Shiro提供了与Web集成的支持，其通过一个ShiroFilter入口来拦截需要安全控制的URL，然后进行相应的控制，ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端控制器，其是安全控制的入口点，其负责读取配置（如ini配置文件），然后判断URL是否需要登录/权限等工作。

6.1准备环境

1. 创建webapp应用

   我们利用maven构建我们的项目，使用jetty-maven-plugin插件。具体配置可以查看GitHub源码中的pom.xml。

2. 导入相关依赖

   Servlet：

   1 2 3 4 5 6

   <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactId> <version>3.0.1</version> <scope>provided</scope> </dependency>

5.1 Realm

前面的章节中我们已经详细的介绍了Realm，接下来再来看一下一般真实环境下的Realm如何实现。

1、定义实体及关系

即用户-角色之间是多对多关系，角色-权限之间是多对多关系；且用户和权限之间通过角色建立关系；在系统中验证时通过权限验证，角色只是权限集合，即所谓的显示角色；其实权限应该对应到资源（如菜单、URL、页面按钮、Java方法等）中，即应该将权限字符串存储到资源实体中，但是目前为了简单化，直接提取一个权限表，【综合示例】部分会使用完整的表结构。

用户实体包括：编号(id)、用户名(username)、密码(password)、盐(salt)、是否锁定(locked)；是否锁定用于封禁用户使用，其实最好使用Enum字段存储，可以实现更复杂的用户状态实现。

角色实体包括：、编号(id)、角色标识符（role）、描述（description）、是否可用（available）；其中角色标识符用于在程序中进行隐式角色判断的，描述用于以后再前台界面显示的、是否可用表示角色当前是否激活。

权限实体包括：编号（id）、权限标识符（permission）、描述（description）、是否可用（available）；含义和角色实体类似不再阐述

另外还有两个关系实体：用户-角色实体（用户编号、角色编号，且组合为复合主键）；角色-权限实体（角色编号、权限编号，且组合为复合主键）。

前言

密码存储应该采用加密/生产密码摘要存储。而不是采用明文存储，这期我们就来学习一下Shiro在编码与加密方面的功能。

4.1编码/解码

Shiro提供了base64和16进制字符串编码/解码的API支持，方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base64和16进制字符串。

1
2
3
4
5
6
7
8
9
10
11

@Test
public void base64encode(){
    String str = "hello";
    String base64Encoded = Base64.encodeToString(str.getBytes());

    log.info("编码后："+base64Encoded);

    String str2 = Base64.decodeToString(base64Encoded);

    log.info("解码后："+str2);
}

通过如上方式可以进行base64编码/解码操作。

前言

本期我们对Hibernate JPA注解的配置进行说明，这些注解如何使用，如何配置等。

@Table

Table 用来定义 entity 主表的 name，catalog，schema 等属性。

属性说明：

• name：表名
• catalog：对应数据库的catalog
• schema：对应关系数据库中的schema
• UniqueConstraints：定义一个 UniqueConstraint 数组，指定需要建唯一约束的列

1
2
3

@Entity
@Table(name="CUST")
public class Customer { ... }

@SecondaryTable

一个 entity class 可以映射到多表，SecondaryTable 用来定义单个从表的名字，主键名字等属性。
属性说明：

前言

本章我们来学习权限认证，在开始前我们先明白一些基本的概念。

主体（Subject）：即访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。

资源（Resource）：在应用中用户可以访问的任何东西，比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。

权限（Permission）：安全策略中的原子授权单位，通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如：访问用户列表页面、查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）等等。

如上可以看出，权限代表了用户有没有操作某个资源的权利，即反映在某个资源上的操作允不允许，不反映谁去执行这个操作。所以后续还需要把权限赋予给用户，即定义哪个用户允许在某个资源上做什么操作（权限），Shiro不会去做这件事情，而是由实现人员提供。

前言

上一章主要对Shiro功能，运行原理，架构设计进行了介绍，这一章我们主要学习Shiro的身份验证。本章的代码我会上传至GitHub，链接见文末。

身份验证：即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人，如提供身份证，用户名/密码来证明。

在shiro中，用户需要提供principals （身份）和credentials（证明）给shiro，从而应用能验证用户身份：

principals：身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。一个主体可以有多个principals，但只有一个Primary principals，一般是用户名/密码/手机号。

credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。

最常见的principals和credentials组合就是用户名/密码了。接下来先进行一个基本的身份认证。

前言

现在在学习Shiro，参照着张开涛老师的博客进行学习，然后自己写博客记录一下学习中的知识点，一来可以加深理解，二来以后遗忘了可以查阅。没有学习过Shiro的小伙伴，也可以和我一起学习，大家共同进步！

1.1 Shiro的简介

Apache Shiro是Java的一个安全框架。目前，使用Apache Shiro的人越来越多，因为它相当简单。可能没有Spring Security做的功能强大，但是实际工作中可能并不需要那么复杂的东西，所以，使用Shiro能解决我们项目中遇到的问题就好了。

1.2 Shiron的功能

Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

Authorization：授权，即权限验证，验证某个已认证的用户是否拥有某个权限；即判断用户是否能做事情，常见的如：验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限；

Session Manager：会话管理，即用户登录后就是一次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通JavaSE环境的，也可以是如Web环境的；

Cryptography：加密，保护数据的安全性，如密码加密存储到数据库，而不是明文存储；

前言

• 什么是REST

  REST全称是Representational State Transfer，中文意思是表述（编者注：通常译为表征）性状态转移。 它首次出现在2000年Roy Fielding的博士论文中，Roy Fielding是HTTP规范的主要编写者之一。 他在论文中提到：”我这篇文章的写作目的，就是想在符合架构原理的前提下，理解和评估以网络为基础的应用软件的架构设计，得到一个功能强、性能好、适宜通信的架构。REST指的是一组架构约束条件和原则。” 如果一个架构符合REST的约束条件和原则，我们就称它为RESTful架构。

  REST本身并没有创造新的技术、组件或服务，而隐藏在RESTful背后的理念就是使用Web的现有特征和能力， 更好地使用现有Web标准中的一些准则和约束。虽然REST本身受Web技术的影响很深， 但是理论上REST架构风格并不是绑定在HTTP上，只不过目前HTTP是唯一与REST相关的实例。 所以我们这里描述的REST也是通过HTTP实现的REST。

• REST架构的主要原则

  网络上所有的事物都被抽象为资源

  每个资源都有一个唯一的资源标识符

  同一个资源有多重表现形式(xml，json等)

  对资源的各种操作不会改变资源标识符

  所有操作都是无状态的

  符合REST原则的架构方式即可称为RESTful

今天学习CountDownLatch这个类，作用感觉和join很像，然后就百度了一下，看了他们之间的区别。所以在此记录一下。

首先来看一下join，在当前线程中，如果调用某个thread的join方法，那么当前线程就会被阻塞，直到thread线程执行完毕，当前线程才能继续执行。join的原理是，不断的检查thread是否存活，如果存活，那么让当前线程一直wait，直到thread线程终止，线程的this.notifyAll 就会被调用。

我们来看一下这个应用场景：假设现在公司有三个员工A,B,C，他们要开会。但是A需要等B,C准备好之后再才能开始，B,C需要同时准备。我们先用join模拟上面的场景。

Employee.java:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

public class Employee extends Thread{
        
	private String employeeName;
	
	private long time;

	public Employee(String employeeName,long time){
		this.employeeName = employeeName;
		this.time = time;
	}
	
	@Override
	public void run() {
		try {
			System.out.println(employeeName+ "开始准备");
			Thread.sleep(time);
			System.out.println(employeeName+" 准备完成");
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

JoinTest.java:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

public class JoinTest {

	public static void main(String[] args) throws InterruptedException {
		Employee a = new Employee("A", 3000);
		Employee b = new Employee("B", 3000);
		Employee c = new Employee("C", 4000);
		
		b.start();
		c.start();
		
		b.join();
		c.join();
		System.out.println("B,C准备完成");
		a.start();
	}
}

最后输出结果如下:

1
2
3
4
5
6
7

C开始准备
B开始准备
B 准备完成
C 准备完成
B,C准备完成
A开始准备
A 准备完成

可以看到,A总是在B,C准备完成之后才开始执行的。

CountDownLatch中我们主要用到两个方法一个是await()方法，调用这个方法的线程会被阻塞，另外一个是countDown()方法，调用这个方法会使计数器减一，当计数器的值为0时，因调用await()方法被阻塞的线程会被唤醒，继续执行。

前言

由于我们公司用到ilog规则引擎,于是记录一下如何在本地执行规则集.方便以后自己查找.

新建规则项目以及XOM项目

这两个项目是我写的一个小例子,用于演示一些基本操作.
项目结果如下:

新建规则

如果
'保单' 的被保险人 的年龄 小于 20
那么
'返回结果' . 添加返回结果( "被保险人年龄控制",不成立 ,"被保险人年龄小于20") ; 
否则
'返回结果' . 添加返回结果( "被保险人年龄控制",成立 ,"被保险人年龄大于20") ; 

这是一个被保险人年龄的判断规则.