shiro实战系列(一)之入门实战

一、什么是shiro?

Apache Shiro 是一个强大而灵活的开源安全框架，它干净利落地处理身份认证，授权，企业会话管理和加密。   Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的，甚至是痛苦的，但它没有必要这样。框架应 该尽可能掩盖复杂的地方，露出一个干净而直观的 API，来简化开发人员在使他们的应用程序安全上的努力。

二、shiro可以做什么?

 验证用户来核实他们的身份。

 对用户执行访问控制，

如：

(1) 判断用户是否被分配了一个确定的安全角色

(2)判断用户是否被允许做某事

 在任何环境下使用 Session API，即使没有 Web 或 EJB 容器。

 在身份验证，访问控制期间或在会话的生命周期，对事件作出反应。

 聚集一个或多个用户安全数据的数据源，并作为一个单一的复合用户“视图”。

 启用单点登录（SSO）功能。

 为没有关联到登录的用户启用"Remember Me"服务。

Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用，不强制依赖其 他第三方框架，容器，或应用服务器。当然，该项目的目标是尽可能地融入到这些环境，但它能够在任何环境下立 即可用。

三、shiro结构图

Shiro 把 Shiro 开发团队称为“应用程序的四大基石”——身份验证，授权，会话管理和加密作为其目标。

shiro核心四要素，简单的概述为认证，授权，会话，加密等。

 Authentication：有时也简称为“登录”，这是一个证明用户是他们所说的他们是谁的行为。

 Authorization：访问控制的过程，也就是绝对“谁”去访问“什么”。

 Session Management：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。

 Cryptography：通过使用加密算法保持数据安全同时易于使用。

额外的功能概述:

 Web Support：Shiro 的 web 支持的 API 能够轻松地帮助保护 Web 应用程序。

 Caching：缓存是 Apache Shiro 中的第一层公民，来确保安全操作快速而又高效。

 Concurrency：Apache Shiro 利用它的并发特性来支持多线程应用程序。

 Testing：测试支持的存在来帮助你编写单元测试和集成测试，并确保你的能够如预期的一样安全。

 "Run As"：一个允许用户假设为另一个用户身份（如果允许）的功能，有时候在管理脚本很有用。

 "Remember Me"：在会话中记住用户的身份，所以他们只需要在强制时候登录。

四、简单的使用程序

示例为maven工程,jdk8，maven3以上

(1)pom依赖

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>org.apache.shiro.tutorials</groupId>
    <artifactId>shiro-tutorial</artifactId>
    <version>0.0.1-SNAPSHOT</version>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <dependencies>

　　　　  <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>1.7.5</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.5</version>
        </dependency> 
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.1.0</version>
        </dependency>

    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.0.2</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                </configuration>
            </plugin>

            <plugin>
                <groupId>org.codehaus.mojo</groupId>
                <artifactId>exec-maven-plugin</artifactId>
                <version>1.1</version>
                <executions>
                    <execution>
                        <goals>
                            <goal>java</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <classpathScope>test</classpathScope>
                    <mainClass>Tutorial</mainClass>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

logger4j.properties配置文件内容:

如果不加入，将无法看到log4j日志打印的结果

#config root logger
log4j.rootLogger = INFO,system.out
log4j.appender.system.out=org.apache.log4j.ConsoleAppender
log4j.appender.system.out.layout=org.apache.log4j.PatternLayout
log4j.appender.system.out.layout.ConversionPattern=[Log]%-d{yyyy-MM-dd HH:mm:ss} %5p[%F:%L]:%m%n
#log4j.appender.system.out.layout.ConversionPattern=[Log] %5p[%F:%L]:%m%n

#config this Project.file logger
log4j.logger.thisProject.file=INFO,thisProject.file.out
log4j.appender.thisProject.file.out=org.apache.log4j.DailyRollingFileAppender
log4j.appender.thisProject.file.out.File=pmslogout.log
log4j.appender.thisProject.file.out.layout=org.apache.log4j.PatternLayout
log4j.appender.thisProject.file.out.layout.ConversionPattern=[Log]%-d{yyyy-MM-dd HH:mm:ss} %5p[%F:%L]:%m%n
log4j.appender.thisProject.file.append=true

(2)运行main方法

import org.apache.log4j.Logger;

public class Tutorial {

    

    private static Logger logger = Logger.getLogger(Tutorial.class);
    
    public static void main(String[] args) {
    
        logger.info("Hello Wolrd Apache Shiro Application");
        System.exit(0);
    }
    }

Enable Shiro

在应用程序中启用 Shiro 最先要明白的事情是几乎在 Shiro 中的每个东西都与一个名为 SecurityManager 的主要的/核 心的组件有关。对于那些熟悉 Java 安全的人来说，这是 Shiro 的 SecurityManager 概念——它不等同于 java.lang.SecurityManager。

现在了解 Shiro 的 SecurityManager 是应用程序的 Shiro 环境的核心及每个应用程序中必须存在一个 SecurityManager 是很有益处的。因此，在我们的实战系列应用程序中第一 件要做的事情就是配置 SecurityManager 实例。

Configuration

虽然我们能够直接实例化一个 SecurityManager 类，但 Shiro 的 SecurityManager 实现有足够的配置选项及内置组件 使得在 Java 源代码做这件事情变得较为痛苦——如果使用一个灵活的基于文本的配置格式来配置 SecurityManager， 那么这将是一件很容易的事情。

为此，Shiro 通过基于文本的 INI 配置文件提供了一个默认的"共性（common denominator）"解决方案。近来人们已 经相当厌倦了使用笨重的 XML 文件，且 INI 文件易于阅读，使用简单，依赖性低。你稍后将会看到有了对象导航图 的简单理解，INI 文件能够有效地被用来配置简单的对象图，如 SecurityManager。

Many Configuration Options

Shiro 的 SecurityManager 实现及所有支持组件都是兼容 JavaBean 的。这允许 Shiro 能够与几乎任何配置格式如 XML（Spring，JBoss，Guice 等等），YAML，JSON，Groovy Builder markup，以及更多配置被一起配置。INI 文件只是 Shiro 的“共性”格式，他它允许任何环境下的配置，除非其他选项不可用。

上面的简单应用仅仅只是证明加入shiro相关的依赖运行没问题，下面进入简单的真正实战

shiro.ini文件

权限角色相关的规则就在该文件中编写:

[user]
root = secret,admin
guest = guest,guest
presidentskroob = 12345,president
darkhelmet = ludicrousspeed,darklord,schwartz
lonestarr=vespa,goodguy,schwartz

[roles]
admin = *j
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

main方法运行:

import org.apache.log4j.Logger;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.util.Factory;

public class Tutorial {

    private static Logger logger = Logger.getLogger(Tutorial.class);

    public static void main(String[] args) {

        logger.info("My First Apache Shiro Application");
        /**
         *步骤一: 我们使用 Shiro 的 IniSecurityManager 实现来提取我们的 shiro.ini 文件，它位于 classpath 的根目录。
         * 该实现反映了 Shiro 对工厂设计模式的支持。
         * classpath: 前缀是一个资源定位符，用来告诉 shiro 去哪加载 ini 文件（其 他前缀，如 url:和 file:也同样被支持）。
         */
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        /**
         * 步骤二: factory.getInstance()方法被调用，它来解析 INI 文件并返回反映该配置的 SecurityManager 实例。
         */
        SecurityManager securityManager = factory.getInstance();

        /**
         *
         * 步骤三: 在这个简单的例子中，我们把 SecurityManager 设置为一个静态的（memory）单例，能够跨 JVM 访问。
         * 但请 注意，这是不可取的，如果你在单个的 JVM 只中会有不只一个启用 Shiro 的应用程序。对于这个简单的例子 而言，这是没有问题的，但更为复杂的应用程序环境通常将 SecurityManager
         * 置于应用程序特定的存储中（如 在 Web 应用中的 ServletContext 或 Spring，Guice 后 JBoss DI 容器实例）。
         */
        SecurityUtils.setSecurityManager(securityManager);

        System.exit(0);

    }
    }

Apache Shiro简单的权限管理框架，无论是在github还是码云上，看过不少项目，基本都采取了shiro作为权限控制，spring securty，这个玩意，spring本身集成，不过它并没有shiro好理解，当然掌握好shiro对于理解spring security是非常有帮助的。