Apache Shiro 简介（1）

look_w

Apache Shiro 是一个框架，可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™                应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益，您应该习惯于创建 Java 应用程序并安装了如下的几个组件：       

• Java 1.6 JDK
• Grails（用来运行这些 web 应用程序示例）

常用缩略词

• API: 应用程序编程接口
• HTTP: 超文本传输协议
• JAR: Java 档案文件
• JDBC: Java 数据库连接
• JDK: Java 开发工具包
• LDAP:轻量级目录访问协议

身份验证和授权在对系统进行安全保障时，有两个安全性元素非常重要：身份验证和授权。虽然这两个术语代表的是不同的含义，但出于它们在应用程序安全性方面各自的角色考虑，它们有时会被交换使用。               
身份验证 指的是验证用户的身份。在验证用户身份时，需要确认用户的身份的确如他们所声称的那样。在大多数应用程序中，身份验证是通过用户名和密码的组合完成的。只要用户选择了他人很难猜到的密码，那么用户名和密码的组合通常就足以确立身份。但是，还有其他的身份验证方式可用，比如指纹、证书和生成键。               
一旦身份验证过程成功地建立起身份，授权 就会接管以便进行访问的限制或允许。所以，有这样的可能性：用户虽然通过了身份验证可以登录到一个系统，但是未经过授权，不准做任何事情。还有一种可能是用户虽然具有了某种程度的授权，却并未经过身份验证。               
在为应用程序规划安全性模型时，必须处理好这两个元素以确保系统具有足够的安全性。身份验证是应用程序常见的问题（特别是在只有用户和密码组合的情况下），所以让框架来处理这项工作是一个很好的做法。合理的框架可提供经过测试和维护的优势，让您可以集中精力处理业务问题，而不是解决其解决方案已经实现的问题。               
Apache Shiro 提供了一个可用的安全性框架，各种客户机都可将这个框架应用于它们的应用程序。本文中的这些例子旨在介绍 Shiro 并着重展示对用户进行身份验证的基本任务。               
了解 ShiroShiro 是一个用 Java 语言实现的框架，通过一个简单易用的 API 提供身份验证和授权。使用 Shiro，您就能够为您的应用程序提供安全性而又无需从头编写所有代码。               
来自 IBM 的总体身份验证解决方案白皮书                     “” 探讨了一个跨各种商业应用程序和访问场景的、完全集成的、企业范围的、经济高效的身份验证解决方案。
这个解决方案提供了一个高度安全的集中式的身份验证基础设施，通过它的 API 或诸如 RADIUS 或 LDAP 这样的标准身份验证协议可很容易地与各种应用程序或 IT 基础设施组件集成。它支持广泛的软硬件或基于手机的身份验证令牌，在选择具体的身份验证方法方面提供了最大限度的灵活性。

由于 Shiro 提供具有诸多不同数据源的身份验证，以及 Enterprise Session Management，所以是实现单点登录（SSO）的理想之选 — 大型企业内的一个理想特性，因为在大型企业内，用户需要在一天内经常登录到并使用不同系统。这些数据源包括 JDBC、LDAP、 Kerberos 和 Microsoft® Active Directory® Directory                        Services (AD DS)。                
Shiro 的 Session 对象允许无需 HttpSession 即可使用一个用户会话。通过使用一个通用的                         Session 对象，即便该代码没有在一个 Web 应用程序中运行，仍可以使用相同的代码。没有对应用服务器或 Web 应用服务器会话管理的依赖，您甚至可以在命令行环境中使用 Shiro。换言之，使用 Shiro 的 API 编写的代码让您可以构建连接到 LDAP 服务器的命令行应用程序并且与 web 应用程序内用来访问 LDAP 服务器的代码相同。               
下载并安装 ShiroShiro 是预构建的二进制发行版。您可以下载 Shiro                                JAR 文件或将各项放入到 Apache Maven 或 Apache Ivy 来自动安装这些文件。本例使用 Ivy 下载 Shiro                                 JAR 文件以及其他所需要的库，脚本很简单，如  所示。                       
清单 1. Apache Ivy 文件和 Apache Ant 脚本

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

<?xml version="1.0" encoding="UTF-8"?> <ivy-module version="2.0"     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     xsi:noNamespaceSchemaLocation="http://ant.apache.org/ivy/schemas/ivy.xsd">     <info organisation="com.nathanagood.examples" module="shirotest" />     <configurations>         <conf name="dist" description="Dependency configuration for distribution." />     </configurations>     <dependencies>         <dependency org="commons-logging" name="commons-logging"             rev="1.1.1" conf="dist->default" />         <dependency org="org.slf4j" name="slf4j-log4j12" rev="1.5.8"             conf="dist->default" />         <dependency org="org.apache.shiro" name="shiro-core" rev="1.0.0-incubating"             conf="dist->default" />         <dependency org="org.apache.shiro" name="shiro-web" rev="1.0.0-incubating"             conf="dist->default" />     </dependencies> </ivy-module> <project name="shiroTestApp" default="usage" basedir="."     xmlns:ivy="antlibrg.apache.ivy.ant">     <property name="project.lib" value="lib" />     <path id="ivy.task.path">         <fileset dir="${basedir}/ivy-lib">             <include name="**/*.jar" />         </fileset>     </path>     <target name="resolve">         <taskdef resource="org/apache/ivy/ant/antlib.xml"             uri="antlibrg.apache.ivy.ant" classpathref="ivy.task.path" />         <ivy:resolve />         <ivy:retrieve pattern="${project.lib}/[conf]/[artifact].[ext]" sync="true" />     </target>     <target name="usage">         <echo message="Use --projecthelp to learn more about this project" />     </target> </project>

有关使用 Ivy 的更多信息，参见 。如果不使用 Maven 或 Ivy，可用从本文  部分提供的下载站点下载这些 Shiro JAR 文件。                       
下载了这些库后，只需将它们添加到 CLASSPATH。编写  内所示的简单代码，它获得对当前用户的一个引用并报告说用户未经身份验证。（使用 Subject 类来代表此用户。）                       
清单 2. ShiroTest Java 类

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

package com.nathanagood.examples.shirotest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; import org.slf4j.Logger; import org.slf4j.LoggerFactory; public class ShiroTest {     private static Logger logger = LoggerFactory.getLogger(ShiroTest.class);     public static void main(String[] args) {         // Using the IniSecurityManagerFactory, which will use the an INI file         // as the security file.         Factory<org.apache.shiro.mgt.SecurityManager> factory =             new IniSecurityManagerFactory("auth.ini");         // Setting up the SecurityManager...         org.apache.shiro.mgt.SecurityManager securityManager             = factory.getInstance();         SecurityUtils.setSecurityManager(securityManager);         Subject user = SecurityUtils.getSubject();         logger.info("User is authenticated:  " + user.isAuthenticated());     } }

添加了此代码后，创建一个名为 auth.ini 的文件。此时，这个文件是空白的；它的作用只是为了能够在这里运行这个示例来检查代码是否正常工作。                       
创建文件后，运行这个示例。应该会看到包含了一个 INFO 登录消息的输出，报告说用户没有登录。                       
SecurityUtils 对象是一个 singleton，这意味着不同的对象可以使用它来获得对当前用户的访问。一旦成功地设置了这个 SecurityManager，就可以在应用程序不同部分调用 SecurityUtils.getSubject() 来获得当前用户的信息。