apache shiro怎么升级_Shiro框架:认证和授权原理

最新推荐文章于 2024-08-16 16:45:27 发布
最新推荐文章于 2024-08-16 16:45:27 发布
阅读量179 收藏
点赞数
文章标签: apache shiro怎么升级 shiro session shiro原理 shiro框架 执行存储过程授权

优质文章,及时送达

前言

Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍:

  • Shiro可以做什么?、

  • Shiro是由什么组成的?

  • 举个Shiro的例子呗?

  • Shiro认证的原理是咋样的?

  • Shiro授权的原理是咋样的?

1. Shiro可以做什么?

在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点:

  • 用户认证— 用户身份识别。得知道来的人是谁;
  • 用户授权— 用户权限访问控制。得知道来的人有没有资格进来,又不是“我家大门常打开”;
  • 密码加密— 加密敏感数据,防止被偷窥。就像是家里上锁,上几把锁,原子锁还是电子锁?
  • 会话管理— 与用户相关的时间敏感的状态信息。类似于阅后即焚的信件。

Shiro支持以上的功能,而且它提供的API可以帮助我们很容易就开发出足够好的应用。Shiro具备认证、授权、加密、会话管理、集成Web、缓存等功能,相当好用。

2. Shiro是由什么组成的?

下图是Shiro的架构图:

RzEQHQ2DfK5OPc

可以看出来,Security Manager是Shiro的核心,连认证、授权、会话管理等都是在这里面执行的。接下来我们来看看这些组件分别是做什么用的:

  • Subject:主体,可以是用户或程序,主体可以访问Security Manager以获得认证、授权、会话等服务;
  • Security Manager:安全管理器,主体所需的认证、授权功能都是在这里进行的,是Shiro的核心;

    • Authenticator:认证器,主体的认证过程通过Authenticator进行;

    • Authorizer:授权器,主体的授权过程通过Authorizer进行;

    • Session Manager:shiro的会话管理器,与web应用提供的Session管理分隔开;

    • Session DAO:通过Session DAO管理Session数据,针对个性化的Session数据存储,需要使用到Session DAO;

    • Cache Manager:缓存管理器,主要对Session和授权数据进行缓存。因为这些数据不怎么改变,为了提高访问速度选择将其缓存起来;

    • Realm:域,可以有一个或多个域,可通过Realm存储授权和认证的逻辑;

  • Cryptography:密码管理,Shiro提供了一套加密/解密的组件,如MD5散列算法等。

3. 举个Shiro的例子呗?

笔者采用Shiro官网给的例子,来梳理Shiro认证、授权的过程:

shiro.ini

创建一个文件shiro.ini,其功用相当于Realm。shiro默认使用的也是IniRealm:

# =============================================================================
# Tutorial INI configuration
#
# Usernames/passwords are based on the classic Mel Brooks' film "Spaceballs" :)
# =============================================================================

# -----------------------------------------------------------------------------
# Users and their (optional) assigned roles
# username = password, role1, role2, ..., roleN
# -----------------------------------------------------------------------------
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darklord, schwartz
lonestarr = vespa, goodguy, schwartz

# -----------------------------------------------------------------------------
# Roles with assigned permissions
# roleName = perm1, perm2, ..., permN
# -----------------------------------------------------------------------------
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5

在上面这串代码中,已经给出了用户和角色信息。root = secret, admin表示,用户名为root,密码是secret,角色是admin;**schwartz = lightsaber:**表示角色schwartz拥有权限lightsaber:

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class Tutorial {

private static final transient Logger log = LoggerFactory.getLogger(Tutorial.class);

public static void main(String[] args) {
log.info("My First Apache Shiro Application");

//引用shiro.ini的配置信息
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取SecurityManager安全管理器
SecurityManager securityManager = factory.getInstance;
SecurityUtils.setSecurityManager(securityManager);
// get the currently executing user:
//获取单签主体(用户)
Subject currentUser = SecurityUtils.getSubject;
// Do some stuff with a Session (no need for a web or EJB container!!!)
//获取当前主体的会话
Session session = currentUser.getSession;
session.setAttribute("someKey
weixin_39845220
关注
Apache Shiro_安全框架开发文档
08-10
Apache Shiro是一个强大的Java安全框架,它为开发者提供了一种简单易用的方式来处理认证授权、密码加密以及会话管理等关键的安全需求。这个框架旨在简化应用的安全实现,让开发者可以专注于业务逻辑,而不是复杂的...
有关shiro升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN的好多用户都是上传到博客,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
CVE-2023-22602 CVE-2023-34478 shiro升级1.12.0报错类文件具有错误的版本 61.0, 应为 52.0
tabvla的博客
09-15 734
CVE-2023-22602 CVE-2023-34478 shiro升级 若依框架 类文件具有错误的版本 61.0, 应为 52.0
springboot2.7+shiro1.13升级springboot3.1
最新发布
jshuze的博客
08-16 215
1、jdk从1.8升到17,我是从oracle jdk1.8改成了Adoptium.jdk-17,基本没有影响。(1)servlet的包名从javax改为了jakarta,只是包名修改,其它没有影响。(2)有用到它的Md5Hash类的,需要改一下,换成SimpleHash。(1)pom修改,由于直接2.0很多包依然还是引用javax.servlet,因此大概调成这样。5、其它的暂时没发现什么,看着好像也没改啥,但还是折腾了半天,累死个人……3、shiro的修改,我是从1.13升级2.0.1。
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6816
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
shiro版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 2004
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN的好多用户都是上传到博客,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库查找到)出现的问题:shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
apache shiro怎么升级_你不知道系列之Shiro
weixin_39791386的博客
11-23 611
ShiroApache一款开源产品,它是一款安全框架,它支持多语言开发,而且使用起来比较简单,因此使用的人数也是可观的。我们还知道一款spring开发的框架,SpringSecurity 这款安全框架功能更加强大,但是使用起来相对shiro较复杂。shiro可以开发出比较好的应用 它不仅可以在JavaSE程序使用,也可以在复杂EJB程序使用,还能在WEB程序使用,所以它的应用非常广泛的。s...
shiro-demo_DEMO_shiro_shriodemo_shiro框架demo_shiro前后端分离_
10-04
Apache Shiro 是一款强大且易用的 Java 安全框架,它提供了认证授权、加密以及会话管理功能,能够简化开发人员在构建安全应用程序时的复杂性。本项目"shiro-demo_DEMO_shiro_shriodemo"是一个基于 Shiro 实现的...
Apache Shiro核心jar包:shiro-core-1.3.2
12-07
Apache Shiro是一个强大易用的Java安全框架,提供了认证授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro授权机制,即如何控制用户在应用程序...
最新apache shiro轻量级的安全认证授权框架
04-03
apache shiro轻量级的安全认证授权框架让你快速搭建下型企业安全认证模块
Shiro 的应用
09-11 964
Shiro 的安装 Shiro 的安装非常简单,在 Shiro 官网下载 shiro-all-1.2.0.jar、shiro-cas-1.2.0.jar(单点登录需要),及 SLF4J 官网下载 Shiro 依赖的日志组件 slf4j-api-1.6.1.jar。Spring 相关的 JAR 包这里不作列举。这些 JAR 包需要放置到 Web 工程 /WEB-INF/lib/ 目录。至此
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 3034
1、ssm项目,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
apache shiro 如何升级_Shiro登录认证
weixin_39636099的博客
11-26 1523
我们使用一个springboot+Shiro集成项目来了解一下Shiro在登录认证方面是如何运作的。1、pom依赖添加<dependency> <groupId>org.apache.shirogroupId> <artifactId>shiro-coreartifactId> ...
apache shiro怎么升级_springboot整合shiro 框架
weixin_39659748的博客
11-26 187
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达66套java从入门到精通实战课程分享写这篇文章主要是记录我的学习过程,刚开始在网上找资料的时候,网上的资料很乱。所以自己整合了一个比较简单的shiro的使用方法,shiro是什么、怎么用就不用我在这里详细的讲解了。1.添加依赖 <dependency> <groupId>org....
apache shiro怎么升级_极简教程:Spring Boot 整合 Shiro
weixin_39531992的博客
11-26 493
Shiro 概述Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目,它的主要作用是用来做身份认证授权、会话管理和加密等操作。什么意思?大白话就是判断用户是否登录、是否拥有某些操作的权限等。其实不用 Shiro,我们使用原生 Java API 就可以完成安全管理,很简单,使用过滤器去拦截用户的各种请求,然后判断是否登录、是否...
make后gcc出现不全_安装篇:Linux CentOS7环境下gcc升级
weixin_39637711的博客
11-02 512
简短介绍大家好,今天给大家分享gcc编译器的升级方法。在linux系统其实已经自带了gcc编译器,但是版本比较低。目前有些开源工具例如:Apache Doris在安装时需要更高版本的gcc 5.3.1+以上版本编译器才能编译c++代码。那么我们就了解下gcc升级方法(从 4.8.5 升级到 10.2.0 )。01—gcc升级步骤1、查看当前gcc版本##看出当前系统gcc版本.默...
在升龙备份方法_再生龙备份还原linux系统
weixin_34297334的博客
12-24 1498
再生龙备份恢复说明:准备两个u盘,一个做再生龙的启动盘,一个做存储镜像文件的盘1.下载再生龙2.下载工具tuxboot制作u启(1)https://sourceforge.net/projects/tuxboot/files/0.8/Windows/3.制作u盘启动盘(1)Clonezilla镜像:clonezilla-live-2.6.1-25-amd64.zip(2)Clonezi...
漏洞复现:CVE-2016-4437 Apache Shiro 反序列化
m_ing
06-28 1404
前言:从今天开始复现漏洞啦 我们首先要知道什么是反序列化呢漏洞呢? 在这里不做解释,建议大家查看反序列化漏洞原理 什么是Shiroshiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类将cookierememberMe字段内容先后进行序列化、AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是: (1)获取rememberMe cookie (2)base64
Apache Shiro安全框架详解:认证授权与架构解析
"Apache Shiro是一个全面的Java安全框架,用于处理认证授权、加密和会话管理等安全需求。它可以应用于JavaSE和JavaEE环境。Shiro的核心组件包括Subject、SecurityManager、Realms,以及相应的配置文件如shiro.ini...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值