Apache Shiro(简单 Java 安全)

Apache Shiro 是什么

Apache Shiro™是一个功能强大、易于使用的Java安全框架,它的功能有身份验证、授权、加密、和会话管理。它可以保护任何应用程序,包括Mobile移动应用,Web网站应用。

身份验证
基于主题 – 在Shiro中所有事情都是基于当前的用户,叫做主题,您能很容易在代码中检索主题,使您能很容易的理解和使用它。
单一方法调用 – 验证过程就是一个单一方法调用,只需要一个方法就可以完成,代码简单、干净,节省了您的时间。
丰富的异常结构 – 用户登录失败,会输出详细的异常,结构层次清晰,帮助您更容易的诊断错误和原因。另外,还能帮您创建更复杂的身份验证功能。
记住我 – 如果用户返回该应用时,能记住您的用户,用最小的开发工作量获取最大的用户体验。
可插拔数据源 – Shiro使用可插拔数据访问对象(DAO),称为Realms。
使用1个或多个realms登录 – 你可以使用多个realms验证用户,并返回一个统一身份。您还可以自定义身份验证过程,这些策略可以在配置文件中设置,这样更改就不需要修改源代码-减少复杂性和维护工作量。

起步

导言
欢迎来到ApacheShiro的10分钟教程!
通过这个快速和简单的教程,您应该充分了解开发人员如何在应用程序中使用Shiro。 你应该能在10分钟内完成。
下载
确保安装了JDK1.6和Maven3.0.3。
我们使用的是1.5.3发行版。下载地址
解压文件
$ unzip shiro-root-1.5.3-source-release.zip
进入目录
$ cd shiro-root-1.5.3/samples/quickstart
运行
$ mvn compile exec:java
执行后,会输出一些日志信息,并退出,
Quickstart.java文件包含了一些代码,
在几乎所有的环境中,您都可以通过以下调用获得当前正在执行的用户:

Subject currentUser = SecurityUtils.getSubject();

您可以获得它们的会话:

Session session = currentUser.getSession();
session.setAttribute( "someKey", "aValue" );

我们只能对已知用户进行这些检查。 我们上面的Subject实例表示当前用户,但是当前用户是谁? 嗯,他们是匿名的-也就是说,直到他们至少登录一次。 所以,让我们这样做:

if ( !currentUser.isAuthenticated() ) {
    //collect user principals and credentials in a gui specific manner
    //such as username/password html form, X509 certificate, OpenID, etc.
    //We'll use the username/password example here since it is the most common.
    //(do you know what movie this is from? ;)
    UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
    //this is all you have to do to support 'remember me' (no config - built in!):
    token.setRememberMe(true);
    currentUser.login(token);
}

就这样! 再容易不过了。
但是如果他们的登录尝试失败了呢? 您可以捕捉到各种具体的异常,这些异常可以准确地告诉您发生了什么,并允许您相应地处理和反应:

try {
    currentUser.login( token );
    //if no exception, that's it, we're done!
} catch ( UnknownAccountException uae ) {
    //username wasn't in the system, show them an error message?
} catch ( IncorrectCredentialsException ice ) {
    //password didn't match, try again?
} catch ( LockedAccountException lae ) {
    //account for that username is locked - can't login.  Show them a message?
}
    ... more types exceptions to check if you want ...
} catch ( AuthenticationException ae ) {
    //unexpected condition - error?
}

好的,现在,我们有一个登录用户。 我们还能做什么?让我们说他们是谁:

log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );

我们也可以测试他们是否有具体的角色:

if ( currentUser.hasRole( "schwartz" ) ) {
    log.info("May the Schwartz be with you!" );
} else {
    log.info( "Hello, mere mortal." );
}

我们还可以看看他们是否有权对某种类型的实体采取行动:

if ( currentUser.isPermitted( "lightsaber:weild" ) ) {
    log.info("You may use a lightsaber ring.  Use it wisely.");
} else {
    log.info("Sorry, lightsaber rings are for schwartz masters only.");
}

此外,我们还可以执行一个非常强大的实例级别权限检查-查看用户是否有能力访问类型的特定实例:

if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
    log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'.  " +
                "Here are the keys - have fun!");
} else {
    log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}

小菜一碟,对吧?最后,当用户完成时,他们可以注销:

currentUser.logout();

好了,这就是 Apache Shiro 应用程序的核心。
你可能会问,谁负责在登录期间获取用户数据(用户名和密码、角色和权限等),谁在运行时实际执行这些安全检查?那么,你可以使用Realm。
谢谢你的跟随。 我们希望您喜欢使用ApacheShiro!

你可能感兴趣的:(java,shiro)