Apache Shiro 10分鐘之旅!

林堯彬發表於2020-04-04

 

希望通過這個簡單、快速的示例,可以讓你對應用程式中使用Shiro有個深入的瞭解。嗯,10分鐘你應該可以搞定它。

概述

Apache Shiro是什麼?

Apache Shiro一個功能強大,使用簡單的Java安全框架,它為開發人員提供一個直觀而全面的認證,授權,加密及會話管理的解決方案。

實際上,Shiro的主要功能是管理應用程式中與安全相關的全部,同時儘可能支援多種實現方法。Shiro是建立在完善的介面驅動設計和麵向物件原則之上的,支援各種自定義行為。Shiro提供的預設實現,使其能完成與其他安全框架同樣的功能,這不也是我們一直努力想要得到的嗎!

那麼Apache Shiro能用來做什麼呢?

很多,很多,嘿嘿。但是不在快速指南中做介紹,如果你想知道,那怎麼辦呢?去這裡找尋你的答案吧。當然如果你還想知道我們什麼時候,以及為什麼要“創造”Shiro,去看看Shrio的歷史和使命吧。

OK,現在讓我們動手做點兒什麼吧。

注:Shiro可以在任何環境下執行,小到最簡單的命令列應用,大到大型的企業應用以及叢集應用。但是我們準備在快速指南中使用最最簡單的main方法的方式,讓你對Shiro的API有個感官的認識。

下載

  1. 確保已經安裝了JDK1.5+和Maven2.2+
  2. 這裡下載最新已釋出的原始碼。例子中我們使用1.1.0釋出版本。
  3. 解壓原始碼
  4. 進入快速指南資料夾

    cd shiro-root-1.1.0/samples/quickstart

  5. 執行快速指南

    mvn compile exec:java

過程中會輸出日誌資訊,用來告訴你正在進行的是什麼,最後退出執行。可以在這裡“samples/quickstart/src/main/java/Quickstart.java ”找到原始碼,也可以進行修改,記得修改後執行“mvn compile exec:java ”即可。

Quickstart.java

Quickstart.java中包含剛剛我們提到的所有內容(認證、授權等等),通過這個簡單的示例可以讓你輕鬆的熟悉Shiro的API。那麼,讓我們把Quickstart.java中的程式碼,一點一點剖析,這樣便於理解它們的作用。 幾乎所有的環境下,都可以通過這種方式獲取當前使用者:

通過SecurityUtils.getSubject(),就可以獲取當前Subject。Subject是應用中使用者的一個特定安全的縮影,雖然感覺上直接使用User會更貼切,但是實際上它的意義遠遠超過了User。而且每個應用程式都會有自己的使用者以及框架,我們可不想和它們混淆在一起,況且Subject就是安全領域公認的名詞。OK,我們繼續。

在單應用系統中,呼叫getSubject()會返回一個Subject,它是位於應用程式中特定位置的使用者資訊;在伺服器中執行的情況下(比如web應用),getSubject會返回一個位於當前執行緒或請求中的使用者資訊。 現在你已經得到了Subject物件,那麼用它可以做什麼呢?

如果你想得到應用中使用者當前Session的其他引數,可以這樣獲取Session物件:

這個Session物件是Shiro中特有的物件,它和我們經常使用的HttpSession非常相似,但還提供了額外的東西,其中與HttpSession最大的不同就是Shiro中的Session不依賴HTTP環境(換句話說,可以在非HTTP 容器下執行)。

如果將Shiro部署在web應用程式中,那麼這個Session就是基於HttpSession的。但是像QuickStart示例那樣,在非web環境下使用,Shiro則預設使用EnterpriseSessionManagment。也就是說,不論在應用中的任何一層使用同樣的API,卻不需要考慮部署環境,這一優點為應用開啟一個全新的世界,因為應用中要獲取Session物件再也不用依賴於HttpSession或者EJB的會話Bean。而且任何客戶端技術都可以共享session 資料。

現在你可以得到當前Subject和它的Session物件。那麼我們如何驗證比如角色和許可權這些東西呢?

很簡單,可以通過已得到的user物件進行驗證。Subject物件代表當前使用者,但是,誰才是當前使用者呢?他們可是匿名使用者啊。也就是說,必須登入才能獲取到當前使用者。沒問題,這樣就可以搞定:

就是這樣,太簡單了吧!

那登入失敗了怎麼處理呢?可以通過捕獲各類異常,根據不同型別的異常做出不同的處理:

可以捕獲Shiro提供的各種異常,也可以丟擲自定義類異常用於處理Shiro未考慮到的情況。預知詳情,可以去了解AuthenticationException JavaDoc

提示:最安全的做法是將登入失敗的訊息告知使用者,你總不會幫助攻擊者入侵你的系統吧!

OK,現在已經擁有一個登入使用者了,我們還能做點兒什麼呢?

比方說,他們是誰:

也可以判斷使用者是否擁有特定的角色:

還可以判斷使用者是否對特定某實體有操作許可權:

當然,還可以進行功能強大的例項級別的許可權驗證。通過它可以判斷使用者是否有訪問特定型別例項的許可權:

小菜一碟,對吧。

最後,當使用者使用完畢,還可以退出應用。

這些就是使用Apache Shiro開發應用的核心了,當然,Apache Shiro已將將很多複雜的東西封裝在內部了,但是現在它就是這麼簡單。

你會有疑問吧,使用者登入時,誰負責把使用者資訊(使用者名稱、密碼、角色、許可權等)取出來,還有執行時,誰負責安全認證呢?當然由你決定了啊。通過將一個實現了Shiro中的Realm的Reaml配置到Shiro中即可。

至於如何配置很大程度上取決於你的執行時環境,比如在單應用、web應用、基於Spring或JEE 容器的應用或者組合模式中使用Shiro,配置都有所不同。如何配置已經超出QuickStart示例的範圍,因為它的主要目的是幫助你熟悉Shiro的API和概念。

如果想進一步瞭解Shiro,可以看看Authentication GuideAuthorization Guide。也可以檢視其他文件(特別是Reference Manual),這裡可以解決你的各種疑問。

感謝一路同行,希望你能喜歡使用Apache Shiro。

http://www.ituring.com.cn/article/details/163

轉載於:https://www.cnblogs.com/mxcy/articles/3994078.html

相關文章