shiro实战系列(十)之Subject

简介: 毫无疑问,在 Apache Shiro 中最重要的概念就是 Subject。'Subject'仅仅是一个安全术语,是指应用程序用户的特定 安全的“视图”。一个 Shiro Subject 实例代表了一个单一应用程序用户的安全状态和操作。

毫无疑问,在 Apache Shiro 中最重要的概念就是 Subject。'Subject'仅仅是一个安全术语,是指应用程序用户的特定 安全的“视图”。一个 Shiro Subject 实例代表了一个单一应用程序用户的安全状态和操作。  

这些操作包括:

authentication(login)

authorization(access control)

session access

logout  

我们原本希望把它称为"User"由于这样“很有意义”,但是我们决定不这样做:太多的应用程序现有的 API 已经有 自己的 User classes/frameworks,我们不希望和这些起冲突。此外,在安全领域,"Subject"这一词实际上是公认的术 语。 

 

 Shiro 的 API 为应用程序提供 Subject 为中心的编程范式支持。当编码应用程序逻辑时,大多数应用程序开发人员想 知道谁才是当前正在执行的用户。虽然应用程序通常能够通过它们自己的机制(UserService 等)来查找任何用户, 但涉及到安全性时,最重要的问题是“谁才是当前的用户?”。

 

虽然通过使用SecurityManager可以捕获任何Subject,但只有基于当前用户/Subject的应用程序代码更自然,更直观。

 

The Currently Executing Subject(当前执行的 Subject)

几乎在所有环境下,你能够获得当前执行的 Subject 通过使用 org.apache.shiro.SecurityUtils:  

 

getSubject()方法调用一个独立的应用程序,该应用程序可以返回一个在应用程序特有位置上基于用户数据的 Subject, 在服务器环境中(如,Web 应用程序),它基于与当前线程或传入的请求相关的用户数据上获得 Subject。  

当你获得了当前的 Subject 后,你能够拿它做些什么?  

如果你想在他们当前的 session 中使事情对用户变得可用,你可得的他们的 session:

Session 是一个 Shiro 的具体实例,它提供了大多数你经常要和 HttpSessions 用到的东西,但有一些额外的好处和一 个很大的区别:它不需要一个 HTTP 环境!   如果在 Web 应用程序内部部署,默认的 Session 将会是基于 HttpSession 的。但是,在一个非 Web 环境中,像这个 简单的 Quickstart,Shiro 将会默认自动地使用它的 Enterprise Session Management。这意味着你可以在你的应用程序 中使用相同的 API,在任何层,无论部署环境。这打开了应用程序的全新世界,由于任何需要 session 的应用程序不 再被强迫使用 HttpSession 或 EJB Stateful Session Beans。而且,任何客户端技术现在能够共享会话数据。   所以,你现在可以获取一个 Subject 以及他们的 Session。对于真正有用的东西像检查会怎么样呢,如果他们被允许 做某些事——如对角色和权限的检查?   嗯,我只能对已知的用户做这些检查。我们的 Subject 实例代表了当前的用户,但谁又是实际上的当前用户呢?呃, 他们都是匿名的——也就是说,直到他们至少登录一次。那么,让我们像下面这样做:

那就是了!它再简单不过了。   但如果他们的登录尝试失败了会怎么样?你可以捕获各种各样的具体的异常来告诉你到底发生了什么:

你,作为应用程序/GUI 开发人员,可以基于异常选择是否显示消息给终端用户(例如,“在系统中没有与该用户名 对应的帐户。”)。有许多不同种类的异常供你检查,或者你可以抛出你自己自定义的异常,这些异常可能是 Shiro 还未提供的。有关详情,请查看 AuthenticationException 的 JavaDoc。   好了,现在,我们有了一个登录的用户,我们还有什么可以做的呢?   比方说,他们是谁:

最后,当用户完成了对应用程序的使用时,他们可以注销:

 

这个简单的 API 包含了 90%的 Shiro 终端用户在使用 Shiro 时将会处理的东西。

 

Custom Subject Instances(自定义 Subject 实例) Shiro 1.0 中添加了一个新特性,能够在特殊情况下构造自定义/临时的 subject 实例。  

Special Use Only!  你应该总是通过调用 SubjectUtils.getSubject()来获得当前正在执行的 Subject;  创建自定义的 Subject 实例只应在特殊情况下进行。

  当一些“特殊情况”是,这是可以很有用的: 系统启动/引导——当没有用户月系统交互时,代码应该作为一个'system'或 daemon 用户来执行。创建 Subject 实例来代表一个特定的用户是值得的,这样引导代码能够以该用户(如 admin)来执行。 鼓励这种做法是由于它能保证 utility/system 代码作为一个普通用户以同样的方式执行,以确保代码是一致的。 这使得代码更易于维护,因为你不必担心 system/daemon 方案的自定义代码块。 集成测试——你可能想创建Subject实例,在必要时可以在集成测试中使用。请参阅测试文档获取更多的内容。 Daemon/background 进程的工作——当一个 daemon 或 background 进程执行时,它可能需要作为一个特定的 用户来执行。  

 

 

好了,假设你仍然需要创建自定义的 Subject 实例的情况下,让我们看看如何来做:

 

Subject.Builder

Subject.Builder 被制定得非常容易创建 Subject 实例,而无需知道构造细节。   Builder 最简单的用法是构造一个匿名的,session-less 的实例。

 

上面所展示的默认的 Subject.Builder 无参构造函数将通过 SecurityUtils.getSubject()方法使用应用程序当前可访问的 SecurityManager。你也可以指定被额外的构造函数使用的 SecurityManager 实例,如果你需要的话:

所有其他的 Subject.Builder 方法可以在 buildSubject()方法之前被调用,它们来提供关于如何构造 Subject 实例的上下 文。例如,假如你拥有一个 session ID ,想取得“拥有”该 session 的 Subject(假设该 session 存在且未过期):

同样地,如你想创建一个 Subject 实例来反映一个确定的身份:

然后,你可以使用构造的 Subject 实例,如预期一样对它进行调用。但请注意:   构造的 Subject 实例不会由于应用程序(线程)的进一步使用而自动地绑定到应用程序(线程)。如果你想让它对 于任何代码都能够方便地调用 SecurityUtils.getSubject(),你必须确保创建好的 Subject 有一个线程与之关联。

 

Thread Association(线程关联) 如上所述,只是构建一个 Subject 实例,并不与一个线程相关联——一个普通的必要条件是在线程执行期间任何对 SecurityUtils.getSubject()的调用是否能正常工作。确保一个线程与一个 Subject 关联有三种途径:

(1) Automatic Association(自动关联)—— 通过 Sujbect.execute*方法执行一个 Callable 或 Runnable 方法会自动地绑 定和解除绑定到线程的 Subject,在 Callable/Runnable 异常的前后。

(2) Manual Association(手动关联)——你可以在当前执行的线程中手动地对 Subject 实例进行绑定和解除绑定。这 通常对框架开发人员非常有用。

(3) Different Thread(不同的线程)——通过调用 Subject.associateWith*方法将 Callable 或 Runnable 方法关联到 Subject,然后返回的 Callable/Runnable 方法在另一个线程中被执行。如果你需要为 Subject 在另一个线程上执 行工作的话,这是首选的方法。

 

了解线程关联最重要的是,两件事情必须始终发生:

1. Subject 绑定到线程,所以它在线程的所有执行点都是可用的。Shiro 做到这点通过它的 ThreadState 机制,该 机制是在 ThreadLocal 上的一个抽象。

2. Subject 将在某点解除绑定,即使线程的执行结果是错误的。这将确保线程保持干净,并在 pooled/reusable 线 程环境中清除任何之前的 Subject 状态。   这些原则保证在上述三个机制中发生。接下来阐述它们的用法。  

 

Automatic Association(自动关联)

如果你只需要一个 Subject 暂时与当前的线程相关联,同时你希望线程绑定和清理自动发生,Subject 的 Callable 或 Runnable 的直接执行正是你所需要的。在 Subject.execute 调用返回后,当前线程被保证当前状态与执行前的状态是 一样的。这个机制是这三个中使用最广泛的。 

 例如,让我们假定你有一些逻辑在系统启动时需要执行。你希望作为一个特定用户执行代码块,但一旦逻辑完成后, 你想确保线程/环境自动地恢复到正常。你可以通过调用 Subject.execute*方法来做到:  

这种方法在框架开发中也是很有用的。例如,Shiro 对 secure Spring remoting 的支持确保了远程调用能够作为一个特 定的 Subject 来执行:  

Manual Association(手动关联)

虽然 Subject.execute*方法能够在它们返回后自动地清理线程的状态,但有可能在一些情况下,你想自己管理 ThreadState。当结合 w/Shiro 时,这几乎总是在框架开发层次使用,但它很少在 bootstrap/daemon 情景下使用(上 面 Subject.execute(callable)例子使用得更为频繁)。  

 

最好的做法是在 try/finally 块保证清理:

有趣的是,这正是 Subject.execute*方法实际上所做的——它们只是在 Callable 或 Runnable 执行前后自动地执行这个 逻辑。Shiro 的 ShiroFilter 为 Web 应用程序执行几乎相同的逻辑(ShiroFilter 使用 Web 特定的 ThreadState 的实现, 超出了本节的范围)。

 

 

A Different Thread

如果你有一个 Callable 或 Runnable 实例要以 Subject 来执行,你将自己执行 Callable 或 Runnable(或这将它移交给 线程池或执行者或 ExcutorService),你应该使用 Subject.associateWith*方法。这些方法确保在最终执行的线程中保 留 Subject,且该 Subject 是可访问的。  

 

 

目录
相关文章
|
缓存 算法 安全
快速学会如何使用Shiro
快速学会如何使用Shiro
136 2
|
存储 算法 数据安全/隐私保护
【Shiro】第三章 Shiro入门(三)
【Shiro】第三章 Shiro入门(三)
85 1
|
安全 数据安全/隐私保护
【Shiro】第三章 Shiro入门(一)
【Shiro】第三章 Shiro入门
84 1
|
存储 算法 程序员
【Shiro】第三章 Shiro入门(二)
【Shiro】第三章 Shiro入门(二)
87 1
|
缓存 数据库 数据安全/隐私保护
【Shiro】第三章 Shiro入门(四)
【Shiro】第三章 Shiro入门(四)
90 0
|
存储 缓存 安全
Shiro学习之Shiro简介
Shiro学习之Shiro简介
125 0
|
Java 数据库 数据安全/隐私保护
Shiro学习之Shiro基本使用(2)
Shiro学习之Shiro基本使用(2)
64 0
|
Java API 数据库
Shiro学习之Shiro基本使用(1)
Shiro学习之Shiro基本使用(1)
96 0
|
Java Apache Spring
Apache Shiro In Easy Steps With Spring Boot(二)-Authenticator,Authorizer,Subject
Apache Shiro In Easy Steps With Spring Boot(二)-Authenticator,Authorizer,Subject
Apache Shiro In Easy Steps With Spring Boot(二)-Authenticator,Authorizer,Subject
|
缓存 安全 Java
Shiro(一):shiro简介
Shiro(一):shiro简介
217 0
Shiro(一):shiro简介