通過這個快速和簡單的教程,理解開發人員如何在他們的應用程式中使用Shiro。這個教程應該能在10分鐘內完成。
Apache Shiro是一個功能強大且易於使用的Java安全框架,為開發人員提供一個直觀而全面的身份驗證,授權,加密和會話管理解決方案。
Apache Shiro它實現了管理應用程式的安全性的所有方面,同時盡可能地避免錯誤。 它是建立在聲音介面驅動的設計和OO原則,使您能夠自定義行為。對於一切都有明智的默認,它是拿來即用的,因為應用程式的安全性可以得到保證。
Apache Shiro能做什麼?
Shiro能做的很多。但這裏我們不想把QuickStart搞複雜了。如果想瞭解如何開始和為什麼存在感到好奇,請參閱Shiro歷史和任務頁面。
注意:Shiro可以在任何環境中運行,從最簡單的命令行應用程式到最大的企業Web和集群應用程式,但是這裏我們將使用一個簡單的“main”方法中的最簡單的例子來為這個QuickStart提供一個第一次的感覺。
下載
確保您已安裝JDK 1.6+和Maven 3.0.3+。
- 從下載頁面下載最新的“源代碼分發”(
Source Code Distribution)。 在這個例子中使用1.3.2發佈版本。
- 解壓縮源包:
$ unzip shiro-root-1.3.2-source-release.zip - 輸入
quickstart目錄:$ cd shiro-root-1.3.2/samples/quickstart - 運行
QuickStart:$ mvn compile exec:java
這個示例只列印出一些日誌消息,讓你知道發生了什麼,然後退出。 在閱讀這個快速入門的時候,請隨時查看samples/quickstart/src/main/java/Quickstart.java下的代碼。 更改該檔並運行上面的mvn compile exec:java命令,應該會與您所願那樣執行。
Quickstart.java
上面引用的Quickstart.java檔包含了您熟悉API的所有代碼。 現在讓我們在這裏分塊說明,這樣你就可以很容易地理解發生了什麼。
在幾乎所有環境中,您可以通過以下調用獲取當前正在執行的用戶:
Subject currentUser = SecurityUtils.getSubject();
使用SecurityUtils.[getSubject()](static/current/apidocs/org/apache/shiro/SecurityUtils.html#getSubject()), 獲得當前正在執行的主題(Subject)。 主題僅僅是應用程式用戶的安全特定的“視圖”。 我們實際上想把它稱為“User”,因為有太多的應用程式自己的用戶類/框架與有現有的API會有些衝突,Shiro盡可能地排除這些衝突。 此外,在安全世界中,術語主題(Subject)實際上是公認的命名。
獨立應用程式中的getSubject()調用可能會返回基於應用程式特定位置中的用戶數據的主題,並且在伺服器環境(例如:Web應用程式)中,它基於與當前線程或傳入請求相關聯的用戶數據獲取主題。
現在有一個主題,你能用它做什麼?
如果您想要用戶在應用程式的當前會話期間使用戶可用,那麼可以獲取其會話:
Session session = currentUser.getSession();
session.setAttribute( "someKey", "aValue" );
Session是一個Shiro特定的實例,它提供了大多數開發人員習慣的常規HttpSession,但有一些額外的好處和一些的區別:它不需要HTTP環境!
如果在Web應用程式中部署,默認情況下會話將基於HttpSession。 但是,在非Web環境中,像這個簡單的Quickstart,Shiro將默認自動使用其企業會話管理。無論部署環境如何,您都可以在任何層次的應用程式中使用相同的API。這是一個全新的應用程式世界,因為任何需要會話的應用程式不需要強制使用HttpSession或EJB有狀態會話Bean。 而且,任何客戶端技術現在都可以共用會話數據。
現在可以獲得一個主題和會話。真正有用的東西是檢查他們是否允許執行某項操作,檢查角色和許可權。
我們只能為已知用戶執行這些檢查。上面的主題(Subject)實例代表當前用戶,但是誰是當前用戶? 好吧,這裏他們是匿名的 - 也就是說,他們至少登錄一次。可以這樣做:
if ( !currentUser.isAuthenticated() ) {
//collect user principals and credentials in a gui specific manner
//such as username/password html form, X509 certificate, OpenID, etc.
//We'll use the username/password example here since it is the most common.
//(do you know what movie this is from? ;)
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
//this is all you have to do to support 'remember me' (no config - built in!):
token.setRememberMe(true);
currentUser.login(token);
}
但是,如果他們的登錄嘗試失敗怎麼辦? 您可以捕獲各種特定的異常,異常中告訴發生了什麼,並允許您處理做出相應的反應:
try {
currentUser.login( token );
//if no exception, that's it, we're done!
} catch ( UnknownAccountException uae ) {
//username wasn't in the system, show them an error message?
} catch ( IncorrectCredentialsException ice ) {
//password didn't match, try again?
} catch ( LockedAccountException lae ) {
//account for that username is locked - can't login. Show them a message?
}
... more types exceptions to check if you want ...
} catch ( AuthenticationException ae ) {
//unexpected condition - error?
}
有很多不同類型的異常可根據需要檢查匹配,或拋出自己的自定義的異常。 有關更多資訊,請參閱:AuthenticationException JavaDoc。
提示:安全最佳做法是向用戶提供通用登錄失敗消息,因為我們不想幫助攻擊者試圖進入系統。
好的,所以到現在為止,我們有一個登錄用戶。接下來能做什麼?
讓登錄用戶說他們是誰(獲取用戶身份):
//print their identifying principal (in this case, a username):
log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
我們還可以測試他們是否有特定的作用:
if ( currentUser.hasRole( "schwartz" ) ) {
log.info("May the Schwartz be with you!" );
} else {
log.info( "Hello, mere mortal." );
}
還可以查看他們是否有權對某種類型的實體執行操作:
if ( currentUser.isPermitted( "lightsaber:weild" ) ) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
此外,我們可以執行非常強大的實例級別許可權檢查 - 查看用戶是否能夠訪問類型的特定實例:
if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
最後,當用戶完成使用應用程式時,他們可以執行註銷:
currentUser.logout(); //removes all identifying information and invalidates their session too.
上面這些是在應用程式開發人員級別使用Apache Shiro的核心。 雖然有一些非常複雜的東西在Shiro掩蓋下使這項工作如此優雅。
但是你可能會問:“誰負責在登錄期間獲取用戶數據(用戶名和密碼,角色和許可權等),以及誰在運行期間實際執行這些安全檢查?”嗯, Shiro調用Realm並將該Realm插入Shiro的配置。
但是,如何配置Realm主要取決於運行時環境。 例如,如果您運行獨立應用程式,或者您有基於Web的應用程式,或基於Spring或JEE容器的應用程式或其組合。 這種類型的配置不在本QuickStart的範圍之內,因為QuickStart的目的是讓您輕鬆使用API和理解Shiro的基本概念。