Apache shiro-认证过程

最新推荐文章于 2024-11-15 18:38:47 发布
最新推荐文章于 2024-11-15 18:38:47 发布
阅读量83 收藏
点赞数
文章标签: 数据库 ldap
原文链接:https://my.oschina.net/u/3621003/blog/1490222
版权

认证过程

    认证过程也就是对用户验明正身的过程,即确认用户输入的身份信息是正确的合法的过程。我们先看看这个认证过程的图:

就如图上所说,其实这个认证过程,是在Shiro的SecurityManager中自动完成的。我们使用的时候真正做的内容是从用户输入哪里收集用户的身份信息(用户名+密码),交到SecurityManager,而后SecurityManager则根据输入的用户名调用Realm取得数据库中存储的该用户的身份信息。然后验证之……
    这里需要注意的是这里的数据库,不只是说一般意义的数据库。shiro的可以从JDBC、LDAP()、ini文件、cas等数据源取得用户信息。不同的数据源需要用不同的Realm实现

UsernamePasswordToken token=new UsernamePasswordToken("javass","cc");  
           token.setRememberMe(true);  
           //取得Subject  
           Subject currentUser=SecurityUtils.getSubject();  
           //调用Subject的login方法,这时候Shiro开始进入自动验证  
           //中间需要调用自己实现的realm取得用户信息  
           currentUser.login(token);

Realm

    Realm是Shiro取得用户数据的类,功能即DAO的功能。Realm类需要用户自己实现,对应不同的数据源要继承不同的Realm。然后,父写其中的两个方法:doGetAuthorizationInfo(取权限信息)、doGetAuthenticationInfo(取得用户信息)。

转载于:https://my.oschina.net/u/3621003/blog/1490222

chise6554
关注
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以简化开发人员处理安全的复杂性。在"shiro-root-1.2.3-source-release zipa包"中,包含了Shiro框架的核心源代码,允许...
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、加密和会话管理功能,为开发人员构建安全的应用程序提供了一种简单易用的方式。标题提到的"shiro项目基本运行架包以及全部的架包shiro-all.jar"正是...
Apache Shiro身份认证过程详解
追寻上飞的博客
02-28 1446
花了两天时间认真、重点走读==Apache Shiro安全框架==`身份认证`的源码,`访问控制`和前者是结构对应的,架构之美体现在对称和简易上。这个框架也让我想起业界优秀的网络框架`Netty`,优雅地描述了网络模型,它的优雅不仅体现在`ServerSocket`和`Socket`的对称之美,还体现在简化了一系列配置极简之美。
Apache Shiro-550 反序列化漏洞复现
ZXT02的博客
03-29 1279
Apache Shiro550反序列化(CVE-2016-4437)漏洞分析、复现及修复。
Shiro反序列化漏洞(Shiro-550、Shiro-721)
begefefsef的博客
04-22 3150
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
Shiro-认证绕过漏洞(CVE-2020-1957)
本散修的一些学习心得与笔记,道友请自便。
09-21 447
Shiro认证绕过漏洞—源码分析
vulhub中Apache Shiro 认证绕过漏洞复现(CVE-2020-1957)
yougexiaojiuguan的博客
03-23 251
漏洞复现过程的记录
修复Apache Shiro身份认证绕过漏洞 (CVE-2022-32532)步骤注意事项
web13985085406的博客
08-28 770
该漏洞是由于RegexRequestMatcher不正当配置存在安全问题,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过Shiro的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。漏洞描述:2022年6月29日,安全团队监测到一则Apache Shiro组件存在认证绕过漏洞的信息,漏洞编号:CVE-2022-32532,漏洞威胁等级:高危。导入后,启动项目,原来的业务功能可能由于升级后报错,或者找不到文件,这个时候可以考虑引入报错文件的jar包。尊敬的用户,您好,近日发现以下最新漏洞威胁。..
Apache Shiro认证流程
u013551615的博客
09-21 261
Subject 第一步:获取用户名(Principal)和密码(Credential); //获取当前的Subject UsernamePassworkToken token = new UsernamePassworkToken (username,password); //Rmember me功能 .token.setRememberMe(true) AuthenticationToken接口:用于表示用户提交的用户名和密码的接口 通常使用UsernamePassworkToken类(派生自Aut
CVE-2020-1957 Apache Shiro 认证绕过漏洞
m0_61506558的博客
09-17 1900
(一)介绍(一)介绍Apache Shiro是一款开源安全框架,它的功能主要用于身份验证、授权、会话管理、加密......漏洞发生原因是:登入的时候序列化保存了登入信息到cookie(序列化、AES加密、Base64)
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)
weixin_50464560的博客
09-08 4049
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) Shiro这个框架,我相信各位经常挖洞的师傅都不会陌生,因为这个框架有着臭名昭著的反序列化漏洞(CVE-2016-4437),攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 但是,今天我们要讲的是Shiro身份验证绕过漏洞,这个漏洞已经出来大半年了,只是之前一直觉得作用并不明显(这是因为自己太菜了),最近正好遇到一次,遂之记录一下(开学前的最后一篇,开学后估计没时间
shiro源码(shiro-root-1.8.0-source-release.zip)
03-21
Shiro认证过程主要由Subject、Realms和CredentialsMatcher组成。Subject是Shiro的中心概念,代表当前用户或系统中的任何实体。Realms是Shiro与应用安全数据源(如数据库LDAP等)的桥梁,负责验证凭证。...
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。标题中的 "shiro-root-1.4.1-source-release.zip" 指的是 Apache Shiro 的 1.4.1 版本源码包,适用于...
apache-shiro-1-2-x-reference.zip
04-30
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。这个压缩包文件"apache-shiro-1-2-x-reference.zip"包含了Shiro的官方中文参考文档,对于...
MySQL 8.0特性-自增变量的持久化
myneth的博客
11-13 552
在MySQL 8.0之前,自增主键AUTO_INCREMENT的值如果大于max(primary key)+1,在MySQL重启后,会重置AUTO_INCREMENT=max(primary key)+1,这种现象在某些情况下会导致业务主键冲突或者其他难以发现的问题。下面通过案例来对比不同的版本中自增变量是否持久化。
Mybatis
最新发布
庸不易的博客
11-15 794
1、定义不同:#{} 预处理:而 ${} 是直接替换2、使用不同:#{} 适用于所有类型的参数匹配;但 ${} 只适用于数值类型。3、安全性不同:#{} 性能高,并且没有安全问题;但 $ {} 存在 SQL 注入的安全问题。4、使用场景不同:当传递的是一个 SQL 关键字 的时候,只能 使用 ${}。当传递的是一个字段,总之,就是需要获取到参数类型 与 内容,只能使用 #{}。(PS:数字类型,#{} 和 ${} 都是可以使用的!5、 ${} 不能用于 模糊匹配查询;
[Docker#9] 存储卷 | Volume、Bind、Tmpfs | -v/mount | MySQL 灾难恢复 | 问题
2301_80171004的博客
11-14 776
本文介绍了 Docker 存储卷的概念、分类及其应用。从什么是存储卷、生活案例到存储卷的必要性,再到管理卷、绑定卷和临时卷的具体创建与使用方法,最后通过 MySQL 灾难恢复的实战案例,帮助读者全面掌握存储卷的运用技巧。
约束(MYSQL)
2301_80363309的博客
11-13 323
not null(非空) unique(唯一) default(默认约束,规定值) 主键约束primary key(非空且唯一) auto_increment(自增类型) 复合主键 check(保证列中值符合指定条件) foreign key(外键约束)
labview中连接sql server数据库查询语句
weixin_70653117的博客
11-13 402
日常记录
Apache Shiro 反序列化漏洞分析与利用(Shiro-550 & Shiro-721)
"本文主要讨论了Apache Shiro框架中的两个安全漏洞,Shiro-550和Shiro-721,以及如何进行自动化漏洞利用。Shiro是一个流行的Java安全框架,提供认证、授权、加密和会话管理等功能。文章详细介绍了这两个漏洞的原理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值