Apache Shiro入门.doc

Apache Shiro入门 Apache Shiro基本概念 使用Shiro能做什么 验证用户（认证）。 对用户执行访问控制，像是： 判断用户是否具有某一角色。 判断用户是否具有做某事的权限。 在任何环境下都能使用Session API，即使没有诸如Spring，EJB这样的容器。 在授权，访问控制或者会话生命周期中，都能响应事件。 可以使用多个数据源。 支持单点登录（SSO）功能。 支持”Remember Me”服务。 Shiro的特性 从上图可以看出，shiro有4个主要特性，分别是认证（Authentication）、授权（Authorization）、会话管理（Session Management）和密码（Cryptography）服务。 以及6个附加（支持）特性，分别是Web支持（Web Support）、缓存（Caching）、并发（Concurrency）、测试（Testing）支持、以…运行（Run As）、记住我（Remember Me）。 参照开涛的解释，如下： Authentication：身份认证/登录，验证用户是不是拥有相应的身份； Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限； Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的； Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储； Web Support：Web支持，可以非常容易的集成到Web环境； Caching：缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率； Concurrency：shiro支持多线程应用的并发验证，即如在一个线程中开启另一个线程，能把权限自动传播过去； Testing：提供测试支持； Run As：允许一个用户假装为另一个用户（如果他们允许）的身份进行访问； Remember Me：记住我，这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。 Shiro框架的调用流程 Shiro框架有三个核心组件，分别是：Subject, SecurityManager 和 Realms. Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途，你可以把它认为是Shiro的“用户”概念。 Subject代表了当前用户的安全操作，SecurityManager则管理所有用户的安全操作。 　　 SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。 Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。 从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。 Shiro内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求，你还可以插入代表自定义数据源的自己的Realm实现。 Shiro框架 快速入门案例 引入Maven依赖 !-- 引入shiro框架的依赖 -- dependency groupIdorg.apache.shiro/groupId artifactIdshiro-all/artifactId version1.2.2/version /dependency 在web.xml中配置spring框架提供的过滤器，用于整合shiro框架 !-- 配置Spring整合shiro框架的过滤器，过滤器必须配置在Struts2核心过滤器上面 -- filter filter-nameshiroFilter/filter-name filter-classorg.springframework.web.filter.Del