简介: Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。在本文中,了解 Apache Shiro 并通过示例来在一个 Groovy web 应用程序中尝试使用 Shiro 进行身份验证和授权。
Apache Shiro 是一个框架,可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™ 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益,您应该习惯于创建 Java 应用程序并安装了如下的几个组件:
- Java 1.6 JDK
- Grails(用来运行这些 web 应用程序示例)
身份验证和授权
在对系统进行安全保障时,有两个安全性元素非常重要:身份验证和授权。虽然这两个术语代表的是不同的含义,但出于它们在应用程序安全性方面各自的角色考虑,它们有时会被交换使用。
身份验证 指的是验证用户的身份。在验证用户身份时,需要确认用户的身份的确如他们所声称的那样。在大多数应用程序中,身份验证是通过用户名和密码的组合完成的。只 要用户选择了他人很难猜到的密码,那么用户名和密码的组合通常就足以确立身份。但是,还有其他的身份验证方式可用,比如指纹、证书和生成键。
一旦身份验证过程成功地建立起身份,授权 就会接管以便进行访问的限制或允许。 所以,有这样的可能性:用户虽然通过了身份验证可以登录到一个系统,但是未经过授权,不准做任何事情。还有一种可能是用户虽然具有了某种程度的授权,却并未经过身份验证。
在为应用程序规划安全性模型时,必须处理好这两个元素以确保系统具有足够的安全性。身份验证是应用程序常见的问题(特别是在只有用户和密码组 合的情况下),所以让框架来处理这项工作是一个很好的做法。合理的框架可提供经过测试和维护的优势,让您可以集中精力处理业务问题,而不是解决其解决方案 已经实现的问题。
Apache Shiro 提供了一个可用的安全性框架,各种客户机都可将这个框架应用于它们的应用程序。本文中的这些例子旨在介绍 Shiro 并着重展示对用户进行身份验证的基本任务。
了解 Shiro
Shiro 是一个用 Java 语言实现的框架,通过一个简单易用的 API 提供身份验证和授权。使用 Shiro,您就能够为您的应用程序提供安全性而又无需从头编写所有代码。
由于 Shiro 提供具有诸多不同数据源的身份验证,以及 Enterprise Session Management,所以是实现单点登录(SSO)的理想之选 — 大型企业内的一个理想特性,因为在大型企业内,用户需要在一天内经常登录到并使用不同系统。这些数据源包括 JDBC、LDAP、 Kerberos 和 Microsoft® Active Directory® Directory Services (AD DS)。
Shiro 的 Session 对象允许无需 HttpSession 即可使用一个用户会话。通过使用一个通用的 Session对象,即便该代码没有在一个 Web 应用程序中运行,仍可以使用相同的代码。没有对应用服务器或 Web 应用服务器会话管理的依赖,您甚至可以在命令行环境中使用 Shiro。换言之,使用 Shiro 的 API 编写的代码让您可以构建连接到 LDAP 服务器的命令行应用程序并且与 web 应用程序内用来访问 LDAP 服务器的代码相同。
下载并安装 Shiro
Shiro 是预构建的二进制发行版。您可以下载 Shiro JAR 文件或将各项放入到 Apache Maven 或 Apache Ivy 来自动安装这些文件。本例使用 Ivy 下载 Shiro JAR 文件以及其他所需要的库,脚本很简单,如 清单 1 所示。
清单 1. Apache Ivy 文件和 Apache Ant 脚本
01 |
<?xml version="1.0" encoding="UTF-8"?>
|
02 |
<ivy-module version="2.0"
|
03 |
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
|
04 |
xsi:noNamespaceSchemaLocation="http://ant.apache.org/ivy/schemas/ivy.xsd">
|
05 |
<info organisation="com.nathanagood.examples" module="shirotest"/>
|
07 |
<conf name="dist" description="Dependency configuration for distribution." />
|
10 |
<dependency org="commons-logging" name="commons-logging"
|
11 |
rev="1.1.1" conf="dist->default" />
|
12 |
<dependency org="org.slf4j" name="slf4j-log4j12" rev="1.5.8"
|
13 |
conf="dist->default" />
|
14 |
<dependency org="org.apache.shiro" name="shiro-core"rev="1.0.0-incubating"
|
15 |
conf="dist->default" />
|
16 |
<dependency org="org.apache.shiro" name="shiro-web"rev="1.0.0-incubating"
|
17 |
conf="dist->default" />
|
21 |
<project name="shiroTestApp" default="usage" basedir="."
|
22 |
xmlns:ivy="antlib:org.apache.ivy.ant">
|
23 |
<property name="project.lib" value="lib" />
|
24 |
<path id="ivy.task.path">
|
25 |
<fileset dir="${basedir}/ivy-lib">
|
26 |
<include name="**/*.jar" />
|
30 |
<target name="resolve">
|
31 |
<taskdef resource="org/apache/ivy/ant/antlib.xml"
|
32 |
uri="antlib:org.apache.ivy.ant"classpathref="ivy.task.path" />
|
34 |
<ivy:retrieve pattern="${project.lib}/[conf]/[artifact].[ext]"sync="true" />
|
38 |
<echo message="Use --projecthelp to learn more about this project" />
|