Apache Shiro是Java的一个安全框架。Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 其基本功能点如下图所示: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限 ...
分类:
Web程序 时间:
2017-07-26 17:49:48
阅读次数:
236
接上,本来想继续写,结果一输入就chrome崩溃,我只能另开一个了 sessionListeners、sessionFactory配置 rememberMeManager配置,配置了rememberMeCookie rememberMeCookie配置 其他配置 authc过滤器用于进行身份认证/登 ...
分类:
编程语言 时间:
2017-07-20 22:22:40
阅读次数:
401
先转一下开涛大神的shiro基础,讲的很好 1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东 ...
分类:
编程语言 时间:
2017-07-19 23:40:55
阅读次数:
361
shiro 默认自带的过滤器如下: 我们平常用的就是 anon:任何人都可以访问;authc:必须登录才能访问,不包含rememberme ;user:登录用户才可以访问,包含rememberme ;perms:指定过滤规则,这个一般是扩展使用,不会使用原生的,例如springrain扩展的为fra ...
分类:
编程语言 时间:
2017-07-19 23:33:20
阅读次数:
636
在做用户登录功能时,非常多时候都须要验证码支持,验证码的目的是为了防止机器人模拟真有用户登录而恶意訪问,如暴力破解用户password/恶意评论等。眼下也有一些验证码比較简单,通过一些OCR工具就能够解析出来。另外另一些验证码比較复杂(一般通过如扭曲、加线条/噪点等干扰)防止OCR工具识别。可是在中 ...
分类:
其他好文 时间:
2017-07-09 14:52:02
阅读次数:
466
在某些项目中可能会遇到如每个账户同时只能有一个人登录或几个人同时登录,如果同时有多人登录:要么不让后者登录;要么踢出前者登录(强制退出)。比如spring security就直接提供了相应的功能;Shiro的话没有提供默认实现,不过可以很容易的在Shiro中加入这个功能。 示例代码基于《第十六章 综 ...
分类:
其他好文 时间:
2017-07-07 13:30:39
阅读次数:
287
目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http ...
分类:
其他好文 时间:
2017-07-07 13:30:09
阅读次数:
327
对于SSL的支持,Shiro只是判断当前url是否需要SSL登录,如果需要自动重定向到https进行访问。 首先生成数字证书,生成证书到D:\localhost.keystore 使用JDK的keytool命令,生成证书(包含证书/公钥/私钥)到D:\localhost.keystore: keyt ...
分类:
其他好文 时间:
2017-07-07 13:23:40
阅读次数:
140
在做用户登录功能时,很多时候都需要验证码支持,验证码的目的是为了防止机器人模拟真实用户登录而恶意访问,如暴力破解用户密码/恶意评论等。目前也有一些验证码比较简单,通过一些OCR工具就可以解析出来;另外还有一些验证码比较复杂(一般通过如扭曲、加线条/噪点等干扰)防止OCR工具识别;但是在中国就是人多, ...
分类:
其他好文 时间:
2017-07-07 13:21:50
阅读次数:
145
Shiro 1.2开始提供了Jasig CAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。此处我们使用Jasig CAS v4.0.0-RC3版本: https://github.com/Jasig/cas ...
分类:
其他好文 时间:
2017-07-07 13:20:28
阅读次数:
222
