网络安全最新shiro安全框架的使用(1)

最新推荐文章于 2024-07-24 23:50:57 发布
原创 最新推荐文章于 2024-07-24 23:50:57 发布 · 958 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

本文详细描述了如何在Spring框架中使用ApacheShiro进行权限管理和身份验证,包括Ehcache缓存管理、AuthRealm的定制、密码比较器以及ShiroFilter的配置。还提到了一个完整的授权与认证流程示例和资源福利,旨在帮助读者建立一个系统化的网络安全学习路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<property name="cacheManager"ref=“shiroEhcacheManager”/>

</bean>

<bean id="authRealm"class="cn.itcast.jk.shiro.AuthRealm[a1] ">

<property name="userService"ref=“userService”/>

<property name="credentialsMatcher"ref=“passwordMatcher”/>

</bean>

<bean id="passwordMatcher"class="cn.itcast.jk.shiro.CustomCredentialsMatcher[a2] "/>

<bean id="shiroFilter"class=“org.apache.shiro.spring.web.ShiroFilterFactoryBean”>

<property name="securityManager"ref=“securityManager”/>

<property name=“loginUrl"value=”/index.jsp"></property>

     

<property name=“successUrl"value=”/home.action"></property>

<property name=“filterChainDefinitions”>

<value>

/index.jsp* = anon

/home* = anon

/sysadmin/login/login.jsp* = anon

/sysadmin/login/logout.jsp* = anon

/login* = anon

/logout* = anon

/components/** = anon

/css/** = anon

/images/** = anon

/js/** = anon

/make/** = anon

/skin/** = anon

/stat/** = anon

/ufiles/** = anon

/validator/** = anon

/resource/** = anon

/** = authc

/*.* = authc

</value>

</property>

</bean>

<bean id="shiroEhcacheManager"class=“org.apache.shiro.cache.ehcache.EhCacheManager”>

<property name="cacheManagerConfigFile"value="classpath:ehcache-shiro.xml[a3] "/>

</bean>

<bean id="lifecycleBeanPostProcessor"class=“org.apache.shiro.spring.LifecycleBeanPostProcessor”/>

<bean class=“org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator”

depends-on=“lifecycleBeanPostProcessor”>

<property name="proxyTargetClass"value=“true”/>

</bean>

<bean class=“org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor”>

<property name="securityManager"ref=“securityManager”/>

</bean>

授权&管理 类

public class AuthRealm extends AuthorizingRealm{

private UserService userService;

public voidsetUserService(UserService userService) {

this.userService = userService;

}

/**

* 授权

*/

@Override

protectedAuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pc) {

User user = (User)pc.fromRealm(this.getName()).iterator().next();[a4]

//获取对象导航

Set roles = user.getRoles();

List permissions = newArrayList();

for(Role role:roles){

//遍历角色得到每个角色下的模块列表

Set modules = role.getModules();

//将模块名放入permissions中

for (Module module : modules) {

permissions.add(module.getName());

}

SimpleAuthorizationInfo info = newSimpleAuthorizationInfo();

info.addStringPermissions(permissions);

return info;

}

return null;

}

/**

* 认证

*/

@Override

protectedAuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token[a5] ) throwsAuthenticationException {

UsernamePasswordToken upToken = (UsernamePasswordToken)token;[a6]

//查询用户

String hql = “fromUser where userName=?”;

List list = userService.find(hql, User.class, new String[]{upToken.getUsername()});

//判断用户是否存在

if(list!=null && list.size()>0){

//获取用户名

User user = list.get(0);

//核心API

SimpleAuthenticationInfo info = newSimpleAuthenticationInfo(user, user.getPassword(),

this.getName()[a7] );[a8]

return info;//进入密码比较器

}

return null;

}

密码比较器:

public classCustomCredentialsMatcher extendsSimpleCredentialsMatcher{

//密码比较

public booleandoCredentialsMatch(AuthenticationTokentoken, AuthenticationInfo info[a9] [a10] ){

UsernamePasswordToken upToken =(UsernamePasswordToken)token;

//将用户在界面输入的原始密码加密

Object pwd = Encrypt.md5(new String(upToken.getPassword())[a11] , upToken.getUsername()[a12] );[a13]

//获取数据库中加密的密码

Object dbPwd = info.getCredentials();

return this.equals(pwd,dbPwd);//进行密码比较

}

}

Action中的方法:

try {

Subject subject =SecurityUtils.getSubject();[a14]

//调用登录方法

UsernamePasswordToken tokan = newUsernamePasswordToken(username, password);

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

网络安全shiro安全框架基本原理及架构功能简析
等风来
05-25 1万+
本文为Shiro框架简介,无安全,不shiroshiro安全框架问世的意义在于提供了一种有效的解决方案,帮助开发者和企业更好地保护自己的系统和数据安全Shiro 可以与各种 Java 框架和应用程序进行集成,如Spring等。此外,Shiro 还可以与多个数据源集成,如JDBCLDAPNoSQL 数据库等,使得应用程序更加灵活。shiro 是一款非常流行的 Java 安全框架,它为企业级应用程序提供了身份验证、授权、会话管理和加密等安全支持功能。
Shiro安全框架
Ysuhang的博客
08-04 1594
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理==实现对用户访问系统的控制==,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户==身份认证==和==授权==两部分,简称==认证授权==。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问==身份认证==,就是判断一个用户是否为合法用户的处理过程。...
Kali 中安装 Dirsearch(目录爆破工具)
最新发布
m0_63082628的博客
07-24 3584
Dirsearch 是一款基于Python的Web目录扫描器,常用于渗透测试和安全审计中。它通过发送 HTTP 请求尝试猜测目标服务器上可能存在的目录和文件,以发现隐藏的资源、备份文件、配置文件等。Dirsearch 支持多种请求方法(GET、HEAD),可以处理重定向,支持代理,甚至可以使用自定义的用户代理字符串,以适应不同的测试需求。
Microsoft Windows MHTML脚本代码注入漏洞 (MS11-026) (CVE-2011-0096)
qq_50854662的博客
08-15 2227
Tomcat样列目录session 操控漏洞
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2908
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Python 面向对象--人狗大战(教程)
菜菜的博客
07-11 33万+
项目实训 多条狗,多个人,有名字,品种,年龄,攻击力 狗可以咬人,人可以打狗 当有多个实体的情况下,就可以使用模板的形式来使用; 定义一个函数dog,将需要的参数写入字典data,返回data,就完成了模板 再d1给到dog所需要的参数name,d_type也就是实体了,实体可以有很多个 再进行输出print...
安全框架shiro 中文教程
11-05
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(认证)、授权(权限管理)、加密(加密服务)以及会话管理(session管理)等核心功能。本教程将引导你深入理解Shiro,并教你如何在实际的Web...
shiro框架总结1
08-08
Shiro 的设计目标是易于理解和使用,使得应用程序安全不再是一项复杂的任务。其灵活性允许在任何环境中运行,包括Web、EJB或IoC容器,并且可以与其他框架如Spring无缝集成。 Shiro 提供的主要功能包括: 1. **身份...
安全框架Shiro的简单学习
qq_34172440的博客
11-12 3295
文章目录Shiro1、什么是 Shiro2、功能介绍3、Shiro 架构3.1 Shiro 外部架构3.2 Shiro 内部架构4、Hello,Shiro4.1 快速实践5、Shiro 的 Subject 分析6、集成 SpringBoot6.1 搭建环境6.2 登陆拦截6.3 用户认证6.4 整合 MyBatis6.5 请求授权6.6 整合 Thymeleaf Shiro 1、什么是 Shiro Apache Shiro 是一个 java 的安全(权限)框架 Shiro 可以非常容易的开发出足够好
kali安装dirsearch(目录爆破工具)
l8947943的博客
12-31 2万+
1. kail学习过程中安装dirsearch git原文地址传送门 git clone https://github.com/maurosoria/dirsearch.git 或者直接下载zip code,使用unzip+文件解压 2. 使用dirsearch进行扫描 注意:dirsearch只支持在python3环境下运行 进入到dirsearch-master目录中,使用 python3 dirsearch.py -u target_url -e *,如: python3 dirsearch-mas
MHTML中曝出0day漏洞 影响各版Windows
weixin_34190136的博客
09-24 430
微软昨日证实,他们正在调查一个新的0day漏洞,该漏洞存在于MHTML中,会导致信息泄露,影响所有Windows平台,包括Windows XP、Vista、Windows 7和所有版本的Windows Server。 该漏洞是由于MHTML解析文档中内容模块的MINE格式请求的方式所造成的,该漏洞可以允许攻击者在错误的安全上下文中执行脚本。成功利用该漏洞的攻击者能在用户的IE实例中注入客户端脚...
完全隐藏Win 10托盘中自带的安全中心图标
Rybin的博客
11-13 3万+
Windows的一些使用方法,方便以后重装系统时使用
Python 面向对象--人狗大战(代码)
热门推荐
菜菜的博客
07-11 209万+
项目实训 人狗大战 多个人,多条狗,多个品种,年龄,攻击力
绿盟科技发布安全知识图谱技术白皮书
优快云云计算
11-29 3823
随着全球数字化和万物互联的加速发展,近年来勒索病毒的攻击手段不断升级,例如今年美国最大燃油管道受攻击导致美国17个州和华盛顿特区进入紧急状态,引起全球关注。当下企业如何提高安全运营知识以面对不断升级的威胁攻击? 近日,绿盟科技推出最新安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,对安全知识图谱的概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。 成为你的“安全专家” 绿盟科技天枢实验室主任研究员顾杜娟表示,传统安全知识信息化需依赖安全专..
kali安装dirsearch工具以及使用
m0_53042636的博客
01-17 3万+
安装之前建议先更新,更新要进入超级用户 sudo su apt-get update kali中安装命令:apt-get install dirsearch 安装完成后输入命令: git clone https://github.com/maurosoria/dirsearch.git 然后在家目录进入dirsearch cd dirsearch 然后再使用命令: python3 dirsearch.py -u http://159.75.16.25 -e* ...
kali安装dirsearch工具以及使用_kali dirsearch
2301_82056337的博客
05-16 5441
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;到此为止,大概1个月的时间。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
Py实现人狗大战
爱吃鱼的小明的博客
05-14 59万+
attack_vals = { "京巴": 30, "藏獒": 80, } def dog(name,d_type): #模版 data = { "name": name, "d_type": d_type, # "attack_val": 30, "life_val": 100, } if d_type in attack_vals: data["attack_val"] = at
Java Apache Shiro安全框架源码设计与实现
资源摘要信息:"本项目是一个基于Java语言开发的安全框架,实现了Apache Shiro框架的设计,主要用于执行身份验证、授权、密码和会话管理功能。该项目源码包含1040个文件,其中涉及的文件类型包括.java、.groovy、.xml...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值