shiro

【安全框架】快速了解安全框架

【安全框架】快速了解安全框架 ? 一个有梦有戏的人 @怒放吧德德 ?分享学习心得,欢迎指正,大家一起学习成长! 这篇文章就来说说市面上的安全框架,并没有详细解释。 (安全框架) 说说安全框架 什么是安全框架?安全框架又有哪些? 简单来说就是对访问权限进行控制,主要是用户认证和权限鉴权。在安全框架 ... »

SpringBoot安全管理之Shiro框架怎么使用

这篇文章主要介绍“SpringBoot安全管理之Shiro框架怎么使用”,在日常操作中,相信很多人在SpringBoot安全管理之Shiro框架怎么使用问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”SpringBoot安全管理之Shiro框架怎么使用”的疑惑有所帮助! »

记一次实战 Shiro反序列化内网上线

Shiro反序列化内网上线 说明:此贴仅分享用于各安全人员进行安全学习提供思路,或有合法授权的安全测试,请勿参考用于其他用途,如有,后果自负。感谢各位大佬的关注 目标:152.xxx.xxx.xxx**目的:**通过信息收集或其他方式寻找到了一枚shiro反序列化的漏洞,并进行了内网渗透测试工作** ... »

Shiro配置Session检测时Quartz版本冲突

项目背景: shiro 1.3 + quartz 2.x  2018-9-11 22:20:35补充: 经过测试,本人发现 ,通过实现 org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler  同样能解决相关问题,具体原因正在查找. 利用该类进行实现则不必自定义了.完整配置如下:(异同部分已高亮) <!- »

shiro登录步骤源码分析

关于 shiro登录,大多数人应该知道是通过securitymanager调用reaml来实现的。那到底是怎么具体来进行的呢?通过源码来看一哈,这里我是结合spring来做的登录; shiro-1.2.3: 1.登录代码 Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 第一句代码是得到 »

shiro添加CAS单点登录

目的 已有一个通过shiro控制的系统,现在希望系统接入CAS单点登录。 单点登录使用CAS认证协议,CAS服务端已经存在,该系统作为CAS客户端接入 仍然保留原系统登陆页面,只有当通过一个特定单点登录链接访问时,才走单点登录流程 这里有点像很多网站都提供的通过XXX登录的按钮。所不同的是,我这里不在页面展现,只是一个URL 如果单点登录的用户在系统中不存在,则直接跳转到系统默认的登陆页面 »

Maven配置Spring+Hibernate Shiro权限控制项目

     前言:在Eclipse中安装好Maven插件,然后创建一个Sample项目。在Eclipse中检出Shiro的官方演示样例。地址http://svn.apache.org/repos/asf/shiro/trunk/samples/。參考spring-hibernate项目配置。 因为之前对Maven的认识不足所以今天专门配置来了解其工作机制,以下是我依照SVN上配置的演示样例。 1. »

原创: shiro的token jwtUtils加解密工具包源码

  添加依赖pom.xml <!-- JAVA代码生成JWT--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <ve »

Apache Shiro 使用手册(三)Shiro 授权

安全框架Shiro  授权即访问控制,它将判断用户在应用程序中对资源是否拥有相应的访问权限。 如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。 一、授权的三要素 授权有着三个核心元素:权限、角色和用户。 权限 权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良 »

Shiro学习(一)——Shiro简介

    Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。     本教程只介绍基本的Shiro使用, »

Shiro简介(一)

1.shiro是一个安全验证框架,可以完成认证、授权、加密、会话管理、与Web集成、缓存等。   Authentication:身份认证/登入 Authorization:权限验证。粗粒度权限指对某一类具有权限,细粒度权限指对某一类中的某一个具有权限。 Session Management:会话管理,就是用session来保存用户信息 Cryptography:加密,不用明文存储,保护数据的安全 »

shiro系列9:基于前端的权限控制和基于后端的权限控制

问题描述: 如何让前端的某个按钮在用户拥有该按钮的权限时才显示?如何让后端的某个接口在用户拥有该访问的权限时才可以访问?   解决方法: 基于前端的权限控制:前端某个按钮的隐藏或显示可以通过shiro的页面标签来控制,当用户拥有该权限时,我们就让该按钮显示,否则隐藏; 基于后端的权限控制:后端的某个接口我们可以通过shiro的注解来控制是否允许访问,当用户拥有该权限时,我们就允许访问,否则不允许访 »

shiro+redis环境中session错乱问题

1.       问题描述 环境为Spring boot的项目中使用shiro框架(Shiro-Core 为1.6版本)作为会话管理,session存储在redis中,redisSession操作使用的是org.crazycake的shiro-redis。系统登录页面login(),输入用户名、密码,验证成功后进入到默认首页,然后马上点击任一菜单之后,偶尔会发生退回到登录页面的情况。 2.     »

(转)shiro权限框架详解06-shiro与web项目整合(下)

http://blog.csdn.net/facekbook/article/details/54962975 web项目中认证 web项目中授权 shiro缓存 sessionManager使用 验证码功能实现 记住我功能实现 web项目中认证 实现方式 修改CustomRealm 的 doGetAuthenticationInfo 方法,从数据库中获取用户信息,CustomReal »

shiro token 分析

1.ShiroConfig.java 定义匿名用户可以访问的资源   filterMap.put("/webjars/**", "anon");        filterMap.put("/druid/**", "anon");        filterMap.put("/api/**", "anon");        filterMap.put("/sys/login& »

shiro 角色认证授权,权限认证授权

  首先通过用户登录获取到Subject对象,通过里面的一些方法来判断用户的角色. 1.判断是否拥有该角色,返回boolean值   subject.hasRole("role2") 返回一个boolean型 subject.hasRoles(List<String> list)返回一个boolean型数组,通过循环对面一个角色进行判断 subject.hasAllRoles(Lis »

shiro 下解决跨域请求

package com.feige.admin.web.shiro;import com.alibaba.fastjson.JSONObject;import com.feige.common.responce.ResponceStatus;import com.feige.common.responce.RestResponceBody;import org.apache.shiro.web.f »

Shiro -- (一)简介

简介:   Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。     Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个 »

Shiro的Web项目配置(转)

Shiro的Web项目配置 一 shiro的学习 二 shiro的java客户端配置 三 关于权限的一些问题 一 shiro的学习 官网和张开涛博客 二 shiro的java客户端配置 1.在web.xml中配置shiro的过滤器 [java] view plain copy print? <!-- shiro 安全过滤器 -->   <!-- The filter-n »