shiro介绍、配置以及简单测试

最新推荐文章于 2023-04-18 15:06:46 发布
最新推荐文章于 2023-04-18 15:06:46 发布
阅读量134 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408749/article/details/103542521
版权

shiro
Apache Shiro是一个强大且易用的Java安全框架,轻量级、简单易上手,功能强大
Spring security:重量级安全框架,复杂不易上手,功能更强,两者控制权限的粒度不同四大基石:身份验证(Authentication)、授权(Authorization)、密码学(Cryptography)、会话管理(SessionManagement)RBAC(Role-BaseAccessController):基于角色的访问控制,用户通过角色与权限进行关联
步骤一:导包

<!--shiro的核心包-->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<!--日志包-->
<dependency>
    <groupId>commons-logging</groupId>
    <artifactId>commons-logging</artifactId>
    <version>1.2</version>
</dependency>

也可以导入shiro-all包,既可以所有关于shiro的包都可以使用
步骤二:配置shiro.ini文件

# -----------------------------------------------------------------------------
# 这个文件中就是咱们的:用户,角色,权限,资源等
# users:代表下面的都是用户
#   root:用户名  123456:密码  admin:角色
# -----------------------------------------------------------------------------
[users]
root = 123456, admin
guest = guest, guest
gu = 123456, it
# -----------------------------------------------------------------------------
# roles:角色
#  admin = * admin角色可以做任何事
#  guest = employee:*  guert角色可以做员工可以做的任何事
#  it = employee:save :it部可以添加员工
# -----------------------------------------------------------------------------
[roles]
admin = *
guest = employee:*
it = employee:save

步骤三:测试

//获取权限工厂
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
//获取权限管理器,所有功能都在权限管理器中
SecurityManager manager = factory.createInstance();
//将权限管理器交给工具管理类,工具类可以直接实现它相应的功能
SecurityUtils.setSecurityManager(manager);
//获取当前用户
Subject subject = SecurityUtils.getSubject();
//判断用户是否登录
System.out.println("登录:"+subject.isAuthenticated());
//如果没有登录,就让它登录
if(!subject.isAuthenticated()){
    //获取令牌
    UsernamePasswordToken token = new UsernamePasswordToken("root", "123456");
    //登录
    subject.login(token);
}
System.out.println("登录:"+subject.isAuthenticated());
weixin_42408749
关注
shiro安全框架
ne_123456的博客
08-03 791
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。......
shiro配置详解
qq_35731738的博客
03-29 468
1、配置web.xml   &lt;!-- Shiro Filter is defined in the spring application context: --&gt;    &lt;filter&gt;        &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt;        &lt;filter-class&gt;org.sprin...
Apache shiro测试及其原理
hopelgl的博客
11-10 908
shiro介绍 什么是shiro shiro是Apache的一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。它可以实现如下的功能: 1.验证用户 2.对用户执行访问控制,如:判断用户是否具有角色admin,判断用户是否拥有访问的资源权限。 3.在任何环境下使用SessionAPI。例如C/S程序 4.
Shiro简单测试使用
Deeeelete的博客
05-29 498
shiro官网:http://shiro.apache.org/ 一:下载对应文件 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200528194743842.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0RlZWVlbGV0ZQ==,size_16,color_FFFFFF,t_70)![在这里插入图
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 4958
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
shiro 配置
upxiaofeng的专栏
09-07 471
1、web.xml配置<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name
简单介绍简单配置简单的扩展 shiro入门学习手册 共35页.pptx
01-08
5. **扩展性**:Shiro 提供了多种扩展点,如 Web 支持、缓存管理、并发控制、测试工具等。其中,Web Support 使得在 Web 应用中集成 Shiro 更加便捷;Caching 支持缓存用户信息和权限,提升性能;Concurrency 为多...
shiro框架的测试代码
06-28
2. **Shiro配置**:在`shiro.ini`或`shiro.xml`文件中,会配置Shiro的安全设置,如 Realm(认证和授权数据源),以及密码策略、缓存等。 3. **Controller和Service**:代码可能包含`Controller`类,它们处理HTTP...
使用shiro内置的jdbcRealm的测试小例子
04-05
在Eclipse中,导入并运行此项目,你会看到一个简单Shiro测试环境,可以验证用户登录、权限控制等功能是否正常工作。这个例子中可能还包含了用户、角色和权限的示例数据,用于测试目的。 通过JdbcRealm,开发者...
用于测试shiro中自定义Realm的测试代码
04-05
1. `shiro.xml`或`shiro.ini`:Shiro配置文件,定义 Realm、SecurityManager以及其他相关组件。 2. 自定义Realm类:扩展了Shiro的`AuthenticatingRealm`或`AuthorizingRealm`,实现认证和授权逻辑。 3. 测试类:...
springBoot+shiro简单测试mvc项目
11-14
**Shiro框架介绍** Apache Shiro是一个强大且易用的Java安全框架,执行身份验证(登录)、授权(权限)、会话管理和密码加密等安全功能。Shiro与Spring不同,它不关注企业级服务,而是专注于应用程序的安全管理,...
909422229__结合SSM框架讲解Shiro案例 Shiro Demo
要有梦想,即使遥远
09-12 4025
本教程结合SSM(SpringMVC + Mybatis)框架讲解ShiroShiro是 Java  的一个安全框架。我们经常看到它被拿来和 Spring  的 Security  来对比。),讲解的内容有自定义Shiro拦截器,Shiro Freemarker标签,Shiro JSP标签,权限控制讲解,并提供Shiro Demo下载。 Shiro Demo环境准备 开发工具
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-18 561
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
Apache Shiro权限绕过漏洞(CVE-2022-32532)
weixin_54438700的博客
12-15 2799
Shiro是Apache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
Apache Shiro 身份认证绕过漏洞CVE-2022-32532
qq_24380005的博客
07-01 1907
Apache Shiro官方与6月28日修复了一个身份认证绕过漏洞CVE-2022-32532,漏洞内容为当在Apache Shiro中使用RegexRequestMatcher进行权限配置并且配置的正则表达式中存在”.”时,可以通过构造恶意数据包的方式绕过身份验证,导致权限控制失效。官方描述 漏洞修复版本 Apache Shiro < 1.9.1目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。 将Apache Shiro版本升级到1.9.1及以
shiro反序列化漏洞问题详细版(附带最新通告)
槐序二十四的博客
04-12 2100
首先道个歉,实在手里活太多,直接给各位我附上我的公众号发布的地址吧。 我司因使用shiro网站被查封!(修改版) 然后这是最新通告 Apache Shiro 身份认证绕过漏洞最新通告!再次升级至1.7.1 本人手里的活儿太多了,就犯懒了,没及时在CSDN发布,就先这样吧。抱歉了各位,改天我再发到我的博客中。 ...
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7279
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
基于微信小程序的新生报到系统设计与实现.docx
最新发布
09-13
基于微信小程序的新生报到系统设计与实现.docx
Apache Shiro入门教程:简单介绍配置
4. **加密(Cryptography)**:Shiro封装了复杂的加密算法,提供了一套简单易用的API,包括密码加密、消息摘要等,确保敏感数据的安全性。 5. **单点登录(Single Sign-On, SSO)**:Shiro支持单点登录功能,用户在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值