shiro目前问题记录

最新推荐文章于 2024-07-19 08:29:58 发布
最新推荐文章于 2024-07-19 08:29:58 发布
阅读量140 收藏
点赞数
分类专栏: shiro安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011066470/article/details/117432376
版权

1.springboot整合shiro基于角色实现认证和授权中,前端页面必须写死判断吗,新增一个角色,还得修改前端页面?

问题描述:新增了一个角色guest,在数据库进行了添加,则页面<shiroLhasAnyRoles name="user,admin,guest"> 重新修改部署吗?

菜单权限中,user:add:* 表示有添加操作,假设数据库进行了修改 ,user:addsss:* ,则页面也得该为<shiro:hasPermission name="user:addsss:*"> 重新修改部署吗?

答案:没办法,约定俗成的东西

2.基于资源实现认证和授权,前端页面怎么怎么写的?

个人想法是:认证通过后,返回个前端json串的状态码,前端根据是否成功,跳转到制定页面,如index.jsp页面,当跳转到index.jsp页面,就从后端加载需要的菜单信息。

在index.html页面的index.js文件

 

 

 

 

3.登录成功,进入主页面(A1),将这个主页面在浏览中再打开一个(A2),在A2中点击退出按钮,此时在A1中点击请求后端的链接,则也会自动退出到登录页面。

4.未登录的用户,想要访问系统中任意一个需要登录成功的才能访问的页面,需要在shiroConfig类中通过setLoginUrl方法设置制定跳转的页面。一般是login.html

 

 

 

 

 

 

 

 

 

 

健康平安的活着
关注
专栏目录
Shiro相关问题学习记录
秋实先生的博客
10-22 199
Apache Shiro一个Java安全框架,执行身份验证、授权、密码和会话管理。 三个核心组件:Subject, SecurityManager 和 Realms.
记录一些spring-shiro问题
qq_34190503的博客
05-01 243
首先设计用户权限相关的:总共有用户、角色、权限、用户组、用户角色关系、用户用户组关系、权限关系。理解:1.一个用户可以有多个角色,一个角色可以被多个用户拥有,多对多关系拆分到用户角色关系。2.一个用户可以属于多个用户组,一个用户组可以有多个用户,多对多关系拆分到用户用户组关系。3.一个权限可以有多个用户、角色或者用户组,一个用户、角色或者用户组可以有多个权限,拆分到权限关系。如图(请忽略作图水平,...
关于shiro的默认filter的第二次请求”免“验证
青语的博客
08-28 1246
写在前面 这是我开始整理自己前面所遇到的问题所写下的笔记,希望遇到相同问题的你,能够得到些许帮助,可能会有很多不完善的地方,也希望大家给予指正,谢谢! 问题:在shiro第一登录成功以后,用户在第二次进行请求时 前提:这块的知识点时Shiro使用DefaultWebSecurityManager 所操作的用户认证 情景:用户通过Login.do提交过来的User何password,组装为toke...
shiro保持一个用户在登录状态,再重新再次登录
m0_37626203的博客
05-08 4538
shiro登录是用过滤器来验证的。那么,我们本身是不用写登录(login)的业务需求的。 当我们第一次登录的时候,都是走完整个流程也就会对了。但是,如标题所示,保持shiro逻辑不变的话,重新登录,两种结果: 1.当不配置login接口的话,进入404页面。 2.当配置login接口的话,能正确走完流程,只是,二次登录会进行两次登录校验。 现在,有个方法能很好的解决这个问题: 重写:is...
SpringBoot(42) —— Shiro请求授权实现
Jzandth的博客
10-05 792
1.Shiro请求授权实现 现在我们的两个连接add和update都只是要求用户认证认证之后就可以正常访问了,但是在真实业务中资源除了和认证挂钩之外,还与授权有关,对于有些资源,只有你拥有对应的角色你才能去访问,否则你没有权限去访问 在spring security中你只需要在自定义的config类中configure(HttpSecurity http)方法中调用 http.authorizeRequests()方法就可以实现对某一资源的授权访问 在shiro中,对于资源的授权管理通过使用过滤器实现,
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
shiro动态的菜单项加载
yuhui666666的博客
12-22 2296
  shiro动态的菜单项加载   ChainDefinitionSectionMetaSource,本质就是对所有角色菜单遍历,即角色菜单的双重遍历,实现菜单和角色的对应关系         package com.houbank.incoming.web.shrio;   import com.alibaba.dubbo.config.annotation.Refere...
Shiro框架学习记录(一)
了不起的自己
02-21 219
Shiro 框架了解并记录 学习于https://www.infoq.cn/article/apache-shiro/
shiro
开心就好
05-21 6087
shiro学习笔记 摘要 springboot-shiro Springboot + shiro权限管理。这或许是流程最详细、代码最干净、配置最简单的shiro上手项目了。 一、Shiro简介 Apache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境, 也可以用在 JavaEE 环境。• Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 二、功能简介 Authentication:身份认证
Shiro 入门教程 - Shiro 拦截器机制
最新发布
smart_an的专栏
07-19 748
Shiro 使用了与 Servlet 一样的 Filter 接口进行扩展;NameableFilter 给 Filter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;
Springboot整合shiro_springboot shiro,程序人生
m0_60567881的博客
04-18 488
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
PHPER转JAVA记录篇-spring boot+shiro+jwt+redis
Leo.xie的博客
06-19 7466
spring boot + shiro + jwt + redis一、场景描述1、前言2、模拟逻辑(纯属杜撰)3、JWT如何配合shiro来完成权限二、度娘告诉我们的做法1、每次都需要登录 一、场景描述 1、前言 基于上一篇spring boot 整合shiro,当时想把shiro引入到我们的spring boot中,引入完了之后,我发现一个问题,那就是shiro是基于session的。那么我是不是可以引入到接口来做呢?比如我们的会员系统,会员分为好几个级别【白银、黄金、铂金、钻石、星耀、王者、荣耀王者】,
SpringBootSecurity与Shiro
Dary_whut的博客
05-03 723
SpringSecurity环境搭建 1. 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考
Shiro——授权
下半夜的风
10-28 212
在实际项目中,每一个用户角色登录进系统看到的菜单可能会不一样,这样就涉及到了用户权限的问题Shiro也是目前常用的权限框架。 源码下载 一、授权方式 shiro支持三种授权方式: 1、编程式(基本不用):通过写if/else授权代码块完成。 2、注解式:通过在执行的Java方法上防止相应的注解完成,没有权限将抛出相应的异常。 3、JSP标签:在JSP页面通过相应的标签完成。 二、默...
权限管理系统中功能权限&数据权限以及权限模块的实现
健康平安的活着的专栏
06-17 8024
一 数据权限的概述 二 数据权限的操作步骤 2.1 思想 数据权限的控制是通过部门的菜单展示来实现的。 2.2 用到数据权限的地方 1.用户添加时候,选择部门的下拉框 2 部门管理的列表 3.角色管理,新增弹框页面,选择部门的树状菜单 2.3 部门管理中部门列表的数据权限 2.3.1 . controller层加载部门列表,加载全部部门信息 2.3.2. sevice层逻辑:将当前登录用户所拥有的部门id设置成查询部门列表的where的筛选条件 ...
Md5+salt实现用户加密
健康平安的活着的专栏
05-29 4431
一.md5 1.1 作用 一般用来进行加密或者签名 特点:md5内容不可逆,相同的内容不论执行多少次,md5加密算法生成的结果都是一致的。 结果:生成的结果是一个32位的16进制字符串。 二 md5+salt salt说白了就是随机的字符串 2.1 md5+salt的使用 注册时md5(输入明文密码+随机盐字符串)生成加密密码p1,随机盐字符串r,都存储到数据库中。 登录时通过用户名查询该用户对应的加密密码p1和随机盐字符串r,按照注册时生成的规则:md5(输入明文密码+随机盐字符串)=p
springboot 处理xss攻击的方法
健康平安的活着的专栏
06-23 4317
一 xss 1.1 介绍 xss:cross site script :跨脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如: 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 然后在页面中,通过一个div将其显示出来。 1.2 解决办法 应对XSS攻击的其中一个方式..
springboot整合applicationContext实现上下文获取实例bean
健康平安的活着的专栏
05-31 1105
一.工程结构 1.1 工程结构 、 1.2 逻辑流程 1.先用注解@component将ApplicationContextUtils放到ioc容器中 2.在使用的类中进行引用。 二 操作案例 2.1 将application实例化放到ioc容器中 package com.ljf.spring.boot.demo.util; import org.springframework.beans.BeansException; import org.springframework.cont
Apache Shiro 安全框架教程
Apache Shiro一个 Java 安全框架,目前越来越多的人使用它,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值