apache shiro怎么升级_你不知道系列之Shiro

最新推荐文章于 2024-04-17 04:34:27 发布
最新推荐文章于 2024-04-17 04:34:27 发布
阅读量590 收藏
点赞数
文章标签: apache shiro怎么升级

Shiro是Apache一款开源产品,它是一款安全框架,它支持多语言开发,而且使用起来比较简单,因此使用的人数也是可观的。我们还知道一款spring开发的框架,SpringSecurity 这款安全框架功能更加强大,但是使用起来相对shiro较复杂。shiro可以开发出比较好的应用 它不仅可以在JavaSE程序中使用,也可以在复杂EJB程序中使用,还能在WEB程序中使用,所以它的应用非常广泛的。shiro给我们提供了很多功能如认证、授权、会话管理、密码学、web集成、缓存、高并发支持等。具体请看下图。

e5ea1c55aa2889da34d8c249279d59d7.png

Authentication: 认证/登陆。 认证用户是不是拥有相应的身份。

Authorization: 授权验证。即对某个用户进行权限验证,判断该用户是否有某些功能点的权限,也可以细粒度的验证。

SessionManagement: 会话管理。会话即用户登陆一次就是一次会话,会话信息在未退出前或者未过期一直存储在会话信息中。会话可以是javaSE中也可以是WEB中。

Cryptography: 加密密码, 保证数据的安全性。如常见的MD5加密。不过我们使用MD5可能会被反查,还是不够安全的,所以在使用MD5加密密码的时候我们一般会加一个salt代表盐。然后再存储比较进行验证。

WebSupport: 集成WEB环境。

Caching: 对我们访问数据进行缓存。如用户登陆的时候就将用户的信息进行缓存。当我们需要用户用到用户信息的时候直接去缓存获取。能提高访问性能。

Concurrecy: shiro支持多线程并发权限验证。比如在一个线程中开启另一个线程能把权限传递过去。

Testing: 支持测试。

Run As: 允许一个用户访问另一个用户前提是两者之间做了关联。有点像单点登陆的关系,但是笔者没有使用过shiro做单点登陆。对这方面不怎么了解。

RememberMe: 将session信息持久化保存了起来,下次会话不需要登陆。

值得提出来的是shiro不会自己主动去认证用户和授权需要自定义一下类去实现相关业务,然后告诉shiro是否认证成功,是否授权成功。

看了shiro的一些基本功能后笔者带着大家从整个应用的角度来看一下shiro。

46ca27766b8d47d32dbf5f395b62dc6e.png

上图是shiro从应用代码端请求我们的shiro应用,凡是与我们服务应用交互的对象我们都称之为Subject主体。这个主体对象只是接收请求保存一些数据,而每一个主体都是注册到Shiro的SecurityManager中这是Shiro的安全管理器,负责整个Shiro的工作控制模式。它能接收用户请求的信息,能访问Realm进行安全信息比对。Realm其实就是一个安全数据源,它是由开发者们自定义的,用来访问数据库中的安全数据。所以现在我们对shiro的工作模式一目了然吧!

如果还是觉得不够细的话,笔者再引入一张清晰而具体的内部图以供大家观赏。

c445b77ad419fe6737d338549bc29ac1.png

Subject:主体,可以看到主体是任何形式的与应用交互的。

SecurityManager: 安全管理器,它是shiro最核心的处理器,它管理着认证、授权、会话以及缓存。

Cryptography: 它是Shiro加密解密。

Authenticator: 认证器,它是一个可拓展点,如果觉得Shiro默认的认证器不好,可以自定义认证策略。

Authorizer: 授权器或者说访问控制器,判断主体请求是否有权限访问。

Realms: 一个或多个安全实体数据源,因为Shiro并不知道我们的数据,不过我记得Shiro有默认访问了它定义的表。但是一般在应用这我们需要自定义Realms。

SessionManager: 它是用来管理session生命周期的。

SessionDao: 数据会话访问层。用来做CRUD的。

CacheManager: 缓存管理器,比如我们的用户主体,角色,权限都可以缓存起来,提高性能。

我们首先来写一段代码来验证一下Shiro这个安全框架然后我们再去分析它的源码。

package com.xiaohei.test;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.config.IniSecurityManagerFactory;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.subject.Subject;import org.apache.shiro.util.Factory;import org.junit.Assert;import org.junit.Test;import org.slf4j.Logger;import org.slf4j.LoggerFactory;public class ShiroTest { private final Logger log = LoggerFactory.getLogger(this.getClass()); @Test public void testShiro(){ // 构建securityManager安全管理器工厂获取管理器对象 Factory factory = new IniSecurityManagerFactory("classpath:account.ini"); // 获取securityManager实例 SecurityManager instance = factory.getInstance(); // 将SecurityManager实例设置到工具类中 SecurityUtils.setSecurityManager(instance); // 获取认证主体 Subject subject = SecurityUtils.getSubject(); // 构建认证token UsernamePasswordToken token = new UsernamePasswordToken("zhang
weixin_39791386
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro教程
12-30
Apache Shiro 是一个框架,可用于身份验证和授权。Apache Shiro的教程(PDF),相关jar包,源码等。
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 2930
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法
最新发布
2301_79056657的博客
04-17 1342
这个通过观察shiro1.2.4版本的源代码可以发现,如果不指定密钥,shiro会默认一个初始化密钥,该密钥是被硬编码在代码中,由于代码是开源的,攻击者很容易找到该密钥,并且伪造cookie发起攻击。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。注意 这是在使用shiro默认密钥的情况下,如果应用修改了默认密钥则需要保证该密钥不是公开的,并妥善保管防止泄露。
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6698
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
有关shiro升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
shiro低版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 1884
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库中查找到)出现的问题:shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
apache shiro怎么升级_极简教程:Spring Boot 整合 Shiro
weixin_39531992的博客
11-26 396
Shiro 概述Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。什么意思?大白话就是判断用户是否登录、是否拥有某些操作的权限等。其实不用 Shiro,我们使用原生 Java API 就可以完成安全管理,很简单,使用过滤器去拦截用户的各种请求,然后判断是否登录、是否...
Apache_Shiro参考手册中文版_shiro_
10-01
通过阅读《Apache Shiro参考手册中文版》PDF,你可以深入了解每个功能的详细用法,包括如何配置Shiro,如何创建自定义的 Realm,以及如何在代码中使用Subject、Session和Cache等核心概念。手册还会涵盖实际案例和...
Apache_Shiro_reference(中文版)
04-20
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、...通过阅读“Apache_Shiro_Reference(中文版).pdf”,开发者可以深入理解Shiro 的工作原理和使用方法,从而在实际开发中有效地保护应用的安全。
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro 的授权机制,即如何控制用户在应用程序中...
权限系统框架shiro教程
07-10
shiro,权限系统框架,比spring security更加轻量方便的框架。
CVE-2023-22602 CVE-2023-34478 shiro升级1.12.0报错类文件具有错误的版本 61.0, 应为 52.0
tabvla的博客
09-15 636
CVE-2023-22602 CVE-2023-34478 shiro升级 若依框架 类文件具有错误的版本 61.0, 应为 52.0
apache shiro 如何升级_Java安全框架Shiro的授权入门,入门配置细节
weixin_39754603的博客
11-27 553
一、Shiro简介Apache Shiro是一个强大而且易用的Java安全框架,执行身份验证、授权、密码和回话管理。使用Shiro的易于理解的API,我们可以快速轻松地获得任何应用程序,从最小的移动易用程序到最大的网络和企业应用程序。官网:http://shiro.apache.o 二、Shiro授权入门简单的介绍shiro的作用之后,我们接下来就直接进入shiro授权的入门,由于我们学习shir...
apache shiro 如何升级_Shiro登录认证
weixin_39636099的博客
11-26 1449
我们使用一个springboot+Shiro集成项目来了解一下Shiro在登录认证方面是如何运作的。1、pom依赖添加<dependency> <groupId>org.apache.shirogroupId> <artifactId>shiro-coreartifactId> ...
apache shiro 如何升级_Springboot +Shiro +VUE 前后端分离之权限管理系统
weixin_39771351的博客
11-26 1382
点击上方Java开发联盟,选择“星标公众号”优质文章,第一时间送达简介:前后端分离:要实现前后端分离,需要考虑以下2个问题:1. 项目不再基于session了,如何知道访问者是谁?2. 如何确认访问者的权限?前后端分离,一般都是通过token实现,本项目也是一样;用户登录时,生成token及 token过期时间,token与用户是一一对应关系,调用接口的...
Shiro升级到1.7.x
m0_67393342的博客
03-28 815
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
http协议的网站装ssl升级成https
aaa小二
09-27 284
怀着无比激动的心情写此文,因为作为一个前端刚刚踩完此坑成功跨过81难重生!对就是它:https://minihome.top 大家试一下吧。 A.我有什么?我要做什么? 有:一个域名minihome.top+一个云服务器 ECS(且能访问minihome.top)+xshell(连接服务器并运行相关命令)+FileZilla(sftp:也是连接服务器传文件的)这个是辅助我传文件或者查看 做:其实是为了做小程序,所以需要该域名能https访问(小程序要求)。 B.开始安装 步骤1:登上阿里云控制台-
apache shiro怎么升级_Spring Boot 整合 Shiro,两种方式全总结
weixin_39520979的博客
11-26 114
在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题!一般来说,Spring Security 和 Shiro 的比较如下:Spring Security 是一个重量级的安全管理框架;Shiro 则是一个轻量级的安全管理框架Spr...
Apache-Shiro-中文参考文档.docx
07-20
Apache Shiro是一个全面的、易于使用的安全框架,专注于身份验证、授权、会话管理和加密等核心功能。它的设计目标是让安全实现变得简单且直观,避免开发者在处理复杂安全问题时感到困扰。Shiro适用于各种应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值