shiro升级到shiro-1.7.1

最新推荐文章于 2024-10-28 17:45:00 发布
最新推荐文章于 2024-10-28 17:45:00 发布
阅读量1.3k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/egegerhn/article/details/124343607
本文介绍如何在SSM项目中更新Shiro到1.7.1版本,并添加encoder-1.2.2.jar来避免编码错误。重点讲解了shiro升级后可能导致的JSESSIONID拼接问题及解决方案,包括配置shiro.xml以关闭会话ID重写。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode
2、encoder-1.2.2.jar的下载地址
https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2
3、shiro-all-1.7.1.jar的官网下载地址
https://shiro.apache.org/download.html
4、注意,shiro升级后,可能会因为URL上拼了JSESSIONID信息,导致请求重定向时,第一次重定向报错的问题。(我遇到的是登录时候,首次登陆会失败,第二次则正常),所以,需要配置shiro取消拼接JSESSIONID的功能。
5、取消方式是,在shiro.xml中增加id=sessionManager的标签配置,关闭sessionIdUrlRewritingEnabled,为了时配置生效,还需要在securityManager中,增加sessionManager的配置。如果是springboot项目,则对应的去修改配置类。

<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
	<property name="sessionIdUrlRewritingEnabled" value="false" />
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="selfAuthorizingRealm"></property>
     <property name="cacheManager" ref="shiroCacheManager"></property>
     <!-- 在id="securityManager"下增加该配置 -->
     <property name="sessionManager" ref="sessionManager"/>
</bean>
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
Shiro升级1.7.x
m0_67393342的博客
03-28 942
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6886
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级shiro-1.7.1升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
shiro升级quartz到2.1.6版本
nonobabaya的博客
07-20 1488
在做老司机的项目时,spring使用的是4.2.1版本,shiro用的是1.2.3,但是,spring扩展中 spring-context使用的quartz2的版本, 而shiro到现在还是使用的quartz1.6.1版本,所以,把spring降下来是不可能了,因为很多扩展都给予spring4,所以想把shiro升上去 是最好的解决方法,综合了网上升级spring的方法,使用以下方式升级shi...
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-1.7.1.zip
02-07
`shiro-1.7.1.zip`是一个包含Shiro框架不同组件的压缩包,主要用于web应用的安全控制。 1. **shiro-core-1.7.1.jar**: 这是Shiro的核心库,包含了基本的身份验证、授权和会话管理功能。它提供了一套API,开发者可以...
shiro1.7.1.zip
04-12
标题中的"shiro1.7.1.zip"表明这是一个包含Apache Shiro 1.7.1版本所有核心模块的压缩包,用于安全升级或新项目部署。 在描述中提到的"最新版shiro1.7.1.jar包,安全升级专用",暗示这个版本可能是对之前版本的安全...
shiro1.7.1全包修补漏洞.rar
07-18
这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的安全漏洞。 1. **Shiro-aspectj-1.7.1.jar**: 这个JAR文件是Shiro的AspectJ支持模块,它允许...
shiro-jar.zip
12-12
shiro-all-1.7.1.jar,shiro-aspectj-1.7.1.jar,shiro-cache-1.7.1.jar,shiro-config-core-1.7.1.jar,shiro-config-ogdl-1.7.1.jar,shiro-core-1.7.1.jar,shiro-crypto-cipher-1.7.1.jar,shiro-crypto-core-1.7.1.jar...
shiro1.4.0升级1.10.0方案
weixin_50167266的博客
08-14 2248
ERROR 500.jsp[148] - Filtered request failed. javax.servlet.ServletException: Filtered request failed.
shiro 升级 quarz 2.2
Hi, Sun
03-23 272
http://nonobaba.iteye.com/blog/2312468
shiro低版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 2316
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(优快云中的好多用户都是上传到博客中,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库中查找到)出现的问题:shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
shiro1.10.0 升级排坑日志
冰剑的专栏
10-16 3290
shiro1.10.0 升级排坑日志
jdk升级shiro升级2.0.1切换jakarta,不再使用javax
最新发布
李潇然的博客
10-28 799
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <classifier>jakarta</classifier> <version>${shiro.v...
shiro1.6.0升级1.7.1版本,请求路径中带有中文接口报400
weixin_43779793的博客
07-22 1545
shiro1.6升级1.7,请求路径中有中文接口报400
有关shiro升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(优快云中的好多用户都是上传到博客中,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
Shiro 1.7.1版安全升级与核心组件包
这意味着如果之前的项目使用的是更早版本的Shiro,那么升级1.7.1是非常必要和紧迫的,特别是在考虑生产环境中的安全性时。 使用Shiro的注意事项 - 当配置Shiro时,确保正确配置了安全策略,比如角色、权限和资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值