shiro---你的所见所得由我决定

最新推荐文章于 2024-01-29 21:26:17 发布
最新推荐文章于 2024-01-29 21:26:17 发布
阅读量496 收藏
点赞数
分类专栏: 面向对象编程-JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tgbsqliuying/article/details/51287794
版权

"Apache 封装了很多好东西",这是石总给我调代码的时候说的一句话。5个月后,我才又想起这句话,所以今天跟大家分享一下Apache的权限管理。

你的所见所得由我决定:

一个页面上的所有元素,小到一个按钮,大到一个表格,显示与不显示它都能够控制。

JSP元素的显示与否进行控制的shiro

  1. 我们在jsp文件顶部引用:

<%@taglib  prefix="shiro"uri="http://shiro.apache.org/tags"%>


  1. 那么我们如何使用这个权限管理呢

<shiro:hasAnyRolesname="account_list">
<li>
<a href="${ctx}/account/list?search_EQ_isDelete=0">管理员列表</a><span 
class="divider">/</span>
</li>
</shiro:hasAnyRoles>


 

<shiro:hasAnyRolesname="account_list">

name= 后跟多个角色名称的时候,当前登录用户只要包含其中任何一个角色, <shiro> 所包含的内容就会显示给用户,

 

<shiro:hasRole name="product_delete">
<a class="btn btn-small btn-danger"href="javascript:deleteTip('${shopitem.id}')">删除</a>
</shiro:hasRole>

 

Name=后跟一个角色名,当前登录用户只有包含指定角色名,<shiro>才能显示包含内容。

  1. 当然角色名称还是需要我们后台设置,后台根据权限设定5张表

t_usert_role t_user_role

角色表就是我们代码中所引用的角色。

当我们登录系统后,跟随着用户的会有一个角色集合,每到一个需要判断的位置,进行判断

刘颖90
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro 记住我 的实现
weixin_38104426的博客
05-20 1384
记住我 用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。 1.用户身份实现java.io.Serializable接口 向cookie记录身份信息需要用户身份信息对象实现序列化接口,如下: public class ActiveUser implements java.io.Serializa
Shiro实战系列--整合shiro-redis
热门推荐
IT利刃出鞘的博客
10-18 1万+
本文用实例介绍shiro通过引入shiro-redis来缓存权限。使用SpringBoot整合Shiro
Shiro历史漏洞复现 - Shiro-721
HAKUNAMATATATTA的博客
01-04 1926
由于 Apache Shiro cookie 中通过 AES-128-CBC 模式加密的 rememberMe 字段存 在问题,用户可通过 Padding Oracle 加密生成的攻击代码来构造恶意的 rememberMe 字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。由于漏洞利用需要一个合法的登录账号,这里利用账号正常登陆获取一个有效的rememberMe cookie ,并记录下这个rememberMe的值。爆破成功,返回了rememberMe cookies的值。
shiro-550 IDEA环境配置
Demodd的博客
03-14 1702
前言 为了跟一下shiro的洞配下环境,这一配不要紧浪费了一上午的时间,不过自己也从中学到了很多,希望以后配环境不要遇到这么多问题。(java环境也太难搞了) 正文 环境准备: tomcat配置完成前两步即可 jdk1.65 漏洞代码 开始配置 tomcat完成前两步以后,运行 访问http://localhost:8080/,显示下图表示安装成功 然配置漏洞代码,下载源码后更改/samples/web/pom.xml <version>1.2</version添加一行这个即可 在IDEA
shiro升级到shiro-1.7.1
m0_67402914的博客
08-24 2151
5、取消方式是,在shiro.xml中增加id=sessionManager的标签配置,关闭sessionIdUrlRewritingEnabled,为了时配置生效,还需要在securityManager中,增加sessionManager的配置。4、注意,shiro升级后,可能会因为URL上拼了JSESSIONID信息,导致请求重定向时,第一次重定向报错的问题。(我遇到的是登录时候,首次登陆会失败,第二次则正常),所以,需要配置shiro取消拼接JSESSIONID的功能。
Shiro-721反序列化漏洞
一醉一休的博客
10-19 5797
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞Shiro的反序列化漏洞有Shiro-550与Shiro-721。
【笔记】springBoot快速 整合shiro-redis和thymeleaf
深渊码头
01-26 3511
在spring boot时代的我们,要站在巨人的肩膀上快速实现springboot整合shiro-redis功能
Shiro反序列化漏洞(Shiro-550、Shiro-721)
begefefsef的博客
04-22 3094
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
【Java反序列化】Shiro-550漏洞分析笔记
最新发布
网络安全从业者的学习笔记
01-29 1716
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
`shiro-redisson` 模块就是为了解决这个问题,将 Shiro 的缓存(Cache)和会话(Session)管理功能与 Redis 结合,实现了基于 Redis 的分布式解决方案。 1. **Redisson 库的介绍** Redisson 是一个全面的 Redis ...
从环信拉取消息记录,写入本地数据库
泽漆
03-31 3989
明天补上内容
tag文件实现分页
泽漆
04-30 2609
JSP文件顶部引用 tags文件是个目录,指向的可能是tld文件也可能是多个tag文件存在的目录,多个tag可以写在一个tld文件中,用标识,也可以单独写在一个后缀名是tag的文件中。   下面我们讲一个写在tag文件中的例子 <% int current = page.getNumber() + 1; int begin = Math.max
Servlet形成二维码的输出
泽漆
03-31 1319
先看看二维码的形成代码 publicclassTwoDimensionCodeServletextendsHttpServlet{ privateintw=100; privateinth=100; publicTwoDimensionCodeServlet(){ super(); } publicvoiddestroy(){ super.destroy(); } /*
线程的2种定义形式和2种启动方式
泽漆
03-31 514
明天补上文章内容
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。该漏洞可被用于在目标服务器上执行任意命令,获取敏感信息等。 Shiro-721漏洞是Apache Shiro框架中的一种权限绕过漏洞,攻击者可以通过构造特定的请求,来绕过Shiro框架的权限控制,从而访问未经授权的资源或执行未经授权的操作。该漏洞可被用于获取未经授权的访问权限,访问敏感信息等。 因此,Shiro-550和Shiro-721漏洞的主要区别在于漏洞类型和漏洞影响。建议开发者及时升级Shiro框架版本或者关闭相关功能以避免此类漏洞的风险。同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值