apache shiro_新版本的安全框架Apache Shiro

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量1.7k 收藏
点赞数
文章标签: java python 安全 编程语言 linux

apache shiro

从最近的收紧开始已经一年多了,通过发布Apache Shiro 1.2,Java应用程序的基本安全框架得到了急需的更新。

Apache Shiro,日语为“城堡”,是一种应用程序安全框架,它通过强大的功能为开发人员提供了非常简洁的方法来支持其应用程序中的四个安全性基石(身份验证,授权,企业会话管理和加密)。对其应用至关重要的要塞。

除了错误修复之外,开发人员还可以部署大量新功能。 其中包括:

  • 禁用每个过滤器链的会话或完全禁用应用程序会话的能力。
  • Web应用程序中的Servlet上下文侦听器初始化(以允许组件在Filter初始化之前使用Shiro)
  • 一个命令行程序,用于安全地散列密码(或与此相关的任何url,文件或流输入)。
  • 遵循模块化加密格式约定的新的安全密码哈希格式。 可以使用上述命名的命令行程序来计算这些安全的密码哈希,并将其直接保存在文本配置(例如shiro.ini)中。 纯文本密码绝不应该存储。 对于那些熟悉Apache HTTPD passwd程序的人来说,这可以获得相同的好处。
  • 一个新的LogoutFilter,因为许多应用程序在注销过程中无需显示视图(只需注销并重定向到某个已知位置)。
  • Shiro过滤器可以启用或禁用,而无需从过滤器链中删除它们-在开发中很有用(例如,在开发人员中关闭ssl要求,但在生产中将其保持不变)。

该团队还渴望说明新概念PasswordService的重要性,该概念使密码散列存储和 比较在Shiro中变得更加简单。 您可以直接 在应用程序代码中 使用PasswordService 来安全地哈希密码。 然后,您可以 在域上配置PasswordMatcher ,以使用相同的 PasswordService进行密码比较。 这些都记录在链接中。

  还有三个新的支持模块–轻量级框架Google Guice,Apache Karaf和Jasig CAS。 我们很高兴看到Shiro团队推出了一个新版本,因为社区在Apache的指导下不断发展壮大。

您可以在Changelog中看到每个改进。 所有二进制文件(.jars)在Maven Central中都可用,您可以在此处下载Apache Shiro 1.2.0!



翻译自: https://jaxenter.com/new-version-of-security-framework-apache-shiro-104108.html

apache shiro

diluan6799
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro 框架简介
weixin_53105361的博客
12-03 467
一、什么是ShiroApache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架Shiro要简单的多。二、Shiro的架构介绍首先,来了解一下Shiro的三个核心组件:Subject, SecurityManager 和 Realms. 如下图:Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Ac
Apache Shiro_安全框架开发文档
08-10
通过阅读《Apache Shiro_安全框架开发文档.pdf》这份文档,你将深入了解Shiro的架构、核心组件(如Subject、Realms、Session Manager等)、以及如何实现自定义策略。文档还会包含示例代码和最佳实践,帮助你在实际...
框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现
rumil的博客
11-02 1713
Solr 是一个高性能,采用 Java5 开发。Solr 任意文件读取该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 中间件:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。
解锁Apache Shiro手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器
2401_84302796的博客
05-10 962
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Apache shiro 漏洞总结
星落的博客
08-01 4589
Apache shiro 漏洞总结 Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
Apache Shiro 安全框架
weixin_51715424的博客
10-24 1185
Apache Shiro 框架
Shiro】一、Apache Shiro安全框架简介
KevinBrain的博客
04-01 890
一、Shiro简介 Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(我喜欢将它们称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制 密码术-保护或隐藏数据以防被撬 会话管理-每个用户的时间敏
【漏洞复现】Apache_Shiro_1.2.4_反序列化漏洞(CVE-2016-4437)
过期的秋刀鱼
11-05 846
由于使用了aes加密,想要成功利用漏洞则需要获取ase的加密秘钥,而在shiro的1.2.4之前的版本中使用的硬编码。其中默认秘钥的b ase64编码后的值为kPH+bIxk5D2deZiIxcaaaA==,这里就可以通过构造恶意的序列化对象进行编码,加密,然后欧威cooike加密发送,服务端接受后会解密并触发反序列化漏洞。cookie的key为rememberme,cookie的值是经过对相关的信息进行序列化,然后实用aes加密,最后在使用b ase64编码处理形成的。字段,登陆成功的话,返回包。
Apache Shiro 漏洞复现
来日可期的博客
10-10 870
Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。在代码中全局搜索 “setCipherKey(Base64.decode(” 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。利用Shiro工具进行链接。
apache shiro漏洞复现
赵花花08042的博客
12-13 693
Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。
Apache Shiro简单介绍
m0_67401134的博客
08-13 1383
Shiroapache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架
SpringBoot + Apache Shiro1.9.1 最版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
基于Java的Apache Shiro安全框架设计源码
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Apache_Shiro参考手册中文版_shiro_
10-01
Apache Shiro是一款强大的Java安全框架,它为开发者提供了一种简单易用的API来处理认证、授权、会话管理和加密等安全相关的问题。本参考手册中文版是针对Java开发者的宝贵资源,帮助他们理解并有效地在项目中集成...
golang 接口
m0_70982551的博客
07-24 963
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 518
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 658
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Apache Shiro基础教程:安全框架入门指南
"Shiro教程.pdf 是一份关于Apache Shiro安全框架的详细教程,涵盖了从基础概念到高级特性的全面讲解,包括身份验证、授权、配置、Web集成、拦截器、JSP标签、会话管理和缓存机制等内容。" Apache Shiro是一个强大且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值