Java框架之shiro(03)支持特性

最新推荐文章于 2023-03-14 17:18:44 发布
最新推荐文章于 2023-03-14 17:18:44 发布
阅读量153 收藏
点赞数
分类专栏: Java应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stanwuc/article/details/98477873
版权

RememberMe

一、RememberMe是什么

  • 这个就是你访问一些网站的时候,下次再打开浏览器还是能记住你是谁,无需登录就可以访问一些页面
  • 基本就是通过将相关的 cookie 写到浏览器端保存下来实现的
  • 使用了这个功能能够不受限制访问部分的界面,但是涉及到金融相关的页面,比如订单页面还是需要再次认证的
  • RememberMe使用过程中,需要配合相应的拦截器来实现相应的功能,用错了拦截器可能就不能满足你的需求了

二、RM配置

1、spring-shiro-web.xml配置

配置会话 cookie 模版
  • 这里 sid 的值为 -1意思关闭浏览器的话就会被自动删除,没有办法保持会话
<!-- 会话Cookie模板 -->  
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">  
    <constructor-arg value="sid"/>  
    <property name="httpOnly" value="true"/>  
    <property name="maxAge" value="-1"/>  
</bean>  
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">  
    <constructor-arg value="rememberMe"/>  
    <property name="httpOnly" value="true"/>  
    <property name="maxAge" value="2592000"/><!-- 30天 -->  
</bean>
配置remenbeMe管理器
  • cipherKey 是加密cookie的密钥
<!-- rememberMe管理器 -->  
<bean id="rememberMeManager"   
class="org.apache.shiro.web.mgt.CookieRememberMeManager">  
    <property name="cipherKey" value="  
#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>  
     <property name="cookie" ref="rememberMeCookie"/>  
</bean>
配置安全管理器
<!-- 安全管理器 -->  
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  
    <property name="rememberMeManager" ref="rememberMeManager"/>  
    .........
</bean>
配置表单拦截器
<bean id="formAuthenticationFilter"   
class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">  
    <property name="rememberMeParam" value="rememberMe"/>  
    ........
</bean>
配置shiroFilter
  • 在没有登录过或者记住过的话,访问任何界面都会被跳转至登录页面
  • 登录勾选记住我后,关闭浏览器再进行访问由 user 控制的界面无需再次登录
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
	........
    <property name="filterChainDefinitions">  
        <value>  
            /login.jsp = authc  
            /logout = logout  
            /authenticated.jsp = authc  
            /** = user  
        </value>  
    </property>  
</bean>

SSL

一、生成数字证书

  • 使用JDK的keytool命令,生成证书(包含证书/公钥/私钥)到D:\localhost.keystore:
    keytool -genkey -keystore "D:\localhost.keystore" -alias localhost -keyalg RSA
  • 生成过程中的姓名组织等等一路填写下去即可

二、配置 tomcat server xml

  • 我使用的是 tomcat9,原来的相关的配置项本来就是注释掉的,所以直接加入如下的配置即可
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
       maxThreads="150" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="D:\localhost.keystore" keystorePass="123456"/>&nbsp;

三、添加SSL到配置文件

  • shiro 的spring 配置文件里面加上 ssl 的拦截器并在 shiroFilter 里面配置使用
<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">
	<property name="port" value="8443"/>
</bean>

<!-- Shiro的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager"/>
	<property name="loginUrl" value="/login.jsp"/>
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
	<property name="filters">
		<util:map>
			<entry key="authc" value-ref="formAuthenticationFilter"/>
			<entry key="ssl" value-ref="sslFilter"/>
		</util:map>
	</property>
	<property name="filterChainDefinitions">
		<value>
			/login.jsp = ssl,authc
			/logout = logout
			/authenticated.jsp = authc
			/** = user
		</value>
	</property>
</bean>

四、测试

  • https://localhost:8443/proname/login.jsp 即可访问登录的页面,proname 是自己的项目的名称

单点登录

  • 直接参考博客:https://www.iteye.com/blog/jinnianshilongnian-2036730

综合示例

stanwuc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro权限框架由浅入深讲解教程课件
01-07
Apache Shiro 是一个轻量级的 Java 安全框架,主要负责身份验证、授权、加密以及会话管理。它的设计目标是简化应用安全的实现,让开发者能够快速地为各种类型的程序添加安全特性,从简单的命令行应用到复杂的 web ...
Java SSM+Shiro权限框架
09-25
Java SSM+Shiro权限框架是企业级Web应用开发中常用的一种组合,它结合了Spring、Spring MVC、MyBatis三大框架以及Apache Shiro安全框架,用于构建高效、灵活的权限控制体系。在这个体系中,Spring负责管理Bean,...
Shiro概述
​​
03-15 322
Shiro简介 什么是Shiro? Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架Shiro 的特点 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Java Security API; 简单的身份认证(登录),支持多种数据源(LDAP,JDBC 等); 对角色的简单的签权(访问控制),也支持细粒度的鉴权
Java框架shiro(02)支持特性
stanwuc的博客
07-24 228
一、web 集成 Shiro通过一个ShiroFilter入口来拦截需要安全控制的URL,读取配置(如ini配置文件),然后判断URL是否需要登录/权限等
Shiro特点
m0_73875507的博客
03-14 284
Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;简单的身份认证(登录),支持多种数据源(LDAP,JDBC 等);对角色的简单的签权(访问控制),也支持细粒度的鉴权;易于理解的 Java Security API;不跟任何的框架或者容器捆绑,可以独立运行。支持一级缓存,以提升应用程序的性能;非常简单的加密 API;异构客户端会话访问;
shiro_09_Shiro 支持特性
_Sherlock_
08-19 153
这一篇简单的说一下shiro支持特性,有些东西是不常用的就不详细介绍  第一个是web支持,这个在前面的已经说过,就是在web.xml中配置一下,前面已经很详细的说了,这里就直接略过。 第二个是提供缓存支持,一般来说只有当系统并发量很高,用户量很大的时候,才会采用缓存技术来提高性能,提高用户体验 第三个是并发支持,和前面一样,当并发量很大时采用,可以参考官方文档 第四是提供测试支持,...
浏览器特性支持参考
指点江山
07-29 181
http://caniuse.com
Java SSM整合shiro demo
04-29
Java SSM整合Shiro是一个常见的企业级应用安全框架集成实践,它将Spring、Spring MVC和MyBatis这三大主流框架与Apache Shiro安全框架结合,为应用程序提供了强大的身份验证、授权和会话管理功能。本Demo主要展示了...
安全框架shiro 中文教程
11-05
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(认证)、授权(权限管理)、加密(加密服务)以及会话管理(session管理)等核心功能。本教程将引导你深入理解Shiro,并教你如何在实际的Web...
febs_shiro_jwt-master_java_;shiro;jwt_
10-04
SpringBoot是一个流行的Java框架,它简化了Spring应用的创建和部署,提供了快速开发的特性。Apache Shiro是一个轻量级的安全框架,用于处理认证、授权、会话管理和加密等安全问题。JWT则是一种用于身份验证的开放...
切面编程(三):AspectJ与Shiro不兼容和Spring二次代理错误分析
02-02 656
切面编程(三):AspectJ与Shiro不兼容和Spring二次代理错误分析 Shiro与AspectJ的配置 Shiro的配置 根据 我的BLOG文章和官方文档我们可以得知Shiro在使用注解的时的配置是 Shiro与AspectJ的配置 Shiro的配置 根据我的BLOG...
[Java反序列化]—Shiro反序列化(一)
Sentiment的博客
06-27 2763
前篇进行了shiro550的IDEA配置,本篇就来通过urldns链来检测shiro550反序列化的存在Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程: 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过程中,比较重要的是AE
08.Shiro实现记住我功能
qq_56403015的博客
11-14 574
​ 在我们使用网页时,有记住我的功能,在登录时勾选这一项即可在这cookie生效日期之内,就算关闭浏览器我们在下一次进入该界面时依然可以保证我们可以进行操作而无需登录。对于实现该功能,我们需要以下的步骤。
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
12-21 3456
目录 1 漏洞描述 2 漏洞特征 3 修复建议 4 解决办法 4.1 升级shiro到最新版本 4.2 自定义生成AESkey(Apache Shiro使用官方自带的生成AES密钥) 5 参考网址 1 漏洞描述 Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥...
Shiro配置cookie以及共享Session和Session失效问题
我的博客
12-03 1586
Shiro的会话管理器的配置 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name=.
我的shiro之旅: 十 自定义shiro的SessionIdCookie
热门推荐
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在使用shiro的时候,曾经有段时间很苦恼,因为我cookie的sessionId经常无故被改,然后抛There is no session with id [xxxx]的异常。我们知道,当请求过来,shiro创建session后,会把sessionId写回到客户端的cookie中。每二个请求过来时,shiro会拿到这个cookie里的ses...
公钥密钥理解,signed cookie
weixin_30892987的博客
11-18 407
公钥密钥理解,signed cookie 一、公钥密钥理解 公开密钥加密(英语:Public-key cryptography),也称为非对称加密(英语:asymmetric cryptography),是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时...
aes加密前端加密cookie鉴权
sillyyijia的博客
05-30 558
aes加密解密 package encrypt import ( "bytes" "crypto/aes" "crypto/cipher" "encoding/base64" "errors" ) //高级加密标准 (Adevanced Encryption Standard ,Aes) //16,24,32位字符串的话,分别对应AES-128,AES-192,AES-256加密方法 var PwdKey = []byte("DIS**#HKKOPJDEWQ") //PKCS7 填充模式
Java spring 使用shiro框架
最新发布
08-20
Java Spring 框架可以使用 Apache Shiro 框架来实现身份验证、授权、加密和会话管理功能。 要在 Spring 中使用 Shiro,首先需要在项目中添加 Shiro 的依赖,然后配置 Shiro 的过滤器链。Spring 的 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值