在本教程中,我们会写一个简单的、仅仅输出一些内容命令行程序,从而对Shiro有一个大体的感觉。
一、准备工作
本教程需要Java1.5+,并且我们用Maven生成项目,当然Maven不是必须的,你也可以通过导入Shiro jar包的方式、或使用Ant、Ivy,喜欢哪种就用哪种。
开始之前,确定你的Maven版本为2.2.1+(如果你用的是Maven的话),用mvn --version确定Maven的版本。
现在,我们将正式开始。首先新建一个文件夹,比如说shiro-tutorial,然后将下面的Maven pom.xml文件放到该文件夹下。
pom.xml
1 <?xml version="1.0" encoding="UTF-8"?>
2 <project xmlns="http://maven.apache.org/POM/4.0.0"
3 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
4 xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
5
6 <modelVersion>4.0.0</modelVersion>
7 <groupId>org.apache.shiro.tutorials</groupId>
8 <artifactId>shiro-tutorial</artifactId>
9 <version>1.0.0-SNAPSHOT</version>
10 <name>First Apache Shiro Application</name>
11 <packaging>jar</packaging>
12
13 <properties>
14 <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
15 </properties>
16
17 <build>
18 <plugins>
19 <plugin>
20 <groupId>org.apache.maven.plugins</groupId>
21 <artifactId>maven-compiler-plugin</artifactId>
22 <version>2.0.2</version>
23 <configuration>
24 <source>1.5</source>
25 <target>1.5</target>
26 <encoding>${project.build.sourceEncoding}</encoding>
27 </configuration>
28 </plugin>
29
30 <!-- This plugin is only to test run our little application. It is not
31 needed in most Shiro-enabled applications: -->
32 <plugin>
33 <groupId>org.codehaus.mojo</groupId>
34 <artifactId>exec-maven-plugin</artifactId>
35 <version>1.1</version>
36 <executions>
37 <execution>
38 <goals>
39 <goal>java</goal>
40 </goals>
41 </execution>
42 </executions>
43 <configuration>
44 <classpathScope>test</classpathScope>
45 <mainClass>Tutorial</mainClass>
46 </configuration>
47 </plugin>
48 </plugins>
49 </build>
50
51 <dependencies>
52 <dependency>
53 <groupId>org.apache.shiro</groupId>
54 <artifactId>shiro-core</artifactId>
55 <version>1.1.0</version>
56 </dependency>
57 <!-- Shiro uses SLF4J for logging. We'll use the 'simple' binding
58 in this example app. See http://www.slf4j.org for more info. -->
59 <dependency>
60 <groupId>org.slf4j</groupId>
61 <artifactId>slf4j-simple</artifactId>
62 <version>1.6.1</version>
63 <scope>test</scope>
64 </dependency>
65 </dependencies>
66
67 </project>
二、The Tutorial class
由于我们的目的是创建一个命令行程序,因此我们需要先新建一个具有public static void main(String[] args)的Java类。
在和pom.xml所处的同一目录下,创建src/main/java子文件夹。在src/main/java文件夹下创建Tutorial.java文件,文件内容如下:
src/main/java/Tutorial.java
1 import org.apache.shiro.SecurityUtils;
2 import org.apache.shiro.authc.*;
3 import org.apache.shiro.config.IniSecurityManagerFactory;
4 import org.apache.shiro.mgt.SecurityManager;
5 import org.apache.shiro.session.Session;
6 import org.apache.shiro.subject.Subject;
7 import org.apache.shiro.util.Factory;
8 import org.slf4j.Logger;
9 import org.slf4j.LoggerFactory;
10
11 public class Tutorial {
12
13 private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);
14
15 public static void main(String[] args) {
16 log.info("My First Apache Shiro Application");
17 System.exit(0);
18 }
19 }
在往下进行之前,先测试一下是否可以运行。
三、测试运行
首先进入项目根目录(本教程为shiro-tutorial目录,即pom.xml所在的目录),打开控制台,输入命令:
mvn compile exec:java
然后你就会看到这个小程序运行起来,并且有如下类似的输出:
Run the Application lhazlewood:~/projects/shiro-tutorial$ mvn compile exec:java ... a bunch of Maven output ... 1 [Tutorial.main()] INFO Tutorial - My First Apache Shiro Application lhazlewood:~/projects/shiro-tutorial\$
现在我们已经验证了程序可以运行,接下来让我们使用Shiro。每次改变程序后,都可以运行mvn compile exec:java运行程序。
四、使用Shiro
在Shiro中有一个非常重要的组件--SecurityManager,Shiro的所有功能几乎都与这个组件相关。这样Java security类似,但是和java.lang.SecurityManager是不一样的。
我们会在后续教程中对SecurityManager做详细介绍。但是现在我们就要明确一点:SecurityManager是Shrio的核心组件,并且任何一个应用都要有一个SecurityManager才可以使用Shiro的其他功能。所有,在本教程中必须要做的事就是实例化一个SecurityManager。
五、配置
即使我们可以直接实例化一个SecurityManager,然而SecurityManager还是有比较多的配置和内部组件的,直接用java代码配置这些内容比较麻烦。通过配置文件进行配置会比较简单。
Shiro提供了一个默认的‘common denominator’,这是一个简单的文本配置文件(INI格式)。与XML格式相比,INI格式更加易读、易用并且几乎不需要任何依赖。INI格式可以轻松的配置SecurityManager。
事实上,由于Shiro完全兼容了JavaBeans,所以Shiro可以用XML、YAML、JSON、Groovy等很多格式进行配置。
下面我们用INI文件配置本教程的SecurityManager。首先,在pom.xml所在文件夹下创建src/main/resources文件夹,然后在src/main/resources文件夹下新建一个名为shiro.ini的文件,该文件内容如下:
src/main/resources/shiro.ini
1 # ============================================================================= 2 # Tutorial INI configuration 3 # 4 # Usernames/passwords are based on the classic Mel Brooks' film "Spaceballs" :) 5 # ============================================================================= 6 7 # ----------------------------------------------------------------------------- 8 # Users and their (optional) assigned roles 9 # username = password, role1, role2, ..., roleN 10 # ----------------------------------------------------------------------------- 11 [users] 12 root = secret, admin 13 guest = guest, guest 14 presidentskroob = 12345, president 15 darkhelmet = ludicrousspeed, darklord, schwartz 16 lonestarr = vespa, goodguy, schwartz 17 18 # ----------------------------------------------------------------------------- 19 # Roles with assigned permissions 20 # roleName = perm1, perm2, ..., permN 21 # ----------------------------------------------------------------------------- 22 [roles] 23 admin = * 24 schwartz = lightsaber:* 25 goodguy = winnebago:drive:eagle5
如你所见,这个文件设置了一些基本的用户帐户,这对本教程已经足够了。在后续章节中,你将会学习如何使用更加复杂的用户数据源,如数据库、LDAP、ActiveDirectory等。
六、引用配置文件
现在我们已经有了一个INI文件,这样我们就可以创建一个SecurityManager对象了。将Tutorial.java文件中的main函数做如下改变:
public static void main(String[] args) {
log.info("My First Apache Shiro Application");
//1.
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//2.
SecurityManager securityManager = factory.getInstance();
//3.
SecurityUtils.setSecurityManager(securityManager);
System.exit(0);
}
现在,我们只用了三行代码就将Shiro引入到我们的项目中了。可以用mvn compile exec:java检测一下程序是否可以运行。
在上述代码中,我们做了三件事:
- 我们使用了Shiro的IniSecurityManagerFactory类读取shiro.ini文件。从这个类名我们可以看出Shiro使用率设计模式中的工厂模式。代码中的classpath前缀告诉shiro去哪里加载ini文件(支持的前缀还有url:,file:)
- factory.getInstance()函数解析ini文件并返回一个Securitymanager对象,该对象含有配置信息。
- 在本例中,我们将SecurityManager设置为一个静态的,实现了单例模式,可以通过java虚拟机获得。然而如果要在多个应用中使用shiro,这样做就不行了。从而在比较复杂的大型应用中,我们通常将SecurityManager放在一块应用内存中,如web应用中的ServletContec或Spring、Guice或JBoss DI容器。
七、使用Shiro
现在SecurityManager已经设置好了,我们终于可以做一些真正地与安全相关的操作了、
当我们考虑应用的安全性时,通常会遇到的问题是“当前用户是谁?”,“当前用户可以做什么?”所以,应用的安全性工作主要建立在当前用户之上。在shiro API中用Subject这个含义更广的概念代替当前用户这个概念。
几乎在任何环境中,你都可以通过下述代码获得当前正在执行程序的用户。
Subject currentUser = SecurityUtils.getSubject();
使用SecurityUtils.getSubject方法,我们可以获得当前正在执行程序的Subject。我们并不称之为前正在执行程序的用户,因为用户通常是指人,而Subject可以指人、进程、计划任务、守护进程等。准确的说,Subject指的是“当前和软件交互的事物”。在多数场景中,你可以将Subject粗暴地认为是用户。
在一个独立的程序中,getSubject()函数基于应用内存中的用户数据返回一个Subject,在一个服务器环境中(如web应用),Subject通常是基于与当前进程有关的用户数据或是来到的请求。
既然我们已经有了Subject,我们可以拿它来做什么?
你可以获取当前Session并存储一些东西。
Session session = currentUser.getSession(); session.setAttribute( "someKey", "aValue" );
这里的Session是基于Shiro的,它的功能与HttpSession类似,但是有一个巨大的不同:它不需要HTTP环境!
如果在web应用中部署shiro,则Session默认就是基于HttpSession的。但是在非web应用中,比如本教程,Shiro会自动用它的Enterprise Session Managerment。这样你就可以使用一样的API而不用管部署环境是什么了。
现在我们已经获得了Subject和它的Session,那么怎么用这些东西去检测Subject是否具有某权限、某许可呢?
我们只能对当前用户检测这些东西。我们的Subject对象就是当前用户,但是Subject是谁?不知道,它是匿名的,除非它至少登录过一次,否则我们无从得知Subject是谁。所以,我们让Subject登录:
1 if ( !currentUser.isAuthenticated() ) {
2 //collect user principals and credentials in a gui specific manner
3 //such as username/password html form, X509 certificate, OpenID, etc.
4 //We'll use the username/password example here since it is the most common.
5 UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
6
7 //this is all you have to do to support 'remember me' (no config - built in!):
8 token.setRememberMe(true);
9
10 currentUser.login(token);
11 }
现在,Subject已经登录了。
如果登录失败,我们可以捕获异常并且做相应处理。
1 try {
2 currentUser.login( token );
3 //if no exception, that's it, we're done!
4 } catch ( UnknownAccountException uae ) {
5 //username wasn't in the system, show them an error message?
6 } catch ( IncorrectCredentialsException ice ) {
7 //password didn't match, try again?
8 } catch ( LockedAccountException lae ) {
9 //account for that username is locked - can't login. Show them a message?
10 }
11 ... more types exceptions to check if you want ...
12 } catch ( AuthenticationException ae ) {
13 //unexpected condition - error?
14 }
这里有很多不同类型的异常,你也可以自定义自己的异常。
到这一步,我们已经有了一个登录过的用户,我们可以来做些什么呢?
我们来看看它是谁:
//print their identifying principal (in this case, a username): log.info( "User [" + currentUser.getPrincipal() + "] logged in successfully." );
我们也可以检测一下它有没有某些角色:
if ( currentUser.hasRole( "schwartz" ) ) {
log.info("May the Schwartz be with you!" );
} else {
log.info( "Hello, mere mortal." );
}
我们也可以检测它是否被允许访问某些实体。
if ( currentUser.isPermitted( "lightsaber:weild" ) ) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
我们也可以进行一些insstance-level(实例级别)的许可检测。即检测用户是否被允许访问某些实例。
if ( currentUser.isPermitted( "winnebago:drive:eagle5" ) ) {
log.info("You are permitted to 'drive' the 'winnebago' with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
最后,用户可以登出系统。
currentUser.logout(); //removes all identifying information and invalidates their session too.
八、Tutorial Class文件的最终内容
Final src/main/java/Tutorial.java
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class Tutorial {
private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);
public static void main(String[] args) {
log.info("My First Apache Shiro Application");
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
// get the currently executing user:
Subject currentUser = SecurityUtils.getSubject();
// Do some stuff with a Session (no need for a web or EJB container!!!)
Session session = currentUser.getSession();
session.setAttribute("someKey", "aValue");
String value = (String) session.getAttribute("someKey");
if (value.equals("aValue")) {
log.info("Retrieved the correct value! [" + value + "]");
}
// let's login the current user so we can check against roles and permissions:
if (!currentUser.isAuthenticated()) {
UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
token.setRememberMe(true);
try {
currentUser.login(token);
} catch (UnknownAccountException uae) {
log.info("There is no user with username of " + token.getPrincipal());
} catch (IncorrectCredentialsException ice) {
log.info("Password for account " + token.getPrincipal() + " was incorrect!");
} catch (LockedAccountException lae) {
log.info("The account for username " + token.getPrincipal() + " is locked. " +
"Please contact your administrator to unlock it.");
}
// ... catch more exceptions here (maybe custom ones specific to your application?
catch (AuthenticationException ae) {
//unexpected condition? error?
}
}
//say who they are:
//print their identifying principal (in this case, a username):
log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");
//test a role:
if (currentUser.hasRole("schwartz")) {
log.info("May the Schwartz be with you!");
} else {
log.info("Hello, mere mortal.");
}
//test a typed permission (not instance-level)
if (currentUser.isPermitted("lightsaber:weild")) {
log.info("You may use a lightsaber ring. Use it wisely.");
} else {
log.info("Sorry, lightsaber rings are for schwartz masters only.");
}
//a (very powerful) Instance Level permission:
if (currentUser.isPermitted("winnebago:drive:eagle5")) {
log.info("You are permitted to 'drive' the winnebago with license plate (id) 'eagle5'. " +
"Here are the keys - have fun!");
} else {
log.info("Sorry, you aren't allowed to drive the 'eagle5' winnebago!");
}
//all done - log out!
currentUser.logout();
System.exit(0);
}
}
九、总结
希望通过本教程,你可以知道如何设置shiro,并且了解Subject和SecurityManager这两个基本概念。
但是这只是一个非常非常简单的应用。你可能会问“如果我不想要INI而想用更加复杂的数据源该怎么做?”
为了解答这个问题,我们需要更加深入地了解一下shiro的结构,我门将在后面的章节中学习。
来源:https://www.cnblogs.com/hf-z/p/6020896.html