Apache Shiro 是如何产生的?

最新推荐文章于 2022-04-03 17:03:32 发布
最新推荐文章于 2022-04-03 17:03:32 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: Shiro 文章标签: shiro apache ejb java jvm 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/peterwanghao/article/details/7997189
版权
2003年初,由于缺乏适用于Java应用的全面安全框架,JSecurity项目(后成为Apache Shiro)应运而生。面对JAAS的不足及会话管理和加密方面的挑战,项目旨在提供一个统一的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在2008年加入Apache软件基金会之前,Shiro已经5岁了,之前它被称为JSecurity项目,始于2003年初。当时,对于Java 应用开发人员而言,没有太多的通用安全替代方案 - 我们被Java认证/授权服务(或称为JAAS)紧紧套牢了。JAAS有太多的缺点 - 尽管它的认证功能尚可忍受,但授权方面却显得拙劣,用起来令人沮丧。此外,JAAS跟虚拟机层面的安全问题关系非常紧密,如判断JVM中是否允许装入一个 类。作为应用开发者,我更关心应用最终用户能做什么,而不是我的代码在JVM中能做什么。

由于当时正从事应用开发,需要一个干净、容器无关的会话机制。在当时,“这场游戏”中唯一可用的会话是HttpSessions,它需要Web 容器;或是EJB 2.1里的有状态会话Bean,这又要EJB容器。而想要的一个与容器脱钩、可用于任何环境中的会话。

最后就是加密问题。有时,我们需要保证数据安全,但是Java密码架构(JavaCryptography Architecture)让人难以理解,除非你是密码学专家。API里到处都是CheckedException,用起来很麻烦。需要一个干净、开箱即用的解决方案,可以在需要时方便地对数据加密/解密。

于是,纵观2003年初的安全状况,你会很快意识到还没有一个大一统的框架满足所有上述需求。有鉴于此,JSecurity(即之后的Apache Shiro)诞生了。


Apache Shiro
阿里Darker
05-30 1420
Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli
源码分析Apache Shiro 加密与登录验证
Kenny的博客
07-21 1709
前言 最近项目中用到Shiro安全框架,做加密验证的时候遇到一些问题,网上的多数Shiro的环境搭建只是简单的明文密码匹配,甚至有些文章的注释也不尽正确。在这里通过源码解析来还原真相。 大纲 使用Shiro提供的类进行密码加密 验证用户输入的账号密码的流程 使用Shiro提供的类进行密码加密 Shiro提供了org.apache.shiro.crypto.hash.SimpleH...
Apache Shiro中文开发文档.pdf
12-06
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架应 该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。 以下是你可以用 Apache Shiro 所做的事情:  验证用户来核实他们的身份  对用户执行访问控制,如:  判断用户是否被分配了一个确定的安全角色  判断用户是否被允许做某事  在任何环境下使用 Session API,即使没有 Web 或 EJB 容器。  在身份验证,访问控制期间或在会话的生命周期,对事件作出反应。  聚集一个或多个用户安全数据的数据源,并作为一个单一的复合用户“视图”。  启用单点登录(SSO)功能。  为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的 API 中。 Shiro 视图在所有应用程序环境下实现这些目标——从最简单的命令行应用程序到最大的企业应用,不强制依赖其 他第三方框架,容器,或应用服务器。当然,该项目的目标是尽可能地融入到这些环境,但它能够在任何环境下立 即可用。
shiro初体验(现在工作时间紧,以后有时间再仔细整理)
大气的名字
11-11 179
https://blog.youkuaiyun.com/sidanchen/article/details/79496589   https://blog.youkuaiyun.com/albertfly/article/details/79206385
Apache Shiro 简介
Reka's blog ^_^
07-31 688
背景:最近接触的的项目中有shiro,对它一无所知,干什么用的都不知道,还好有网络的存在,让我能在第一时间找到明确的答案。下面简单介绍一下,这是个什么东东。 一、简介      Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,
shiro授权 shiro和企业项目整合开发
Ly
10-14 1034
如果需要本篇博客内容的代码!请到我的博客下载中心去下载: https://download.youkuaiyun.com/download/qq_36125138/10720415 项目运行图: 什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以...
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 437
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) 复现
yukinorong的博客
06-29 3402
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞。 反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
Apache Shiro保护你的应用[转]
weixin_33895475的博客
05-27 328
为什么80%的码农都做不了架构师?>>> ...
shiro开发(一)
Oeljeklaus的博客
03-29 1207
1      课程目标 通过学习本课程掌握权限管理的设计思想及方法,使用Shiro框架完成权限管理功能开发。   1、  理解基于资源的权限管理方法。 2、  掌握权限管理的数据模型。 3、  掌握不使用shiro开发基于url的权限管理方法。 4、  掌握Shiro进行用户认证的常用方法。 5、  掌握Shiro进行授权的常用方法。 6、  掌握Shiro整合企业应用开发的方法。
Shiro】一、Apache Shiro安全框架简介
KevinBrain的博客
04-01 1020
一、Shiro简介 Apache Shiro(发音为“ shee-roh”,日语为“ castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web和企业应用程序。 Shiro提供了用于执行以下方面的应用程序安全性API(我喜欢将它们称为应用程序安全性的4个基石): 身份验证-证明用户身份,通常称为用户“登录”。 授权-访问控制 密码术-保护或隐藏数据以防被撬 会话管理-每个用户的时间敏
shiro安全框架
qq_45744182的博客
07-21 185
1.shiro是什么 shiroapache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro与传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限之间的关系。(五表:用户表,角色表,权限...
Java帝国之安全争斗
码农翻身
03-19 352
1前言在Java帝国第三代国王的推动下,帝国对臣民们提供了一个叫做Java 认证与授权服务(Java Authentication Authorization Servi...
SpringBoot 札记 ( Shiro入门 )
CSNZのBlog
08-09 194
一:什么是Shiro Apache ShiroJava 的一个安全框架。 不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等 官网:https://shiro.apache.org/ 点击进入Shiro官网 二:基本功能 Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能
shiro框架的基本理解
热门推荐
明天
01-19 1万+
1.简介 shiro是一个安全框架,可以进行认证、授权、密码加密、会话管理 从外部来解析shiro框架: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManage
Shiro框架在项目中的应用
weixin_54685622的博客
04-03 6416
1、Shiro 框架简介 Shiro 概述 ShiroApache公司推出一个权限管理框架,其内部封装了项目中认证,授权,加密,会话等逻辑操作,通过Shiro框架可以简化我们项目权限控制逻辑的代码的编写。其认证和授权业务分析,如图所示: Shiro 框架概要架构 Shiro 框架中主要通过Subject,SecurityManager,Realm对象完整认证和授权业务,其简要架构如下: 其中: Subject 此对象负责提交用户身份、权限等信息 SecurityManager 负责完成认证、授权等核
shiro反序列化Payload产生的过程是
最新发布
03-18
Apache Shiro 的反序列化漏洞(如 CVE-2016-4437/Shiro550)源于其“记住我”(RememberMe)功能的加密流程缺陷。攻击者通过构造恶意序列化数据,结合已知密钥或加密模式漏洞,可实现远程代码执行[^1][^2]。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peterwanghao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值