shiro实战系列(十)之Subject

￡神魔★判官ぃ 2022-02-13 13:25 244阅读 0赞

毫无疑问，在 Apache Shiro 中最重要的概念就是 Subject。'Subject'仅仅是一个安全术语，是指应用程序用户的特定 安全的“视图”。一个 Shiro Subject 实例代表了一个单一应用程序用户的安全状态和操作。

这些操作包括：

authentication(login)

authorization(access control)

session access

logout

我们原本希望把它称为"User"由于这样“很有意义”，但是我们决定不这样做：太多的应用程序现有的 API 已经有 自己的 User classes/frameworks，我们不希望和这些起冲突。此外，在安全领域，"Subject"这一词实际上是公认的术 语。

Shiro 的 API 为应用程序提供 Subject 为中心的编程范式支持。当编码应用程序逻辑时，大多数应用程序开发人员想 知道谁才是当前正在执行的用户。虽然应用程序通常能够通过它们自己的机制（UserService 等）来查找任何用户， 但涉及到安全性时，最重要的问题是“谁才是当前的用户？”。

虽然通过使用SecurityManager可以捕获任何Subject，但只有基于当前用户/Subject的应用程序代码更自然，更直观。

The Currently Executing Subject(当前执行的 Subject)

几乎在所有环境下，你能够获得当前执行的 Subject 通过使用 org.apache.shiro.SecurityUtils:

![img_02839ef9ed0ea7cf093c7f2fc714b572.png][]

getSubject()方法调用一个独立的应用程序，该应用程序可以返回一个在应用程序特有位置上基于用户数据的 Subject， 在服务器环境中（如，Web 应用程序），它基于与当前线程或传入的请求相关的用户数据上获得 Subject。

当你获得了当前的 Subject 后，你能够拿它做些什么？

如果你想在他们当前的 session 中使事情对用户变得可用，你可得的他们的 session:

![img_a9d47f2644db8bd636e66c3fe4321b36.png][]

Session 是一个 Shiro 的具体实例，它提供了大多数你经常要和 HttpSessions 用到的东西，但有一些额外的好处和一 个很大的区别：它不需要一个 HTTP 环境！ 如果在 Web 应用程序内部部署，默认的 Session 将会是基于 HttpSession 的。但是，在一个非 Web 环境中，像这个 简单的 Quickstart，Shiro 将会默认自动地使用它的 Enterprise Session Management。这意味着你可以在你的应用程序 中使用相同的 API，在任何层，无论部署环境。这打开了应用程序的全新世界，由于任何需要 session 的应用程序不 再被强迫使用 HttpSession 或 EJB Stateful Session Beans。而且，任何客户端技术现在能够共享会话数据。 所以，你现在可以获取一个 Subject 以及他们的 Session。对于真正有用的东西像检查会怎么样呢，如果他们被允许 做某些事——如对角色和权限的检查？ 嗯，我只能对已知的用户做这些检查。我们的 Subject 实例代表了当前的用户，但谁又是实际上的当前用户呢？呃， 他们都是匿名的——也就是说，直到他们至少登录一次。那么，让我们像下面这样做：

![img_78fb5dffe563cdb5ec57fe9fa3a055e6.png][]

那就是了！它再简单不过了。 但如果他们的登录尝试失败了会怎么样？你可以捕获各种各样的具体的异常来告诉你到底发生了什么：

![img_e141540bd2d7a0f16ea876fcbfc1e2ce.png][]

你，作为应用程序/GUI 开发人员，可以基于异常选择是否显示消息给终端用户（例如，“在系统中没有与该用户名 对应的帐户。”）。有许多不同种类的异常供你检查，或者你可以抛出你自己自定义的异常，这些异常可能是 Shiro 还未提供的。有关详情，请查看 AuthenticationException 的 JavaDoc。 好了，现在，我们有了一个登录的用户，我们还有什么可以做的呢？ 比方说，他们是谁：

![img_2292bf3474e711fafa2e54b60d1eab58.png][]

![img_61df985d6d53ef17cbe1df99ec42f207.png][]

最后，当用户完成了对应用程序的使用时，他们可以注销：

![img_3fad989fc9780fd77e2dc429116f0eea.png][]

这个简单的 API 包含了 90%的 Shiro 终端用户在使用 Shiro 时将会处理的东西。

Custom Subject Instances(自定义 Subject 实例) Shiro 1.0 中添加了一个新特性，能够在特殊情况下构造自定义/临时的 subject 实例。

Special Use Only! 你应该总是通过调用 SubjectUtils.getSubject()来获得当前正在执行的 Subject； 创建自定义的 Subject 实例只应在特殊情况下进行。

当一些“特殊情况”是，这是可以很有用的： 系统启动/引导——当没有用户月系统交互时，代码应该作为一个'system'或 daemon 用户来执行。创建 Subject 实例来代表一个特定的用户是值得的，这样引导代码能够以该用户（如 admin）来执行。 鼓励这种做法是由于它能保证 utility/system 代码作为一个普通用户以同样的方式执行，以确保代码是一致的。 这使得代码更易于维护，因为你不必担心 system/daemon 方案的自定义代码块。 集成测试——你可能想创建Subject实例，在必要时可以在集成测试中使用。请参阅测试文档获取更多的内容。 Daemon/background 进程的工作——当一个 daemon 或 background 进程执行时，它可能需要作为一个特定的 用户来执行。

![img_3b39c586985beefc226d77ac7ffd5378.png][]

好了，假设你仍然需要创建自定义的 Subject 实例的情况下，让我们看看如何来做：

Subject.Builder

Subject.Builder 被制定得非常容易创建 Subject 实例，而无需知道构造细节。 Builder 最简单的用法是构造一个匿名的，session-less 的实例。

![img_94e9a4784a891f59bd2a8aa02f5f71fc.png][]

上面所展示的默认的 Subject.Builder 无参构造函数将通过 SecurityUtils.getSubject()方法使用应用程序当前可访问的 SecurityManager。你也可以指定被额外的构造函数使用的 SecurityManager 实例，如果你需要的话：

![img_a4d82c8aed0dc84fec72ba7ea9d90c47.png][]

所有其他的 Subject.Builder 方法可以在 buildSubject()方法之前被调用，它们来提供关于如何构造 Subject 实例的上下 文。例如，假如你拥有一个 session ID ，想取得“拥有”该 session 的 Subject（假设该 session 存在且未过期）：

![img_59b4a16493ed11645e45d532bb12ef2f.png][]

同样地，如你想创建一个 Subject 实例来反映一个确定的身份：

![img_54f4585268dff9865f951b85694130d4.png][]

然后，你可以使用构造的 Subject 实例，如预期一样对它进行调用。但请注意： 构造的 Subject 实例不会由于应用程序（线程）的进一步使用而自动地绑定到应用程序（线程）。如果你想让它对 于任何代码都能够方便地调用 SecurityUtils.getSubject()，你必须确保创建好的 Subject 有一个线程与之关联。

Thread Association(线程关联) 如上所述，只是构建一个 Subject 实例，并不与一个线程相关联——一个普通的必要条件是在线程执行期间任何对 SecurityUtils.getSubject()的调用是否能正常工作。确保一个线程与一个 Subject 关联有三种途径：

(1) Automatic Association(自动关联)—— 通过 Sujbect.execute\*方法执行一个 Callable 或 Runnable 方法会自动地绑 定和解除绑定到线程的 Subject，在 Callable/Runnable 异常的前后。

(2) Manual Association(手动关联)——你可以在当前执行的线程中手动地对 Subject 实例进行绑定和解除绑定。这 通常对框架开发人员非常有用。

(3) Different Thread(不同的线程)——通过调用 Subject.associateWith\*方法将 Callable 或 Runnable 方法关联到 Subject，然后返回的 Callable/Runnable 方法在另一个线程中被执行。如果你需要为 Subject 在另一个线程上执 行工作的话，这是首选的方法。

了解线程关联最重要的是，两件事情必须始终发生：

1. Subject 绑定到线程，所以它在线程的所有执行点都是可用的。Shiro 做到这点通过它的 ThreadState 机制，该 机制是在 ThreadLocal 上的一个抽象。

2. Subject 将在某点解除绑定，即使线程的执行结果是错误的。这将确保线程保持干净，并在 pooled/reusable 线 程环境中清除任何之前的 Subject 状态。 这些原则保证在上述三个机制中发生。接下来阐述它们的用法。

Automatic Association(自动关联)

如果你只需要一个 Subject 暂时与当前的线程相关联，同时你希望线程绑定和清理自动发生，Subject 的 Callable 或 Runnable 的直接执行正是你所需要的。在 Subject.execute 调用返回后，当前线程被保证当前状态与执行前的状态是 一样的。这个机制是这三个中使用最广泛的。

例如，让我们假定你有一些逻辑在系统启动时需要执行。你希望作为一个特定用户执行代码块，但一旦逻辑完成后， 你想确保线程/环境自动地恢复到正常。你可以通过调用 Subject.execute\*方法来做到：

![img_0b48f8eb95da4e6b831d1941092c535a.png][]

这种方法在框架开发中也是很有用的。例如，Shiro 对 secure Spring remoting 的支持确保了远程调用能够作为一个特 定的 Subject 来执行：

![img_73526d3159f65ee3987a592919013e8d.png][]

Manual Association(手动关联)

虽然 Subject.execute\*方法能够在它们返回后自动地清理线程的状态，但有可能在一些情况下，你想自己管理 ThreadState。当结合 w/Shiro 时，这几乎总是在框架开发层次使用，但它很少在 bootstrap/daemon 情景下使用（上 面 Subject.execute(callable)例子使用得更为频繁）。

![img_495b4b4865f8e32f5fa8333dfa5d5de3.png][]

最好的做法是在 try/finally 块保证清理：

![img_da87c7a4bacb53caa383b7b28c756879.png][]

有趣的是，这正是 Subject.execute\*方法实际上所做的——它们只是在 Callable 或 Runnable 执行前后自动地执行这个 逻辑。Shiro 的 ShiroFilter 为 Web 应用程序执行几乎相同的逻辑（ShiroFilter 使用 Web 特定的 ThreadState 的实现， 超出了本节的范围）。

![img_d8940f05a49b420b367ff072526ff634.png][]

A Different Thread

如果你有一个 Callable 或 Runnable 实例要以 Subject 来执行，你将自己执行 Callable 或 Runnable（或这将它移交给 线程池或执行者或 ExcutorService），你应该使用 Subject.associateWith\*方法。这些方法确保在最终执行的线程中保 留 Subject，且该 Subject 是可访问的。

![img_75ce325a762a4d8ce9de3c3ba9fe2f56.png][]

[img_02839ef9ed0ea7cf093c7f2fc714b572.png]: /images/20220213/acca65fe3b60461eaecd7f91d3388c89.png
[img_a9d47f2644db8bd636e66c3fe4321b36.png]: /images/20220213/5fa9684540f24ea7b931cdc99d42459d.png
[img_78fb5dffe563cdb5ec57fe9fa3a055e6.png]: /images/20220213/c2307565ebc841a6ad9791f12d2cdc8b.png
[img_e141540bd2d7a0f16ea876fcbfc1e2ce.png]: /images/20220213/d4c66e9aa2154eca81ca840199fffc8b.png
[img_2292bf3474e711fafa2e54b60d1eab58.png]: /images/20220213/9a9a2816c68744d093fbd9f35a2f8e8b.png
[img_61df985d6d53ef17cbe1df99ec42f207.png]: /images/20220213/5f20be90cc5445959f92126682385314.png
[img_3fad989fc9780fd77e2dc429116f0eea.png]: /images/20220213/7b14602b5e634ce3b5c5566bb9f92d92.png
[img_3b39c586985beefc226d77ac7ffd5378.png]: /images/20220213/d642e8630309413eb7be7405533a0954.png
[img_94e9a4784a891f59bd2a8aa02f5f71fc.png]: /images/20220213/28695e8a7a934ff1842c8e26773287ee.png
[img_a4d82c8aed0dc84fec72ba7ea9d90c47.png]: /images/20220213/a9705a3ddb59494fb1993859a0d9fbcc.png
[img_59b4a16493ed11645e45d532bb12ef2f.png]: /images/20220213/bf79f37f44b84675aa6a5d65c9a0ee3e.png
[img_54f4585268dff9865f951b85694130d4.png]: /images/20220213/b5c6cc5bad274c90a270b2aa028c0ee8.png
[img_0b48f8eb95da4e6b831d1941092c535a.png]: /images/20220213/2254a35fd11247749df7071388956f6e.png
[img_73526d3159f65ee3987a592919013e8d.png]: /images/20220213/72b46a1a594d4820ad6aa025ac4d0f67.png
[img_495b4b4865f8e32f5fa8333dfa5d5de3.png]: /images/20220213/48e2e050a6364aefb6b72db6c8dcec66.png
[img_da87c7a4bacb53caa383b7b28c756879.png]: /images/20220213/168f54b5cab4411293df9ae8b294186b.png
[img_d8940f05a49b420b367ff072526ff634.png]: /images/20220213/84d9b5029e1b4c5ab62aadd079e48753.png
[img_75ce325a762a4d8ce9de3c3ba9fe2f56.png]: /images/20220213/85343f22932d4c089c1ad399bf0a7684.png