論部署環境。而且使用任何客戶端技術你都可以共用會話數據。

接下來判斷登錄信息

 // let's login the current user so we can check against roles and permissions:
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

如果正確可以向下執行，如果不正確，就會對不同的業務進行處理。

比如用戶名不正確，密碼不正確，用戶被鎖定的異常，當然也可以使用自定義拋出的異常。

如果登錄成功，那麼下一步可以做什麼呢？

提示當前用戶：

//say who they are:
        //print their identifying principal (in this case, a username):
        log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

接著測試是否還有其它角色

//test a role:
        if (currentUser.hasRole("schwartz")) {
            log.info("May the Schwartz be with you!");
        } else {
            log.info("Hello, mere mortal.");
        }

接著測試是否有特定的許可權

//test a typed permission (not instance-level)
        if (currentUser.isPermitted("lightsaber:weild")) {
            log.info("You may use a lightsaber ring.  Use it wisely.");
        } else {
            log.info("Sorry, lightsaber rings are for schwartz masters only.");
        }

接著驗證一個非常強大的實例級許可權

 //a (very powerful) Instance Level permission:
        if (currentUser.isPermitted("winnebago:drive:eagle5")) {
            log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'.  " +
                    "Here are the keys - have fun!");
        } else {
            log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
        }

最後是使用程式註銷：

//all done - log out!
        currentUser.logout();

認證就是用戶確認身份的過程，確認登錄的用戶身份能夠操作的內容。

使用shiro認證分為以下幾個步驟：

1，得到主體的認證和憑據。

Shiro許可權框架使用總結

Shiro 主要有四個組件

Quickstart.java

isRemembered

isAuthenticated