Charge8的博客

一、Shiro 简介1、Shiro 是什么 Shiro 是一个功能强大和易于使用的Java安全框架。 Shiro 为开发人员提供一个直观而全面的解决方案：认证、授权、加密、会话管理、Web集成、缓存等。 Apache Shiro 和 Spring Security 是同类型的框架，主要用来做安全，也就是我们俗称的权限校验（控制），Shiro 扩展更简单和灵...

1、加盐： 简单来说就是一组安全随机数。它在特定的时候，加入到密码中（一般来说是加密后的密码）。从而使密码变得更有味道（从单一简单化到复杂化），更安全。2、对密码进行加密 盐值是一个随机数。当用户注册一个简单密码时，系统会同时生成这样一个salt，与该用户对应，保存到数据库中。加密操作步骤：（1）注册、修改密码时，前台将 888888加密后的pwd1...

上篇Shiro 重放攻击登录验证 进行表单登录验证其中，我们可以把在 LoginController 中密码验证的功能提取出来，我们自定义一个密码验证类进行验证，这样可以使我们处理更复杂情况的验证工作。步骤：1、将LoginController 中表单密码验证提取出来，在自定义密码验证类实现 1）注释其验证工作 @PostMapping("/login") pub...

一、Realm是做什么的？ Realm就是从数据库里获取数据进行登录用户和密码的认证对比工作。 在复杂项目中，很可能会出现，登录认证的用户数据，来自另一个数据表，有时甚至不在一个数据库，这种情况下就需要多个Realm进行登录认证。 从前面跟踪subject.login(token);方法的源码，其实就可以发现shiro是支持多个Realm的。Mod...

一、Shiro 支持有三种方式的授权：1、编程式：通过写 if/else 授权代码完成（不常用）2、注解和配置式：通过执行 Java 方法上的放置的相应注释或xml 配置完成，没有权限将抛出相应异常。（中小项目注解更常用，配置+数据库更灵活）3、jsp标签式：在 jsp 页面通过相应标签完成。（主要用于对当前用户没权限访问的内容，可以通过jsp标签隐藏掉）二、Shiro 权限...

上篇文章有必要看一下：Shiro 基于角色授权的简单应用与权限过滤器配置含义一、基于权限授权的简单应用数据库： 用户admin, 只拥有角色 admin 和 user 与访问 /admin/userlist 的权限资源，如果 pid 为1和2，则两者都可访问。1、spring.xml 在配置 shiro 的过滤器上，配置权限控制的拦截规则： ...

在 jsp 页面中引入 Shiro 的标签配置<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>Shiro JSP标签也不多： 一、Shiro JSP标签详解1、guest标签 ：验证当前用户是否为“访客”，即未认证（包含未记住）的用户，游客时才显示，登录用户不显示。<s...

根据前面的了解，这次把基于权限的授权通过从数据库中初始化授权实现。1、分析一下 Shiro 过滤链 <!-- 配置shiro的一些拦截规则，id必须和web.xml中的 shiro 拦截器名一致 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryB...

登录一些网站的时候，在登录输入框的下侧一般都会有一个“记住我”的勾选框，选择之后，下次进入网站时就会自动进行登录操作，无需我们再次输入密码。有关“记住我”的实现原理如下：1、首先在登录页面选中“记住我”然后登录成功；如果是浏览器登录，一般会把“记住我”的Cookie写到客户端并保存下来。2、关闭浏览器再重新打开，会发现浏览器还是记住你的。3、访问一般的网页服务器端还是知道你是...

Shiro 提供了一个完整的企业级会话管理解决方案，不再依赖web容器。可以在web和非web环境下使用。1、Shiro的session特性 1）基于POJO/J2SE：shiro中session相关的类都是基于接口实现的简单的java对象（POJO），兼容所有java对象的配置方式，扩展也更方便，完全可以定制自己的会话管理功能 。 2）简单灵活的会话...