Apache Shiro在web开发安全框架中的应用

vivion27

　　前阶段就hadoop的分享了一些内容，希望对新手入门的朋友有点帮助吧！对于hadoop新手入门的，还是比较推荐大快搜索的DKHadoop发行版，三节点标准版还是值得拥有的（三节点的标准版是可以免费下载的，与付费版的目前功能一样，只是节点数量不同，对于新手而言三节点的够用了）。正在学习hadoop可以下载一下研究学习之用，也可以留言向我索要！

　　今天准备分享一下Apache Shiro 在web开发中的应用。shiro安全框架是目前为止作为登录注册最常用的框架，因为它十分的强大简单，提供了认证、授权、加密和会话管理等功能 。
　　shiro能做什么？
　　认证：验证用户的身份
　　授权：对用户执行访问控制：判断用户是否被允许做某事
　　会话管理：在任何环境下使用 Session API，即使没有 Web 或EJB 容器。
　　加密：以更简洁易用的方式使用加密功能，保护或隐藏数据防止被偷窥
　　Realms：聚集一个或多个用户安全数据的数据源
　　单点登录（SSO）功能。
　　为没有关联到登录的用户启用 "Remember Me“ 服务
　　Shiro 的四大核心部分
　　Authentication(身份验证)：简称为“登录”，即证明用户是谁。
　　Authorization(授权)：访问控制的过程，即决定是否有权限去访问受保护的资源。
　　Session Management(会话管理)：管理用户特定的会话，即使在非 Web 或 EJB 应用程序。
　　Cryptography(加密)：通过使用加密算法保持数据安全
　　shiro的三个核心组件：　　　　　
　　Subject ：正与系统进行交互的人，或某一个第三方服务。所有 Subject 实例都被绑定到（且这是必须的）一个SecurityManager 上。
　　SecurityManager：Shiro 架构的心脏，用来协调内部各安全组件，管理内部组件实例，并通过它来提供安全管理的各种服务。当 Shiro 与一个 Subject 进行交互时，实质上是幕后的 SecurityManager 处理所有繁重的 Subject 安全操作。
　　Realms ：本质上是一个特定安全的 DAO。当配置 Shiro 时，必须指定至少一个 Realm 用来进行身份验证和/或授权。Shiro 提供了多种可用的 Realms 来获取安全相关的数据。如关系数据库(JDBC)，INI 及属性文件等。可以定义自己 Realm 实现来代表自定义的数据源。
　　shiro整合SSM框架：
　　1.加入 jar 包

　　2.配置 web.xml 文件
　　在web.xml中加入以下代码—shiro过滤器。
　　
　　shiroFilter
　　
　　org.springframework.web.filter.DelegatingFilterProxy
　　
　　
　　targetFilterLifecycle
　　true
　　
　　
　　
　　shiroFilter
　　/*
　　
　　3.在 Spring 的配置文件中配置 Shiro
　　Springmvc配置文件中：

　　Spring配置文件中导入shiro配置文件：
　　
　　新建applicationContext-shiro.xml

　　到这一步，配置文件都基本准备好了，接下来要写Realm方法了，新建shiro包，在包下新建MyRealm.java文件继承AuthorizingRealm

　　以上配置已经完成，接下来通过action进行验证
　　//登录认证
　　@RequestMapping("/shiro-login")
　　public String login(@RequestParam("username") String username,
　　@RequestParam("password") String password){
　　Subject subject = SecurityUtils.getSubject();
　　UsernamePasswordToken token = new UsernamePasswordToken(username, password);
　　try {
　　//执行认证操作.
　　subject.login(token);
　　}catch (AuthenticationException ae) {
　　System.out.println("登陆失败: " + ae.getMessage());
　　return "/index";
　　}
　　return "/shiro-success";
　　}
　　//提示：记得在注册中密码存入数据库前也记得加密哦，提供一个utils方法
　　//进行shiro加密，返回加密后的结果
　　public static String md5(String pass){
　　String saltSource = "blog";
　　String hashAlgorithmName = "MD5";
　　Object salt = new Md5Hash(saltSource);
　　int hashIterations = 1024;
　　Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);
　　String password = result.toString();
　　return password;
　　}
　　shiro登录验证到这里完了，shiro主要是进行登陆认证，权限以及菜单模块的设置。