Shiro默认提供的Reaml说明

最新推荐文章于 2021-12-10 08:00:00 发布
最新推荐文章于 2021-12-10 08:00:00 发布
阅读量1.7k 收藏
点赞数
分类专栏: java编程篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq383264679/article/details/46483095
版权

关于说明是Reaml看前面的说明,Shiro默认提供的Reaml说明如下:


        一般继承AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。其中主要默认实现如下:

org.apache.shiro.realm.text.IniRealm:[users]部分指定用户名/密码及其角色;[roles]部分指定角色即权限信息;

org.apache.shiro.realm.text.PropertiesRealm: user.username=password,role1,role2指定用户名/密码及其角色;role.role1=permission1,permission2指定角色及权限信息;

org.apache.shiro.realm.jdbc.JdbcRealm:通过sql查询相应的信息,如“select password from users where username = ?”获取用户密码,“select password, password_salt from users where username = ?”获取用户密码及盐;“select role_name from user_roles where username = ?”获取用户角色;“select permission from roles_permissions where role_name = ?”获取角色对应的权限信息;也可以调用相应的api进行自定义sql;


shiro配置文件如下:

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=a5512013025
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

在数据库分别建如下3张表,名字固定,原因后面说. 

CREATE TABLE `users` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password` varchar(100) DEFAULT NULL,
  `password_salt` varchar(100) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `idx_users_username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

CREATE TABLE `user_roles` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `role_name` varchar(100) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `idx_user_roles` (`username`,`role_name`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `roles_permissions` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `role_name` varchar(100) DEFAULT NULL,
  `permission` varchar(100) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `idx_roles_permissions` (`role_name`,`permission`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

测试类如下: 

 @Test
    public void testJDBCRealm() {
        //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory =
                new IniSecurityManagerFactory("classpath:shiro-jdbc-realm.ini");

        //2、得到SecurityManager实例 并绑定给SecurityUtils
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("lisi", "111");

        try {
            //4、登录,即身份验证
            subject.login(token);
        } catch (AuthenticationException e) {
            //5、身份验证失败
            e.printStackTrace();
        }

        Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录

        //6、退出
        subject.logout();
    }

说明:在Shiro进行login的时候,会找到 
      org.apache.shiro.realm.jdbc.JdbcRealm

    /**
     * The default query used to retrieve account data for the user.
     */
    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
    
    /**
     * The default query used to retrieve account data for the user when {@link #saltStyle} is COLUMN.
     */
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

    /**
     * The default query used to retrieve the roles that apply to a user.
     */
    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";

    /**
     * The default query used to retrieve permissions that apply to a particular role.
     */
    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";

JdbcRealm中的源码,里面的静态字段显示的默认table表名分别是users,user_roles,roles_permissions.所以在进行权限校验的时候会在users表中进行查找。
小勇Oo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5216
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
shiro默认的iniRealm认证和授权
weixin_43735588的博客
05-21 233
1.创建项目并导包 <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.9</version> </dependency> <depen
Apache Shiro 默认密钥致命令执行漏洞
Loveme_CN的博客
11-18 5250
Apache Shiro 默认密钥致命令执行漏洞1、 漏洞描述:2、漏洞特征:3、修复建议:4、修复过程JAR包升级修复RemberMe功能 今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥致命令执行漏洞的修复方法,有需要的小伙伴可以参考一下 1、 漏洞描述: Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、
Shiro】Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5077
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
Apache Shiro 使用手册(五) Shiro 配置说明
09-15
主要为大家分享了Apache Shiro 配置说明,需要的朋友可以参考下
Apache_Shiro中文开发说明文档.docx
03-26
- **辅助类**:Shiro提供了一系列的辅助类,如`Subject`表示当前操作用户,`SecurityManager`是Shiro的核心组件,负责管理所有的安全操作。还有`Realm`是数据源接口,用于从数据库或其他数据源获取用户信息。 **3. ...
shiro1.5.3
05-11
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。你提到的 "shiro1.5.3" 是Shiro框架的一个特定版本,包含了该版本的所有核心组件和相关...
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro1.7.1.zip
04-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。标题中的"shiro1.7.1.zip"表明这是一个包含Apache Shiro 1.7.1版本所有核心模块的压缩包,...
shiro框架表结构Sql脚本
08-13
shiro框架表结构Sql脚本,5大表+数据,一键导入,权限控制
shiro数据库设计 五张表
11-07
shiro权限框架数据库设计,附少量数据,仅供测试,非实际项目
Spring Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3577
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 2761
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Shiro高版本默认密钥的漏洞利用
12-10 6335
Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
Java项目中修复Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)详细说明
一火的专栏
11-18 9833
目录 1.漏洞说明 1.1阿里云漏洞短信内容 1.2阿里云漏洞详细报告 2.详细修复步骤 2.1下载漏洞验证工具 3.Java项目修改 3.1修改前注意事项 3.2Jar包准备 3.3增加一个自定义秘钥代码 3.4修改shiro配置 3.5修复后漏洞检测结果 4.常见问题 4.1Unsupported major.minor version 52.0 4.2org.springframework.web.servlet.mvc.annotation.AnnotationM..
初始shiro
weixin_45750514的博客
10-12 638
Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证(登录)、授权(角色,权限)、加密(pass加密)、会话管理、与Web 集成、缓存等。 package com.xiexin.shiroTest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.Incorre
shiro默认库在哪里
最新发布
01-07
Shiro 默认库在 Java 项目的 Maven 仓库中查找。Shiro 是一个开源的 Java 安全框架,提供了一套易于使用且功能强大的身份认证、授权、加密、会话管理等安全特性。在 Java 项目中使用 Shiro,我们可以通过 Maven 管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值