shiro权限授权 测试

最新推荐文章于 2023-05-15 23:07:59 发布
VIP文章 最新推荐文章于 2023-05-15 23:07:59 发布
阅读量273 收藏
点赞数
分类专栏: shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31162311/article/details/89946964
版权

在这里插入图片描述
在这里插入图片描述

在这里插入代码片 /**
   * shiro 授权方法测试
   */
  @Test
  public void Accredit() {

    //创建一个管理的账号和权限的数据库realm
    SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();
    //添加一个账号
    simpleAccountRealm.addAccount("wenzewen", "123", "admin");
    //构建securityManager环境
    final DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    //把账号数据库交给shiro securityManager环境管理
    defaultSecurityManager.setRealm(simpleAccountRealm);
    //主体提交认证请求加入到securityManage
最低0.47元/天 解锁文章
文泽稳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
微服务实战项目-学成在线-认证授权模块(有项目实战实现)
最新发布
爪蛙毁一生的博客
07-22 2553
截至目前,项目已经完成了课程发布功能,课程发布后用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程,如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。认证授权模块实现平台所有用户的身份认证与用户授权功能。什么是用户身份认证?用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证的表现形式有:用户名密码登录,微信扫码
k8s认证和授权
梵修
10-15 2615
在Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
Shiro权限控制
一个死宅的不屈
06-27 2512
shiro权限验证框架
测试场景——权限提升、授权测试
weixin_54573395的博客
04-06 204
从一个特权变到另一个特权,既然存在这个通道,测试就要测试下用户不可能在程序内部攻击修改自己的特权。(3)服务端要对登录信息做判断不能仅仅盯着传递参数。横向提升,例如某个角色访问到同层次其他角色的信息。没有这个权限的人会不会使用其他有权限人的功能。(2)服务端要对url鉴权,不能只前端隐藏。1、什么是权限提升?垂直提升,例如普通用户到VIP。2、提升都有哪几种?(1)是否有权限判断。
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 3747
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
Shiro漏洞检测
weixin_43554548的博客
05-10 8853
关于Shiro漏洞检测工具的使用说明Shiro-550反序列化漏洞简介漏洞检测工具工具一:ShiroExploit工具二:shiro_attack-2.2补充说明 Shiro-550反序列化漏洞简介 漏洞简介: Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户
另类又不另类的shiro检测方式
weixin_45682070的博客
02-18 1196
前言 一般我们检测shiro的方法是用URLDNS链条或者cc链条去盲打,这篇文章来记录一下如何有效的检测shiro(检测是否为shiro,检测shiro的key)。 密钥key不正确的时候 当key错误的时候,我们知道 AbstractRememberMeManager#decrypt 是处理解密的过程。 protected byte[] decrypt(byte[] encrypted) { byte[] serialized = encrypted; CipherService cip
Shiro框架漏洞分析与复现
未完成的歌~的博客
05-15 3669
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
单元测试shiro的登陆验证功能
远行的博客
12-02 696
shiro功能: 处理身份认证、授权、企业会话管理和密码技术。 验证用户身份 用户访问控制(用户安全角色、允许的操作判别) 在没有 web 和 EJB 容器的情况下,在任何环境中使用 会话 API 在认证、访问控制或在会话的生命周期中对事件作出反应 将用户的安全数据聚合为 1 个或多个数据源并以单个可分解的用户视图呈现 能实现单点登录功...
springBoot+shiro简单测试mvc项目
11-14
将springBoot+shiro测试项目。mvc模式写的测试模版,springBoot+shiro项目开发架构的整理
shiro测试代码
11-16
shiro与spring的整合,shiro与spring的整合,shiro与spring的整合
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞。
Apache Shiro安全框架-其他
06-12
Shiro还支持一些辅助功能,例如Web应用程序安全性,单元测试和多线程支持,但它们的存在是为了加强上述四个主要方面。 Apache Shiro特点: 易于使用 易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和...
Java源码 SpringMVC Mybatis Shiro Bootstrap Rest Webservice
06-07
集成REST服务,可以用作独立服务平台(提供大量实例及测试平台,包括:文件上传下载、邮件短信发送、部门、产品、公共连接、我的收藏、我的任务、信息发布等) 5. 集成Quartz调度,可以用作定时调度平台(动态...
shiro-test:*本实例是javase的环境,用到了junit进行测试,不是web,也没用到spring *具体使用到了shiro的下列功能*身份验证:身份认证登录,验证用户是不是拥有相应的身份; *授权方式:授权,即权限验证,验证某已认证的用户是否拥有权限;即判断用户是否能做事情,常见的如:验证某用户是否拥有某个角色。或者细粒度的验证某用户对某人*会话管理器:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; *密
03-23
shiro-test:*本实例是javase的环境,用到了junit进行测试,不是web,也没用到spring *具体使用到了shiro的下列功能*身份验证:身份认证登录,验证用户是不是拥有相应的身份; *授权方式:授权,即权限验证,验证某已...
Java安全框架Shiro在Web中的研究与应用_翁云翔.caj
08-15
最后,通过对朵儿网安全模块的测试,结果证明 Shiro 的确帮助完成了朵儿网 安全模块的设计与实现。并且在软件开发过程中, Shiro 框架的植入并未对原有的 代码造成较大影响。而 Shiro 封装的认证、授权流程以及...
SpringBeanAutowiringSupport介绍( 解决配置文件上下文和beanFactory工厂加载顺序导致autowire为空的异常)
qq_31162311的博客
04-29 4590
spring-web在version2.5.1的时候,在包org.springframework.web.context.support下加入了一个工具类叫SpringBeanAutowiringSupport,主要用来对Spring Web Application上下文的类提供@Autowired注入功能。 官方Doc讲的更清楚点:http://docs.spring.io/spring-fr...
【Springboot】SpringBoot打Jar包后无法读取静态文件,显示文件不存在
qq_31162311的博客
04-10 2332
1. 首先错误,如下图所示,但是我用压缩文件方式打开后,文件时存在的,如下图: 2. 解决方式 ...
springboot集成shiro权限管理
07-08
### 回答1: Spring Boot是基于Spring框架的快速开发应用程序的工具,而Shiro则是一个强大且灵活的Java安全框架。将Spring Boot与Shiro结合使用可以实现权限管理的功能。 首先需要在Spring Boot项目中引入相关依赖,包括Spring Boot的依赖和Shiro的依赖。可以在pom.xml文件中添加如下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> ``` 接下来,需要配置Shiro的配置类。可以创建一个继承自org.apache.shiro.web.mgt.DefaultWebSecurityManager的类,并在该类中配置Shiro的相关信息,包括认证器和授权器。 认证器负责验证用户的身份,可以使用Shiro提供的Realm来实现自定义的身份验证逻辑。授权器负责判断用户是否有权限执行某个操作,可以使用Shiro提供的Permission类来实现权限的控制。 然后,需要为Spring Boot应用程序配置Shiro过滤器链。可以使用Shiro的FilterChainDefinitionMap类来配置URL与权限的映射关系。可以在一个继承自org.apache.shiro.web.env.AbstractWebEnvironment的类中配置这些过滤器链。 最后,在Spring Boot应用程序的入口类中启动Shiro配置。在main()方法中,可以使用org.apache.shiro.SecurityUtils类的setSecurityManager()方法来设置Shiro的安全管理器。 完成以上步骤后,Spring Boot应用程序就集成了Shiro权限管理功能。可以通过编写相应的Controller和页面来测试权限管理的效果。 总之,通过将Spring Boot与Shiro结合使用,可以实现权限管理的功能。通过配置Shiro的相关类和过滤器链,以及编写自定义的Realm和Permission,可以实现身份验证和权限控制的逻辑。 ### 回答2: Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架。Shiro是一个强大的Java安全框架,提供了身份认证、授权、加密等安全功能。下面是使用Spring Boot集成Shiro权限管理的步骤和注意事项。 1. 添加依赖:在Maven或Gradle中添加Spring Boot和Shiro的依赖项。 2. 创建Shiro配置类:创建一个继承自`org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration`的配置类。在该类中配置Shiro的安全相关属性,比如加密算法、身份认证方式等。 3. 创建用户实体类:创建表示用户的实体类,并为其添加相关属性,如用户名、密码等。 4. 创建用户服务类:创建一个用户服务类,用于处理用户相关的操作,如用户注册、查询用户等。 5. 创建Realm类:创建一个继承自`org.apache.shiro.realm.AuthorizingRealm`的自定义Realm类。在该类中,实现身份认证和授权的逻辑。 6. 配置Shiro过滤器:在`application.properties`文件中配置Shiro的过滤器链,指定URL与权限之间的对应关系。 7. 创建Controller类:创建一个Controller类,用于处理用户请求。在该类中,通过`@RequiresRoles`和`@RequiresPermissions`等注解为方法添加授权需求。 8. 启动应用程序:使用Spring Boot的注解启动应用程序,让Spring Boot自动配置并启用Shiro。 注意事项: - 在配置Shiro时,需要根据实际需要选择适当的安全策略、加密算法和认证方式。 - 在自定义Realm类中,需要根据实际需求进行身份认证和授权的实现。 - 在通过Shiro注解为方法添加授权需求时,需要确保用户已经成功登录。 - 需要根据实际业务需求,合理配置Shiro的过滤器链,以获得所需的权限控制效果。 总之,使用Spring Boot集成Shiro权限管理可以方便地实现应用程序的安全认证和授权功能。通过配置Shiro的相关属性和自定义Realm类,可以实现灵活的权限管理,保护应用程序的安全。 ### 回答3: Spring Boot集成Shiro权限管理是一种常用的方式,可以实现安全的身份验证和授权功能。以下是一个简单的步骤,来演示如何实现这个集成。 第一步,导入相关依赖。在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 第二步,编写Shiro的配置文件。创建一个类,命名为ShiroConfig,并使用@Configuration注解将其声明为一个配置类。在配置类中,使用@RequiresPermissions注解来定义URL的访问权限,使用@Bean注解来创建ShiroFilterFactoryBean和DefaultWebSecurityManager等Bean。 第三步,创建一个自定义的Realm类。这个类需要继承自AuthenticatingRealm,并实现其中的认证和授权方法。在认证方法中,需要根据用户名和密码来进行验证用户的身份。在授权方法中,需要判断用户是否具有访问某个URL的权限。 第四步,在Spring Boot的启动类中,添加@EnableCaching注解来启用缓存功能。这样可以提高系统的性能。 第五步,编写Controller类。在Controller中,使用@RequiresPermissions注解来定义URL的访问权限。在方法中,可以使用Subject进行身份验证和授权操作。 最后,启动应用程序。通过访问配置的URL,可以验证是否成功实现了Shiro权限管理功能。 通过以上步骤,我们可以实现Spring Boot集成Shiro权限管理。这样就可以在应用程序中实现安全的身份验证和授权功能,确保只有具备相应权限的用户可以访问指定的URL。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值