Apache Shiro
圣斗士Morty
Java开发者,技术学习爱好者,费曼技巧学习法践行者
展开
-
Shiro————核心设计思想
引言以此篇博客为引,开启一个新的专栏分类——Shiro。之前在工作中有比较快速的学习过Shiro安全框架,但经过一年的荒废,已经不是很熟悉了,通过这个系列,深入研究和学习Shiro的一些知识,填补安全管理方面的知识漏洞。使我们在web 开发领域更具竞争力,不做只会CRUD的程序员!一、Shiro介绍Shiro是一个Java安全框架,执行身份验证、授权、密码、会话管理。Shiro是A...原创 2019-09-14 12:01:43 · 26019 阅读 · 10 评论 -
Web应用安全————账号冻结与 Session 实时失效
引言开篇时说些题外话,最近刚刚被公司CY,不过很快找到了下家,也同时拿到了三家公司的Offer。一周面试下来,总体感觉面试题少了,不过多了上机程序题。新公司是做外包,不过相比于上一家公司,也算是因祸得福,有新的东西学习,也有更多的工作等待我去完成,比较于之前的闲的蛋疼和打杂的活,对我的个人技术磨炼应该是有百利而无一害。所以,非常庆幸公司把我CY。刚入职的第三天,开通Git账号的第二天,临时...原创 2019-09-21 13:09:32 · 1317 阅读 · 2 评论 -
Web应用安全————Shiro 解决会话固定漏洞
引言承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定?简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...原创 2019-09-21 19:40:22 · 2834 阅读 · 3 评论 -
Web应用安全————多点登录互斥
引言在实际生活中,很多网站都做了多点登录互斥的操作,简单来说就是同一个账号,只能在一台电脑上登录,如果有人在其他地方登录,那么原来登录的地方就会自动下线,再进行操作就会弹出登录界面。实现思路在《Web应用安全————账号冻结与 Session 实时失效》中,我们通过map 来维护一个全局的“用户名 - Session Id” 关系,这样,就可以方便的根据用户名来找到此用户的Sessio...原创 2019-09-22 10:01:45 · 2581 阅读 · 0 评论 -
Shiro————会话管理
引言本篇博客翻译自Shiro 官方网站的 Session Manager 手册。网页地址:http://shiro.apache.org/session-management.htmlShiro 会话管理支持的特性基于POJO/J2SE(IoC容器友好的)- Shiro 中的所有东西都是基于接口的,而且是以 POJO作为实现。因此你可以很容易地配置所有兼容 JavaBean 的会话...翻译 2019-09-22 18:33:09 · 399 阅读 · 0 评论