Apache Shiro在web開發安全框架中的應用

前階段就hadoop的分享了一些內容，但願對新手入門的朋友有點幫助吧！對於hadoop新手入門的，仍是比較推薦大快搜索的DKHadoop發行版，三節點標準版仍是值得擁有的（三節點的標準版是能夠免費下載的，與付費版的目前功能同樣，只是節點數量不一樣，對於新手而言三節點的夠用了）。正在學習hadoop能夠下載一下研究學習之用，也能夠留言向我索要！

今天準備分享一下Apache Shiro 在web開發中的應用。shiro安全框架是目前爲止做爲登陸註冊最經常使用的框架，由於它十分的強大簡單，提供了認證、受權、加密和會話管理等功能 。

shiro能作什麼？

認證：驗證用戶的身份

受權：對用戶執行訪問控制：判斷用戶是否被容許作某事

會話管理：在任何環境下使用 Session API，即便沒有 Web 或EJB 容器。

加密：以更簡潔易用的方式使用加密功能，保護或隱藏數據防止被偷窺

Realms：彙集一個或多個用戶安全數據的數據源

單點登陸（SSO）功能。

爲沒有關聯到登陸的用戶啓用 "Remember Me「 服務

Shiro 的四大核心部分

Authentication(身份驗證)：簡稱爲「登陸」，即證實用戶是誰。

Authorization(受權)：訪問控制的過程，即決定是否有權限去訪問受保護的資源。

Session Management(會話管理)：管理用戶特定的會話，即便在非 Web 或 EJB 應用程序。

Cryptography(加密)：經過使用加密算法保持數據安全

shiro的三個核心組件：

Subject ：正與系統進行交互的人，或某一個第三方服務。全部 Subject 實例都被綁定到（且這是必須的）一個SecurityManager 上。

SecurityManager：Shiro 架構的心臟，用來協調內部各安全組件，管理內部組件實例，並經過它來提供安全管理的各類服務。當 Shiro 與一個 Subject 進行交互時，實質上是幕後的 SecurityManager 處理全部繁重的 Subject 安全操做。

Realms ：本質上是一個特定安全的 DAO。當配置 Shiro 時，必須指定至少一個 Realm 用來進行身份驗證和/或受權。Shiro 提供了多種可用的 Realms 來獲取安全相關的數據。如關係數據庫(JDBC)，INI 及屬性文件等。能夠定義本身 Realm 實現來表明自定義的數據源。

shiro整合SSM框架：

1.加入 jar 包

2.配置 web.xml 文件

在web.xml中加入如下代碼—shiro過濾器。

<filter>

<filter-name>shiroFilter</filter-name>

<filter-class>

org.springframework.web.filter.DelegatingFilterProxy

</filter-class>

    <init-param>

        <param-name>targetFilterLifecycle</param-name>

        <param-value>true</param-value>

     </init-param>

</filter>

<filter-mapping>

     <filter-name>shiroFilter</filter-name>

     <url-pattern>/*</url-pattern>

</filter-mapping>

 

 

3.在 Spring 的配置文件中配置 Shiro

Springmvc配置文件中：

Spring配置文件中導入shiro配置文件：

<!-- 包含shiro的配置文件 -->

          <import resource="classpath:applicationContext-shiro.xml"/>新建applicationContext-shiro.xml

 

 

到這一步，配置文件都基本準備好了，接下來要寫Realm方法了，新建shiro包，在包下新建MyRealm.java文件繼承AuthorizingRealm

 

以上配置已經完成，接下來經過action進行驗證

//登陸認證

    @RequestMapping("/shiro-login")

    public String login(@RequestParam("username") String username,

            @RequestParam("password") String password){

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);        

        try {

            //執行認證操做.

            subject.login(token);

        }catch (AuthenticationException ae) {

            System.out.println("登錄失敗: " + ae.getMessage());

            return "/index";

        }

        return "/shiro-success";

    }

//提示：記得在註冊中密碼存入數據庫前也記得加密哦，提供一個utils方法

//進行shiro加密，返回加密後的結果

public static String md5(String pass){

String saltSource = "blog";    

String hashAlgorithmName = "MD5";

Object salt = new Md5Hash(saltSource);

int hashIterations = 1024;    

Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);

String password = result.toString();

return password;

}

shiro登陸驗證到這裏完了，shiro主要是進行登錄認證，權限以及菜單模塊的設置。