web開發實戰教程：Apache Shiro在web專案中的應用

前階段就 hadoop的分享了一些內容，希望對新手入門的朋友有點幫助吧！對於hadoop新手入門的，還是比較推薦大快搜尋的DKHadoop發行版，三節點標準版還是值得擁有的（三節點的標準版是可以免費下載的，與付費版的目前功能一樣，只是節點數量不同，對於新手而言三節點的夠用了）。正在學習hadoop可以下載一下研究學習之用，也可以留言向我索要！

今天準備分享一下 Apache Shiro 在web開發中的應用。 shiro安全框架是目前為止作為登入註冊最常用的框架，因為它十分的強大簡單，提供了認證、授權、加密和會話管理等功能 。

shiro能做什麼？

認證 ：驗證使用者的身份

授權 ：對使用者執行訪問控制：判斷使用者是否被允許做某事

會話管理 ：在任何環境下使用 Session API，即使沒有 Web 或EJB 容器。

加密 ：以更簡潔易用的方式使用加密功能，保護或隱藏資料防止被偷窺

Realms ：聚集一個或多個使用者安全資料的資料來源

　 單點登入 （ SSO）功能。

為沒有關聯到登入的使用者啟用 "Remember Me“ 服務

Shiro 的四大核心部分

Authentication(身份驗證) ：簡稱為 “登入”，即證明使用者是誰。

Authorization(授權) ：訪問控制的過程，即決定是否有許可權去訪問受保護的資源。

Session Management(會話管理) ：管理使用者特定的會話，即使在非 Web 或 EJB 應用程式。

Cryptography(加密) ：通過使用加密演算法保持資料安全

shiro 的三個核心元件： 　 　　　　

Subject   ：正與系統進行互動的人，或某一個第三方服務。所有 Subject 例項都被繫結到（且這是必須的）一個SecurityManager 上。

SecurityManager ： Shiro 架構的心臟，用來協調內部各安全元件，管理內部元件例項，並通過它來提供安全管理的各種服務。當 Shiro 與一個 Subject 進行互動時，實質上是幕後的 SecurityManager 處理所有繁重的 Subject 安全操作。

Realms   ：本質上是一個特定安全的 DAO。當配置 Shiro 時，必須指定至少一個 Realm 用來進行身份驗證和/或授權。Shiro 提供了多種可用的 Realms 來獲取安全相關的資料。如關聯式資料庫(JDBC)，INI 及屬性檔案等。可以定義自己 Realm 實現來代表自定義的資料來源。

shiro 整合 SSM 框架：

1. 加入 jar 包

 

2. 配置 web.xml 檔案

　　　　 在 web.xml中加入以下程式碼—shiro過濾器。

< filter >

< filter-name > shiroFilter </ filter-name >

< filter-class >

org.springframework.web.filter.DelegatingFilterProxy

</ filter-class >

     < init-param >

         < param-name > targetFilterLifecycle </ param-name >

         < param-value > true </ param-value >

      </ init-param >

</ filter >

< filter-mapping >

      < filter-name > shiroFilter </ filter-name >

      < url-pattern > /* </ url-pattern >

</ filter-mapping >

 

 

3. 在 Spring 的配置檔案中配置 Shiro

Springmvc配置檔案中：

 

Spring配置檔案中匯入shiro配置檔案：

<!-- 包含shiro的配置檔案 -->

           < import resource ="classpath:applicationContext-shiro.xml"/> 新建 applicationContext-shiro.xml

 

 

 

 

到這一步，配置檔案都基本準備好了，接下來要寫 Realm方法了，新建shiro包，在包下新建MyRealm.java檔案繼承 AuthorizingRealm

 

 

 

 

以上配置已經完成，接下來通過 action進行驗證

//登入認證

    @RequestMapping("/shiro-login")

     public  String login(@RequestParam("username") String username,

            @RequestParam("password") String password){

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new  UsernamePasswordToken(username, password);        

         try  {

             //執行認證操作.

            subject.login(token);

        } catch  (AuthenticationException ae) {

            System.out.println("登陸失敗: " + ae.getMessage());

             return  "/index";

        }

         return  "/shiro-success";

    }

//提示：記得在註冊中密碼存入資料庫前也記得加密哦，提供一個utils方法

//進行shiro加密，返回加密後的結果

public   static  String md5(String pass){

String saltSource = "blog";    

String hashAlgorithmName = "MD5";

Object salt = new  Md5Hash(saltSource);

int  hashIterations = 1024;    

Object result = new  SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = result.toString();

return  password;

}

shiro 登入驗證到這裡完了， shiro 主要是進行登陸認證，許可權以及選單模組的設定。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31524777/viewspace-2213581/，如需轉載，請註明出處，否則將追究法律責任。