shiro实战系列(十)之Subject

毫无疑问，在 Apache Shiro 中最重要的概念就是 Subject。'Subject'仅仅是一个安全术语，是指应用程序用户的特定 安全的“视图”。一个 Shiro Subject 实例代表了一个单一应用程序用户的安全状态和操作。

这些操作包括：

authentication(login)

authorization(access control)

session access

logout

我们原本希望把它称为"User"由于这样“很有意义”，但是我们决定不这样做：太多的应用程序现有的 API 已经有 自己的 User classes/frameworks，我们不希望和这些起冲突。此外，在安全领域，"Subject"这一词实际上是公认的术 语。

Shiro 的 API 为应用程序提供 Subject 为中心的编程范式支持。当编码应用程序逻辑时，大多数应用程序开发人员想 知道谁才是当前正在执行的用户。虽然应用程序通常能够通过它们自己的机制（UserService 等）来查找任何用户， 但涉及到安全性时，最重要的问题是“谁才是当前的用户？”。

虽然通过使用SecurityManager可以捕获任何Subject，但只有基于当前用户/Subject的应用程序代码更自然，更直观。

The Currently Executing Subject(当前执行的 Subject)

几乎在所有环境下，你能够获得当前执行的 Subject 通过使用 org.apache.shiro.SecurityUtils:

getSubject()方法调用一个独立的应用程序，该应用程序可以返回一个在应用程序特有位置上基于用户数据的 Subject， 在服务器环境中（如，Web 应用程序），它基于与当前线程或传入的请求相关的用户数据上获得 Subject。

当你获得了当前的 Subject 后，你能够拿它做些什么？

如果你想在他们当前的 session 中使事情对用户变得可用，你可得的他们的 session:

Session 是一个 Shiro 的具体实例，它提供了大多数你经常要和 HttpSessions 用到的东西，但有一些额外的好处和一 个很大的区别：它不需要一个 HTTP 环境！   如果在 Web 应用程序内部部署，默认的 Session 将会是基于 HttpSession 的。但是，在一个非 Web 环境中，像这个 简单的 Quickstart，Shiro 将会默认自动地使用它的 Enterprise Session Management。这意味着你可以在你的应用程序 中使用相同的 API，在任何层，无论部署环境。这打开了应用程序的全新世界，由于任何需要 session 的应用程序不 再被强迫使用 HttpSession 或 EJB Stateful Session Beans。而且，任何客户端技术现在能够共享会话数据。   所以，你现在可以获取一个 Subject 以及他们的 Session。对于真正有用的东西像检查会怎么样呢，如果他们被允许 做某些事——如对角色和权限的检查？   嗯，我只能对已知的用户做这些检查。我们的 Subject 实例代表了当前的用户，但谁又是实际上的当前用户呢？呃， 他们都是匿名的——也就是说，直到他们至少登录一次。那么，让我们像下面这样做：

那就是了！它再简单不过了。   但如果他们的登录尝试失败了会怎么样？你可以捕获各种各样的具体的异常来告诉你到底发生了什么：

你，作为应用程序/GUI 开发人员，可以基于异常选择是否显示消息给终端用户（例如，“在系统中没有与该用户名 对应的帐户。”）。有许多不同种类的异常供你检查，或者你可以抛出你自己自定义的异常，这些异常可能是 Shiro 还未提供的。有关详情，请查看 AuthenticationException 的 JavaDoc。   好了，现在，我们有了一个登录的用户，我们还有什么可以做的呢？   比方说，他们是谁：

最后，当用户完成了对应用程序的使用时，他们可以注销：

这个简单的 API 包含了 90%的 Shiro 终端用户在使用 Shiro 时将会处理的东西。

Custom Subject Instances(自定义 Subject 实例) Shiro 1.0 中添加了一个新特性，能够在特殊情况下构造自定义/临时的 subject 实例。

Special Use Only!  你应该总是通过调用 SubjectUtils.getSubject()来获得当前正在执行的 Subject；  创建自定义的 Subject 实例只应在特殊情况下进行。

当一些“特殊情况”是，这是可以很有用的： 系统启动/引导——当没有用户月系统交互时，代码应该作为一个'system'或 daemon 用户来执行。创建 Subject 实例来代表一个特定的用户是值得的，这样引导代码能够以该用户（如 admin）来执行。 鼓励这种做法是由于它能保证 utility/system 代码作为一个普通用户以同样的方式执行，以确保代码是一致的。 这使得代码更易于维护，因为你不必担心 system/daemon 方案的自定义代码块。 集成测试——你可能想创建Subject实例，在必要时可以在集成测试中使用。请参阅测试文档获取更多的内容。 Daemon/background 进程的工作——当一个 daemon 或 background 进程执行时，它可能需要作为一个特定的 用户来执行。

好了，假设你仍然需要创建自定义的 Subject 实例的情况下，让我们看看如何来做：

Subject.Builder

Subject.Builder 被制定得非常容易创建 Subject 实例，而无需知道构造细节。   Builder 最简单的用法是构造一个匿名的，session-less 的实例。

上面所展示的默认的 Subject.Builder 无参构造函数将通过 SecurityUtils.getSubject()方法使用应用程序当前可访问的 SecurityManager。你也可以指定被额外的构造函数使用的 SecurityManager 实例，如果你需要的话：

所有其他的 Subject.Builder 方法可以在 buildSubject()方法之前被调用，它们来提供关于如何构造 Subject 实例的上下 文。例如，假如你拥有一个 session ID ，想取得“拥有”该 session 的 Subject（假设该 session 存在且未过期）：

同样地，如你想创建一个 Subject 实例来反映一个确定的身份：

然后，你可以使用构造的 Subject 实例，如预期一样对它进行调用。但请注意：   构造的 Subject 实例不会由于应用程序（线程）的进一步使用而自动地绑定到应用程序（线程）。如果你想让它对 于任何代码都能够方便地调用 SecurityUtils.getSubject()，你必须确保创建好的 Subject 有一个线程与之关联。

Thread Association(线程关联) 如上所述，只是构建一个 Subject 实例，并不与一个线程相关联——一个普通的必要条件是在线程执行期间任何对 SecurityUtils.getSubject()的调用是否能正常工作。确保一个线程与一个 Subject 关联有三种途径：

(1) Automatic Association(自动关联)—— 通过 Sujbect.execute*方法执行一个 Callable 或 Runnable 方法会自动地绑 定和解除绑定到线程的 Subject，在 Callable/Runnable 异常的前后。

(2) Manual Association(手动关联)——你可以在当前执行的线程中手动地对 Subject 实例进行绑定和解除绑定。这 通常对框架开发人员非常有用。

(3) Different Thread(不同的线程)——通过调用 Subject.associateWith*方法将 Callable 或 Runnable 方法关联到 Subject，然后返回的 Callable/Runnable 方法在另一个线程中被执行。如果你需要为 Subject 在另一个线程上执 行工作的话，这是首选的方法。

了解线程关联最重要的是，两件事情必须始终发生：

1. Subject 绑定到线程，所以它在线程的所有执行点都是可用的。Shiro 做到这点通过它的 ThreadState 机制，该 机制是在 ThreadLocal 上的一个抽象。

2. Subject 将在某点解除绑定，即使线程的执行结果是错误的。这将确保线程保持干净，并在 pooled/reusable 线 程环境中清除任何之前的 Subject 状态。   这些原则保证在上述三个机制中发生。接下来阐述它们的用法。

Automatic Association(自动关联)

如果你只需要一个 Subject 暂时与当前的线程相关联，同时你希望线程绑定和清理自动发生，Subject 的 Callable 或 Runnable 的直接执行正是你所需要的。在 Subject.execute 调用返回后，当前线程被保证当前状态与执行前的状态是 一样的。这个机制是这三个中使用最广泛的。

例如，让我们假定你有一些逻辑在系统启动时需要执行。你希望作为一个特定用户执行代码块，但一旦逻辑完成后， 你想确保线程/环境自动地恢复到正常。你可以通过调用 Subject.execute*方法来做到：

这种方法在框架开发中也是很有用的。例如，Shiro 对 secure Spring remoting 的支持确保了远程调用能够作为一个特 定的 Subject 来执行：

Manual Association(手动关联)

虽然 Subject.execute*方法能够在它们返回后自动地清理线程的状态，但有可能在一些情况下，你想自己管理 ThreadState。当结合 w/Shiro 时，这几乎总是在框架开发层次使用，但它很少在 bootstrap/daemon 情景下使用（上 面 Subject.execute(callable)例子使用得更为频繁）。

最好的做法是在 try/finally 块保证清理：

有趣的是，这正是 Subject.execute*方法实际上所做的——它们只是在 Callable 或 Runnable 执行前后自动地执行这个 逻辑。Shiro 的 ShiroFilter 为 Web 应用程序执行几乎相同的逻辑（ShiroFilter 使用 Web 特定的 ThreadState 的实现， 超出了本节的范围）。

A Different Thread

如果你有一个 Callable 或 Runnable 实例要以 Subject 来执行，你将自己执行 Callable 或 Runnable（或这将它移交给 线程池或执行者或 ExcutorService），你应该使用 Subject.associateWith*方法。这些方法确保在最终执行的线程中保 留 Subject，且该 Subject 是可访问的。