shiro框架详解

扫码添加渲大师小管家，免费领取渲染插件、素材、模型、教程合集大礼包！

大家好，今天来介绍shiro框架详解(shiro和spring security区别)的问题，以下是渲大师小编对此问题的归纳和整理，感兴趣的来一起看看吧！

shiro什么意思

Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序芹禅。

三个核心组件：Subject, SecurityManager 和 Realms.

Subject：即“当前操作用户”。但是，在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、后台帐户（Daemon Account）或其他类灶首蔽似事物。它仅仅意味着“当前跟软件交互的东西”。

SecurityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。

Realm： Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说，当对用户执行认证（登录）和授权（访问控制）验证时，Shiro会从应用配置的Realm中查找用户及其权限信息。

从这个意义上讲，Realm实质上是一个安全相关的DAO：它封装了数据源的连接细节，并在需要时将相关数据提供给Shiro。当配置Shiro时，你必隐州须至少指定一个Realm，用于认证和（或）授权。配置多个Realm是可以的，但是至少需要一个。

Shiro一步步的看Shiro Shiro与Spring Security区别

Apache Shiro 是 Java 的一个安全框架。目前，使用 Apache Shiro 的人越来越多，因为它相
当简单，Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在 JavaSE 环境，也可以用在
JavaEE 环境歼饥。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓
存等

Spring Security是一个提供身份验氏源返证、授权和防范常见攻击的框架。它对命令式应用程序和响应式应用程序都提供了一流的支持，是保护基于spring的应用程序的事实上的标准

OAuth for Spring Security为Spring Security提供了一个OAuth实现。支持OAuth提供者和OAuth消费者的实现。支持OAuth 2.0

完美撒花~，下面我会根据Shiro的具体内容结合不同场景的进行讲述以及配置。

有需要讨论Shiro和Spring Security有什么区别裂旁或者有什么不同看法的，欢迎留言 _{大家共同学习}

Shiro是什么

Shiro是一个安全管理的框架，世搜其可以实现常见安全管理相关的所有功能。包括：认证，鉴权，加密，记住等等。对搜销历于使用者而言，其核心概念如下：

Shiro由多种组件实现上述所说的功能，其实现机制斗模如下图所示：

shior名词解释

Shiro是什么
1、Apache Shiro是Java的一个安全框架。对比另一个安全框架Spring Sercurity，它更简单和灵活。
2、Shiro 可以非常容易的开发出足够好的应用，其不备友仅可以用在JavaSE环境，也可以用JavaEE环境。
3、Shiro可以帮助我们完成：认证、授权、加密、会话管理、Web集成、缓存等。
shiro有三大核心组件：
1、Subject：是shiro提供给外界的唯一接口，外界发起的请求都必须仿消槐通过subject，也就是说 Shiro 的对外API 核心就是 Subject。Subject 代表了当前“用户”， 这个用户不一定是一个具体的人，与当前应用交互的任何东西都是 Subject，如网络爬虫，机器人等；与 Subject 的所有交互都会委托给 SecurityManager；Subject 其实是一个门面，SecurityManager 才是实际的执行者；
2、SecurityManager：安全管理器；是 Shiro 的核心；所有与安全有关的操桥洞作都会与SecurityManager 交互；且其管理着所有 Subject；它负责与 Shiro 的其他组件进行交互，它相当于 SpringMVC 中DispatcherServlet 的角色
3、Realm：Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色/ 权限进行验证用户是否能进行操作；可以把 Realm 看成 DataSource

shiro550和721的区别

Shiro-550，只需输入url，即可完成自动化检测和漏洞利用。Shiro-721，需悔逗输入url，提供一个有效的rememberMe Cookie，并指定目标操作系统类型。
Shiro-550，Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。Shiro-721，由于Apache Shiro cookie中通过 AES-128-CBC 模答粗式加密的rememberMe字段存在问题，用户可清前镇通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段，并重新请求网站，进行反序列化攻击，最终导致任意代码执行。