shiro--我的剖析

最新推荐文章于 2024-07-09 17:58:26 发布
最新推荐文章于 2024-07-09 17:58:26 发布
阅读量134 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012112152/article/details/83995548
版权

ehcache.xml是配置缓存的文件
ehcache.xml只被spring-shiro.xml引用了
ehcache是spring框架自带的一个缓存插件 class=“org.springframework.cache.ehcache.EhCacheManagerFactoryBean”>
com.zealfi.zxbFamilyInfo.mgmt.shiro.RetryLimitSimpleCredentialsMatcher:关于password的处理,涉及到了token

1.shiro的配置文件的结构图:
在这里插入图片描述

shiro部分xml配置:

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="authenticator" ref="defineModularRealmAuthenticator" />
        <property name="cacheManager" ref="ehCacheManager"/>
        <property name="realms">
            <list>
                <ref bean="assessorRealm" />
                <ref bean="userRealm" />
            </list>
        </property>
 </bean>
 
<bean id="assessorRealm" class="com.zealfi.zxbFamilyInfo.mgmt.shiro.AssessorRealm"/>

<bean id="userRealm" class="com.zealfi.zxbFamilyInfo.mgmt.shiro.UserRealm">
        <property name="authorizationCacheName" value="kyloan-shiro"/>
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>

其中realms引用的userRealm和assessorRealm是验证用户是否已经登录的类的配置,指定哪个类是用来验证的(这个类实现了shiro提供的接口,验证逻辑需要我们自己来编码具体实现)。由于现在的系统有两类用户,在不同的表中,所以需要提供两个实现类。

2.shiro相关代码的关键处:
subject:主题,话题;学科,科目;
猜想:最初是一个servlet请求,参数经过shiro框架处理,被封装成了subject对象。
ThreadContext.bind(subject);

登录时:
DefaultUsernamePasswordToken token = new DefaultUsernamePasswordToken(assessor.getName(), assessor.getPwd(), “assessor”);//这是shiro的构造方法,assessor是实体类SysAssessor(登录用户)的注解。
subject.login(token);//此处肯定构建了一个SysAssessor对象,并绑定到subject对象。

访问具体接口时:
Assessor assessor = getAssessorInfo();//获取当前登录用户。
public Assessor getAssessorInfo( )
{
Subject subject = SecurityUtils.getSubject( );
return (Assessor) subject.getPrincipal( );
}

Java文件反编译后,方法名没有变化(没有编程注解的名称),所以注解应该是生成了一个对应的配置文件。
反编译并不能让我们看到被框架包装后的代码,因为反编译工具肯定会去掉框架的包装部分,还原出我们最容易阅读的代码。包装后的代码只在class文件中。

ehcache.xml代码片段:

<cache name="passwordRetryCache"
       maxEntriesLocalHeap="2000"
       eternal="false"
       timeToIdleSeconds="300"
       timeToLiveSeconds="0"
       overflowToDisk="true"
       statistics="true">
</cache>

<cache name="AssessorServiceGetSchoolNameBySchoolId"
       maxEntriesLocalHeap="2000"
       eternal="false"
       timeToIdleSeconds="300"
       timeToLiveSeconds="600"
       overflowToDisk="false"
       statistics="false">
</cache>

属性解释:
name : "缓存名称,cache的唯一标识(ehcache会把这个cache放到HashMap里)  
maxElementsInMemory  : 缓存最大个数。
eternal="false"   : 对象是否永久有效,一但设置了,timeout将不起作用。 (必须设置)
maxEntriesLocalHeap="1000"  : 堆内存中最大缓存对象数,0没有限制(必须设置)
maxEntriesLocalDisk= "1000"   : 硬盘最大缓存个数。 
overflowToDisk="false"   : 当缓存达到maxElementsInMemory值是,是否允许溢出到磁盘(必须设置)(内存不足时,是否启用磁盘缓存。)
diskSpoolBufferSizeMB  : 这个参数设置DiskStore(磁盘缓存)的缓存区大小。默认是30MB。每个Cache都应该有自己的一个缓冲区。 
diskPersistent="false"  : 磁盘缓存在JVM重新启动时是否保持(默认为false)
timeToIdleSeconds="0"  : 导致元素过期的访问间隔(秒为单位),即当缓存闲置n秒后销毁。 当eternal为false时,这个属性才有效,0表示可以永远空闲,默认为0
timeToLiveSeconds="600"   : 元素在缓存里存在的时间(秒为单位),即当缓存存活n秒后销毁. 0 表示永远存在不过期
memoryStoreEvictionPolicy="LFU" : 当达到maxElementsInMemory时,如何强制进行驱逐默认使用"最近使用(LRU)"策略,其它还有先入先出FIFO,最少使用LFU,较少使用LRU
diskExpiryThreadIntervalSeconds :磁盘失效线程运行时间间隔,默认是120秒。
clearOnFlush   : 内存数量最大时是否清除。

@Cacheable(value = “AssessorServiceGetSchoolNameBySchoolId”, key = “#schoolId”)//注解类所属包org.springframework.cache.annotation
public String getSchoolNameBySchoolId(Long schoolId) {
DicSchoolInfo school = schoolMapper.selectByPrimaryKey(schoolId);
if (school != null) {
return school.getName();
}
return “”;
}

shiro的缓存配置(如:passwordRetryCache)和spring其他的缓存配置(如:AssessorServiceGetSchoolNameBySchoolId)都在ehcache.xml中

spring-shiro.xml中引用ehcache.xml
<!-- 使用ehcache缓存 -->
<bean id="ehCacheManagerFactory"
      class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
    <property name="configLocation" value="classpath:settings/ehcache.xml"/>
</bean>

web-servlet.xml中引用ehcache.xml(ehcache.xml在setting文件夹中)
<!-- 子容器读取配置文件(无法与父容器共享) -->
<context:property-placeholder location="classpath:settings/*.properties" file-encoding="utf-8" ignore-resource-not-found="false" ignore-unresolvable="true"/>
若山06
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro详细分析
秋实先生的博客
10-28 354
What shiroapache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于springshiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业...
shiro-1.9.0版本jar包
05-10
对于源码分析,可以深入理解Shiro的工作原理,有助于定制化开发和扩展。同时,可以参考官方的示例代码或社区的实践案例,快速上手并解决实际项目中的安全问题。 总之,Apache Shiro-1.9.0版本作为一个全面的安全...
深度剖析spring+shiro认证机制
m47838704的专栏
04-02 377
引言 项目中使用了shiro作为用户认证、角色管理、权限管理等,使用起来还是特别方便的,开发者只需要SecurityUtils.getSubject()获取subject就可以实现登录,以及权限验证。这样大大简化了开发者的功能,但是也有点让开发者感觉好奇,shiro是如何做到的呢。 本章将会对shiro的认证机制进行深入剖析,由于从官方文档以及其他的一些博客对shiro的使用都做了详细的说明,...
shiro框架的详细配置及使用
码畜
04-15 904
1.web.xml文件的配置 <!--Shiro过滤器 --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> &...
Shiro进阶(三)Shiro之缓存和会话管理
jwang的博客
05-13 1505
前言 本章讲解shiro中缓存和会话的管理 方法 1.概念 在之前的例子中我们发现,我们每一次访问需要一定权限的url是,程序将自动的去数据库中查询所需要的角色权限信息,一旦我们的菜单和按钮上写入的控制太多,那么将对应查询很多次数据库。 上面显示,我们每次访问需要权限的页面都需要去数据库查询相应的角色和权限。 为了避免上面的问题,我们可以配置shiro的缓存。 2.s...
Shiro原理剖析
romantic_PK的专栏
08-09 6311
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证、授权、企业会话管理和加密。相比spring security框架更简单灵活,spring securityspring依赖较强。shiro可以实现web系统、c/s、分布式等系统权限管理。 Shiro完整架构图,如下图: 核心组件: Sub...
SpringBoot整合shiro-spring-boot-starter
xiyafei122的博客
08-12 1197
shiro
【Java反序列化】Shiro-550漏洞分析笔记
qq_48201589的博客
01-29 1653
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
Shiro反序列化漏洞(Shiro-550、Shiro-721)
begefefsef的博客
04-22 3079
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
Shiro-550 漏洞分析
whojoe的博客
06-06 2837
Shiro 550 漏洞学习漏洞原理环境搭建本地环境远程tomcatidea本地tomcat 漏洞原理 在 Shiro <= 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 shiro 会将我们的 cookie 信息序列化并且加密存储在 Cookie 的 rememberMe字段中,这样在下次请求时会读取 Cookie 中的 rememberMe字段并且进行解密然后反序列化 由于 AES 加密是对称式加密(Key 既能加密数据也能解密数据),所以当我
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。...此外,源码分析还能帮助开发者发现潜在的性能瓶颈和优化点,提升应用的安全性和效率。
shiro-master.zip
06-03
通过阅读和分析这些源码,我们可以理解Shiro的工作原理,学习如何自定义Realm以连接不同的数据源,如何配置和使用Filter进行Web安全控制,以及如何实现更复杂的权限管理策略。此外,对于想要扩展Shiro功能或解决特定...
shiro-web-master.zip
08-21
通过分析和运行这个项目,你可以更直观地理解Shiro的用法。 总的来说,"shiro-web-master.zip"的学习资源涵盖了ShiroWeb开发中的核心应用,包括用户身份验证、授权策略、密码加密、Redis缓存的使用,以及如何在...
shiro-rbac-system-master.zip
12-05
**文件列表分析** 虽然没有具体的文件内容,但从文件夹名"shiro-rbac-system-master"可以推测,这个压缩包可能包含以下部分: 1. **源代码文件**:包括Java类、配置文件等,展示了如何集成ShiroSpringBoot,以及...
SpringSecurity认证逻辑源码分析
qq_43676797的博客
07-07 563
类。
SpringBootV12和mybatis全部知识点
最新发布
近日终于有时间好好回顾下一些作品了,有帮助的好好看就行
07-09 946
框架: 快速开发项目的一个架子sshssmspring --> applicationContext.xml配置文件(spring不是业务层,是管理其他框架的)springmvc --> springmvc.xml配置文件 (对应之前servlet)mybatis —> mybatis-config.xml配置文件(对应之前jdbc)—> springboot优化了之前的框架配置,思想是约定大于配置注意:根据网络状况,可能会提示无法连接。如果不能连接,使用http://start.springboot.io
springboot基于Java的超市进销存系统+ LW+ PPT+源码+讲解
u014445459的博客
07-06 687
操作的多样性也变高了。由此可见,本系统在操作上是可行的。软件测试的方法有好几种,但目前主要采用的是包括以功能为主要测试方向的黑盒测试以及以逻辑为主要测试方向的白盒测试,这是两种不同的测试方法,针对的测试侧重点不同,本课题根据实际需求情况,选择以功能为主要的黑盒测试方法,同时测试是要遵循一定的规则来执行的,一个测试要执行其执行的依据一般是由测试用例来规定的,而测试用例一般是依据需求或说明书来综合制定的,测试在硬件出厂前是十分重要的一个过程,本课题由于时间和精力的关系,选择以实现的功能作为测试要点来进行测试。
springboot项目多模块工程==1搭建
07-06 378
idea springboot 项目多模块工程搭建配置
Spring的核心概念理解案列
tt_love_coding的博客
07-06 269
小结:项目虽小,但是让我体会到了spring核心容器的功能,加深了对它的概念的理解和认识。以及项目编写的一些基本逻辑和结构,对jar包是手动管理的,后面会陆续学习用maven进行jar包管理的,使得开发更加的高效和便捷。com.itTony文件下有dao(实体)层,service(服务)层,编写的2个类(HelloSpring和TestSpring)和applicationContext.xml。在dao层写了个接口(UserDao),对用户名和密码进行bool值的判断。
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值