shiro框架详解

shiro框架详解

扫码添加渲大师小管家,免费领取渲染插件、素材、模型、教程合集大礼包!

大家好,今天来介绍shiro框架详解(shiro和spring security区别)的问题,以下是渲大师小编对此问题的归纳和整理,感兴趣的来一起看看吧!

shiro什么意思

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序芹禅。

三个核心组件:Subject, SecurityManager 和 Realms.

Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类灶首蔽似事物。它仅仅意味着“当前跟软件交互的东西”。

SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

Realm: Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。

从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必隐州须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

shiro框架详解

Shiro一步步的看Shiro Shiro与Spring Security区别

Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相
当简单,Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在
JavaEE 环境歼饥。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓
存等

Spring Security是一个提供身份验氏源返证、授权和防范常见攻击的框架。它对命令式应用程序和响应式应用程序都提供了一流的支持,是保护基于spring的应用程序的事实上的标准

OAuth for Spring Security为Spring Security提供了一个OAuth实现。支持OAuth提供者和OAuth消费者的实现。支持OAuth 2.0

完美撒花~,下面我会根据Shiro的具体内容结合不同场景的进行讲述以及配置。

有需要讨论Shiro和Spring Security有什么区别裂旁或者有什么不同看法的,欢迎留言 大家共同学习

Shiro是什么

Shiro是一个安全管理的框架,世搜其可以实现常见安全管理相关的所有功能。包括:认证,鉴权,加密,记住等等。对搜销历于使用者而言,其核心概念如下:

Shiro由多种组件实现上述所说的功能,其实现机制斗模如下图所示:

shior名词解释

Shiro是什么
1、Apache Shiro是Java的一个安全框架。对比另一个安全框架Spring Sercurity,它更简单和灵活。
2、Shiro 可以非常容易的开发出足够好的应用,其不备友仅可以用在JavaSE环境,也可以用JavaEE环境。
3、Shiro可以帮助我们完成:认证、授权、加密、会话管理、Web集成、缓存等。
shiro有三大核心组件:
1、Subject:是shiro提供给外界的唯一接口,外界发起的请求都必须仿消槐通过subject,也就是说 Shiro 的对外API 核心就是 Subject。Subject 代表了当前“用户”, 这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;与 Subject 的所有交互都会委托给 SecurityManager;Subject 其实是一个门面,SecurityManager 才是实际的执行者;
2、SecurityManager:安全管理器;是 Shiro 的核心;所有与安全有关的操桥洞作都会与SecurityManager 交互;且其管理着所有 Subject;它负责与 Shiro 的其他组件进行交互,它相当于 SpringMVC 中DispatcherServlet 的角色
3、Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource

shiro550和721的区别

Shiro-550,只需输入url,即可完成自动化检测和漏洞利用。Shiro-721,需悔逗输入url,提供一个有效的rememberMe Cookie,并指定目标操作系统类型。
Shiro-550,Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。Shiro-721,由于Apache Shiro cookie中通过 AES-128-CBC 模答粗式加密的rememberMe字段存在问题,用户可清前镇通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

分享到 :
相关推荐

防火墙在哪里设置(防火墙在哪个设置里面)

大家好,今天来介绍防火墙在哪里设置(网络防火墙如何设置)的问题,以下是渲大师小编对此...

生活中常见的数据库应用举例

生活中常见的数据库应用举例数据库是一种用于存储和管理数据的工具,广泛应用于各个领域[...

arrow是什么品牌(arrow马桶售后维修电话)

1、arrow是什么品牌Arrow是一家知名的国际品牌,专门生产和销售高质量的时尚[...

puts函数会自动换行吗(c语言gets和puts的用法)

1、puts函数会自动换行吗puts函数是Ruby语言中的一个输出函数,用于打印字[...

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注