记一次shiro升级版本,1.3.0——>1.10.0,登录失败的问题

已于 2024-07-30 13:57:23 修改
阅读量235 收藏
点赞数 2
文章标签: 安全
于 2024-07-30 11:04:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42045233/article/details/140789493
版权
问题:

因shiro低版本出现漏洞,所以需要把1.3.0版本升到1.10.0版本,但是升级完版本后发现登录不上,用户名或密码错误。

原因:

发现是不同版本的源码还是有所区别的。

1.3.0版本的

    protected DataSource dataSource;
    protected boolean permissionsLookupEnabled = false;
    protected JdbcRealm.SaltStyle saltStyle;

info = new SimpleAuthenticationInfo(username, password.toCharArray(), this.getName());
    if (salt != null) {
        info.setCredentialsSalt(Util.bytes(salt));
    }

1.10.0版本的

    protected DataSource dataSource;
    protected boolean permissionsLookupEnabled = false;
    protected SaltStyle saltStyle = SaltStyle.NO_SALT;
    protected boolean saltIsBase64Encoded = true;

info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName());
            
    if (salt != null) {
        if (saltStyle == SaltStyle.COLUMN && saltIsBase64Encoded) {
            info.setCredentialsSalt(ByteSource.Util.bytes(Base64.decode(salt)));
        } else {
            info.setCredentialsSalt(ByteSource.Util.bytes(salt));
        }
    }

关键在于JdbcRealm这个类上,生成的盐不同,导致密码加密结果不同,从而密码对不上。

1.10.0版本多了saltIsBase64Encoded这个编码判断,默认为true,所以,他会默认给盐base64编码一次,而1.3.0版本并没有这个判断,所以会导致盐不同,使得密码不同。

解决方案:

直接简单粗暴把saltIsBase64Encoded这个值赋为false,使得适配1.3.0的密码。

    @Autowired
    private JdbcRealm jdbcRealm;

    @PostConstruct
    public void setSaltIsBase64Encoded() {
        jdbcRealm.setSaltIsBase64Encoded(false);
    }

zz1z23z
关注
01.Shiro配置
qq_56403015的博客
11-05 230
shiro前期准备
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
Shiro升级到1.7.x
m0_67393342的博客
03-28 865
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
springboot2.7+shiro1.13升级springboot3.1
最新发布
jshuze的博客
08-16 215
1、jdk从1.8升到17,我是从oracle jdk1.8改成了Adoptium.jdk-17,基本没有影响。(1)servlet的包名从javax改为了jakarta,只是包名修改,其它没有影响。(2)有用到它的Md5Hash类的,需要改一下,换成SimpleHash。(1)pom修改,由于直接2.0中很多包依然还是引用javax.servlet,因此大概调成这样。5、其它的暂时没发现什么,看着好像也没改啥,但还是折腾了半天,累死个人……3、shiro的修改,我是从1.13升级2.0.1。
shiro升级shiro-1.7.1
zhuimenghou的博客
07-20 3034
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
shiro1.4.0升级1.10.0方案
weixin_50167266的博客
08-14 1726
ERROR 500.jsp[148] - Filtered request failed. javax.servlet.ServletException: Filtered request failed.
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6816
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
shiro升级quartz到2.1.6版本
nonobabaya的博客
07-20 1438
在做老司机的项目时,spring使用的是4.2.1版本shiro用的是1.2.3,但是,spring扩展中 spring-context使用的quartz2的版本, 而shiro到现在还是使用的quartz1.6.1版本,所以,把spring降下来是不可能了,因为很多扩展都给予spring4,所以想把shiro升上去 是最好的解决方法,综合了网上升级spring的方法,使用以下方式升级shi...
Shiroshiro-all-1.10.0.jar)
10-13
Shiroshiro-all-1.10.0.jar)
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例 ...该示例可以帮助开发者更好地理解 SpringBoot 和 Shiro 框架的整合,并且提供了一个基于 SpringBoot 和 Shiro 框架的密码加密和登录失败次数限制的解决方案。
Apache shiro1.10.0依赖
10-25
Shiro 1.10.0 版本是该框架的一个稳定版本,包含了自上个版本以来的一些改进和新特性。 1. **认证**:在Shiro中,认证是指验证用户身份的过程。Shiro提供了一个简单的API,允许开发者设置用户名和密码,然后通过...
shiro1.7.1.zip
03-25
shiro-1.3.2也可顺利升级shiro-1.7.1。内含shiro-1.7.1相关依赖包,要求jdk1.8
shiro-1.2.3所有依赖包以及源码
09-30
apache shiro 所有依赖包以及源码。
shiro所有版本jar
04-03
shiro所有的jar包 还有跟cas集成的jar包 以及shiro官网的jar下载地址
shiro1.6版本
09-07
在本文中,我们将深入探讨Apache Shiro 1.6版本的重要更新,以及它如何修复了一个绕过认证的严重漏洞。 Apache Shiro 1.6.0 版本于2020年8月17日正式发布,这个版本主要是为了提升安全性,修复了之前版本中存在的...
shiro 升级 quarz 2.2
Hi, Sun
03-23 247
http://nonobaba.iteye.com/blog/2312468
shiro版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 2004
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库中查找到)出现的问题shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
shiro1.10.0 升级排坑日志
冰剑的专栏
10-16 3092
shiro1.10.0 升级排坑日志
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值