shiro学习笔记(1)-初识shiro框架

最新推荐文章于 2024-04-18 10:30:00 发布
最新推荐文章于 2024-04-18 10:30:00 发布
阅读量393 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: JavaEE技术体系 文章标签: shiro入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pbrlovejava/article/details/81122975

一、shiro简介:

  Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。

 

二、shiro框架能做的事情:

  1、验证用户  

  2、对用户执行访问控制,如:  判断用户是否拥有角色admin、判断用户是否拥有访问的权限

  3、单点登录(SSO)功能。  

  4、“Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。

    

三、Shiro的4大部分——身份验证,授权,会话管理和加密

  1、Authentication:身份验证,简称“登录”

  2、Authorization:授权,给用户分配角色或者权限资源

  3、Session Management:用户session管理器,可以让CS程序也使用session来控制权限

  4、Cryptography:把JDK中复杂的密码加密方式进行封装

四、各名词介绍:

  1、Subject:与程序交互的对象,可以是用户,也可以是各种服务

  2、SecurityManager:shiro框架的核心部分,协调各个框架各个部分的正常运行,处理安全操作

  3、Realms:是连接“数据库”和“程序”两者的桥梁,它负责从数据库获取到数据并与当前数据进行对比,判断该Subject具有什么权限

 

五、总结:

1.Subject(org.apache.shiro.subject.Subject): 简称用户

2.SecurityManager(org.apache.shiro.mgt.SecurityManager) 如上所述,SecurityManager是shiro的核心,协调shiro的各个组件

3.Authenticator(org.apache.shiro.authc.Authenticator): 登录控制

4.Authorizer(org.apache.shiro.authz.Authorizer) : 决定subject能拥有什么样角色或者权限。

5.SessionManager(org.apache.shiro.session.SessionManager) : 创建和管理用户session。通过设置这个管理器,shiro可以在任何环境下使用session。

6.CacheManager(org.apahce.shiro.cache.CacheManager) : 缓存管理器,可以减少不必要的后台访问。提高应用效率,增加用户体验。

7.Cryptography(org.apache.shiro.crypto.*) : Shiro的api大幅度简化java api中繁琐的密码加密。

8.Realms(org.apache.shiro.realm.Realm) : 程序与安全数据的桥梁

初识Shiro安全权限框架有哪些需要注意的地方?
Robot Kevin的世界
08-12 348
开端 好的,起因是我把最近做好的项目给一部分人进行了测试,发现大部分朋友都提出了同一个问题,你的系统权限管理是如何实现的。我只能尴尬的说一句,不好意思这部分还没开发。然而我也知道,其实对于一个项目来说,权限可以说是最主要的一部分。后端除了对权限进行处理,其实也就是提供一些业务逻辑对 CRUD 进行组合拼装。所以我打算接下来学习权限控制方面的知识并整合到我的项目中去,顺便把我的学习笔记分享给大家。 而对于权限控制的框架呢,听的最多的还是 Shiro 还有 Spring Security。Spring 的安全框
权限框架Shiro快速整合前后端分离项目
Robot Kevin的世界
08-23 2330
欢迎关顾我的博客 开端 好的,起因是我把最近做好的项目给一部分人进行了测试,发现大部分朋友都提出了同一个问题,你的系统权限管理是如何实现的。我只能尴尬的说一句,不好意思这部分还没开发。然而我也知道,其实对于一个项目来说,权限可以说是最主要的一部分。后端除了对权限进行处理,其实也就是提供一些业务逻辑对 CRUD 进行组合拼装。所以我打算接下来学习权限控制方面的知识并整合到我的项目中去,顺便把我的学习笔记分享给大家。 而对于权限控制的框架呢,听的最多的还是 Shiro 还有 Spring Security。Sp
1.介绍shiro框架类关系图
浪子
08-31 2058
暂无
[CTF]让我进去
胖胖的ALEX
06-26 870
类型:web 网址:http://www.shiyanbar.com/ctf/1848 攻击:hash长度扩展攻击 一句话总结: 哈希长度扩展攻击适用于加密情况为:hash($SECRET, $message)的情况,其中 hash 最常见的就是 md5、hash1。我们可以在不知道$SECRET的情况下推算出另外一个匹配的值。如: 我们知道md5($SECRET . strrev($_COOKI...
工具|渗透测试之5种工具分享(Shiro插件、CTFR、JR-scan、dirsearch-Web等)
zhangge3663的博客
05-06 4166
工具目录 1.BurpShiroPassiveScan是一款基于BurpSuite的被动式shiro检测插件; 2.reconftw是对具有多个子域的目标执行全面检查的脚本; 3.CTFR是一款不适用字典攻击也不适用蛮力获取的子域名的工具; 4.JR-scan是一款一键实现基本信息收集,支持POC扫描,支持利用AWVS探测的工具 5.dirsearch-Web是一种成熟的命令行工具,旨在暴力破解Web服务器中的目录和文件 1.BurpShiroPassiveScan 介绍 BurpShiro
Shiro框架漏洞分析与复现
最新发布
m0_59598029的博客
04-18 5541
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
BUUCTF刷题十一道(05)
qq_45837896的博客
07-27 1503
BUUCTF刷题
深入Shiro如何优雅的进行配置?
Robot Kevin的世界
08-15 500
欢迎光顾我的博客 开端 好的,起因是我把最近做好的项目给一部分人进行了测试,发现大部分朋友都提出了同一个问题,你的系统权限管理是如何实现的。我只能尴尬的说一句,不好意思这部分还没开发。然而我也知道,其实对于一个项目来说,权限可以说是最主要的一部分。后端除了对权限进行处理,其实也就是提供一些业务逻辑对 CRUD 进行组合拼装。所以我打算接下来学习权限控制方面的知识并整合到我的项目中去,顺便把我的学习笔记分享给大家。 而对于权限控制的框架呢,听的最多的还是 Shiro 还有 Spring Security。Sp
Spring学习笔记(前言)
|-| [- |_ |_ ()
12-10 1640
写在前面(序言) ​ 时间飞逝,距离我上次写2018下半年学习计划已经过了6个月,眼看还有半个多月2018下半年就过去了,但回头看看计划,发现还有大半没有学习到,很多知识点其实都是易学难精,例如我即将要写的这个Spring,如果只是会用的话相信只要几天时间就可以,但是你如果深究其原理,其实是一件很需要意志力并且时间的事,我看源码的过程是一次兴趣使然,先看了Java类库的集合类源码,觉得特别有意思,...
JavaEE系统架构师学习路线之基础篇
qq_42709274的博客
07-17 1051
大纲: 第1阶段(Java程序员) - Java语言基础 第2阶段(Java初级软件工程师) - JSP、Servlet、HTML、CSS、JS、Bootstrap、XML、AJAX、MySQL、SQL Server、Oracle 第3阶段(Java中级软件工程师) - Struts2、Spring、Hibernate、SpringMVC、Mybatis、Shiro、JVM 第4阶段(J...
buu刷题第四周
enhengzZ的博客
02-12 693
javaweb WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-
shiro反序列化漏洞学习(工具+原理+复现)
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
CTF——web个人总结
recover517的博客
05-28 1万+
包含个人总结的解题思路、注入思路、文件包含思路、源码审计思路等
CTF学习Java反序列化
why811的博客
08-18 1408
我们可以看到cookie里面返回了Java序列化内容,带着cookie访问返回了hello {{username}}的字符,说明我们传入的cookie被反序列化了。其实看到LogHandler不能反序列化的时候,直接一口否定了他的可利用性,并没有去尝试,那么为什么不实际尝试一下呢?其实再仔细一点,可以发现这个类继承了HashSet,HashSet实现了Serializable接口,貌似可以搞事。(但是打final的时候是没有公网的,附件只有源码,需要去靶机上面把本地repo拖下来。
nepctf
strider1123的博客
08-22 108
之前打的nepctf复现一下web的两道题 首先是web的ez_java_checkin 交了flag的环境不知道咋开了,思路就是按照给的提示,提示说有个很老的java的洞,找了半天发现是shiro,然后直接拿shiro工具一把梭 等进去之后写个asp马连上 根目录下会发现一个flag,还有个start.sh和jar的文件,flag没有读权限,没太搞懂,当时做了半天没做出来,第二天发现s...
反序列化漏洞(3), CTF夺旗
探测???
11-17 325
Call 类中调用了 test1() 方法, 这不是一个魔术方法, 那么我们查看一下哪个类中直接调用了 test1() 这个方法, 看到在 start_gg 类中直接调用了 test1() 方法, 那么定位到 start_gg 类.func 中调用了 __invoke() 方法, 那么查找哪个类里面有用函数形式调用对象的代码, 看到 funct 类中使用 s1() 的形式调用, 那么让 mod1 作为一个对象即可, 定位到 funct 类.夺旗我们可以从调用链的终点开始分析.
Shiro漏洞工具的使用
热门推荐
千寻的博客
07-03 1万+
文章目录01 下载ShiroExploit.V2.3,并运行.jar02 运行后的界面03输入测试的url04 选择检测方式05 判断是否存在漏洞的依据06 反弹shell 01 下载ShiroExploit.V2.3,并运行.jar 在github上直接搜索下载 有源码,可以自己编译成.jar 02 运行后的界面 Shiro550无需选择操作系统类型, Shiro721需要选择操作系统类型 复杂Http请求支持直接粘贴数据包 03输入测试的url 可以自己直接输入被检测是否存在shire反序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BoringRong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值