Shiro--标签

最新推荐文章于 2023-09-13 14:48:54 发布
原创 最新推荐文章于 2023-09-13 14:48:54 发布 · 251 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

导入标签库
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
guest标签
<shiro:guest>  
欢迎游客访问,<a href="${pageContext.request.contextPath}/login.jsp">登录</a>  
</shiro:guest>

用户没有身份验证时显示相应信息,即游客访问信息。

user标签
<shiro:user>  
欢迎[<shiro:principal/>]登录,<a href="${pageContext.request.contextPath}/logout">退出</a>  
</shiro:user>

用户已经身份验证/记住我登录后显示相应的信息。

authenticated标签
<shiro:authenticated>  
    用户[<shiro:principal/>]已身份验证通过  
</shiro:authenticated>

用户身份验证通过,即Subject.login登录成功,不是记住我登录的。

notAuthenticated标签
<shiro:notAuthenticated>
    未身份验证(包括记住我)
</shiro:notAuthenticated>

即没有调用Subject.login进行登录,包括记住我自动登录的也属于未进行身份验证。

principal标签
<shiro: principal/>

显示用户身份信息,默认调用Subject.getPrincipal()获取,即Primary Principal。

<shiro:principal property="username"/>

相当于((User)Subject.getPrincipals()).getUsername()。

hasRole标签
shiro:hasRole name="admin">  
    用户[<shiro:principal/>]拥有角色admin<br/>  
</shiro:hasRole>

如果当前Subject有角色将显示body体内容。

hasAnyRoles标签
<shiro:hasAnyRoles name="admin,user">  
    用户[<shiro:principal/>]拥有角色admin或user<br/>  
</shiro:hasAnyRoles>

如果当前Subject有任意一个角色(或的关系)将显示body体内容。

acksRole标签
<shiro:lacksRole name="abc">  
    用户[<shiro:principal/>]没有角色abc<br/>  
</shiro:lacksRole>

如果当前Subject没有角色将显示body体内容。

hasPermission标签
<shiro:hasPermission name="user:create">  
    用户[<shiro:principal/>]拥有权限user:create<br/>  
</shiro:hasPermission>

如果当前Subject有权限将显示body体内容。

lacksPermission标签
<shiro:lacksPermission name="org:create">  
    用户[<shiro:principal/>]没有权限org:create<br/>  
</shiro:lacksPermission>

如果当前Subject没有权限将显示body体内容。

shiro1.2.4漏洞复现
weixin_44248882的博客
05-22 416
shiro 1.2.4漏洞复现 Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 漏洞环境
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 2191
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
shiro组件漏洞分析(一)
why811的博客
09-13 352
官方issues:https://issues.apache.org/jira/browse/SHIRO-550Apache Shiro框架提供了记住我(RememberMe)的功能,功能表现为关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。
ShiroShiro标签的使用
ITxiaobaibai的博客
05-18 732
<--! guest标签,用户没有身份验证时显示相应信息,即游客访问信息。-->   <shiro:guest>   </shiro:guest> <--! user标签,用户已经身份验证/记住我登录后显示相应的信息。-->   <shiro:user>     </shiro:user>    <--! authen...
JAVA代码审计之Shiro反序列化漏洞分析
道阻且长,行则将至
07-24 3334
文章目录前言Java反序列化源码审计分析IDEA 部署环境序列化过程分析 前言 在前面的一篇文章:Apache Shiro Java反序列化漏洞复现 曾介绍了 CVE-2016-4437 漏洞的复现过程和利用方式,为了不再当个“脚本小子”工具人…本文将记录学习下从源码审计的角度分析 CVE-2016-4437 漏洞的原理。 Java反序列化 同样的在前面一篇博文:Java-序列化与反序列化 已经讲述了 Java 序列化和反序列化的概念,此处简单再描述下。 把对象转换为字节序列的过程称为对象的序列化;把字节序
shiro-core-1.4.0-API文档-中文版.zip
07-12
标签:apache、shirocore、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心...
shiro-config-core-1.4.0-API文档-中文版.zip
07-12
标签:apache、shiro、config、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译...
shiro-ehcache-1.4.0-API文档-中文版.zip
07-12
标签:apache、shiro、ehcache、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请...
shiro-event-1.4.0-API文档-中文版.zip
07-12
标签:apache、shiro、event、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心...
shiro-crypto-core-1.4.0-API文档-中英对照版.zip
07-12
标签:apache、shiro、crypto、core、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准...
shiro-root-1.2.4-source-release.zip
09-13
shiro-root-1.2.4-source-release shiro-root-1.2.3-source-release shiro-all-1.2.4.jar shiro-all-1.2.4.jar shiro-all-1.2.4.jar shiro-all-1.2.4.jar
shiro-core-1.2.4
08-08
shiro-core-1.2.4
shrio-core-1.2.2
08-08
shrio core
Shiro RememberMe 1.2.4 反序列化漏洞(SSV-92180)
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
06-21 3885
1Shiro运行环境 Apache Shiro 是 Java 的权限及安全验证框架 下载地址:https://repo1.maven.org/maven2/org/apache/shiro/shiro-root/1.2.4/ 修改pom.xml包中jstl和commons-beanutils的版本,用于配合漏洞执行环境 <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl
Apache Shiro 1.2.4反序列化漏洞分析
jiangbb8686的博客
08-30 3765
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 0×00 Apache Shiro 这个组件的漏洞很久之前就爆出来了,但是最近工作中又遇到了,刚好最近也在看Java反序列化的东西,所以决定拿出来再分析一下,期间也遇到了一些奇怪的问题。 网上的分析文章中大部分都是手动添加了commons-collections4-4.0的依...
菜鸟级别的Shiro配置、使用案例(一)
热门推荐
陈小默的博客
05-14 1万+
菜鸟级别的Shiro配置、使用案例(一)菜鸟级别的Shiro配置使用案例一 一配置环境 1使用Java SE环境的配置此 2使用Java EE环境的配置此 3不会使用maven的看我上一篇教程 4懒得配置的自己去官网下jar包 二配置文件 Shiroini 1Shiro使用ini作为配置文件 2注册Shiro 三使用Shiro 1完善配置文件 2登录 2注销 结束语 一、配置环境我这里使用的是mav
shiro-ssm登录权限全面解析案例教程
JSP标签方式则是利用Shiro提供的标签库,将权限控制逻辑直接嵌入到JSP页面中。例如,可以使用<shiro:hasRole>标签来判断当前用户是否具有特定角色,从而决定是否显示页面的某个部分。这种方式适合在视图层进行简单的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值