securitymanager

How to run Apache Sling with an enabled SecurityManager?

家住魔仙堡 提交于 2021-01-29 21:47:31
问题 Did anybody run Apache Sling with an enabled Java SecurityManager? That'd need a special java.policy file to allow the actions done by all deployed bundles, and it'd be extremely helpful to have a basic version that already allows what's needed by the bundles provided with the basic Sling Starter, and to which one could add policies for additional deployed code. I'd also be interested if someone can tell that employing the SecurityManager is infeasible in a Sling setting, perhaps due to its

How to run Apache Sling with an enabled SecurityManager?

一世执手 提交于 2021-01-29 20:12:49
问题 Did anybody run Apache Sling with an enabled Java SecurityManager? That'd need a special java.policy file to allow the actions done by all deployed bundles, and it'd be extremely helpful to have a basic version that already allows what's needed by the bundles provided with the basic Sling Starter, and to which one could add policies for additional deployed code. I'd also be interested if someone can tell that employing the SecurityManager is infeasible in a Sling setting, perhaps due to its

Is it possible to use SecurityManager to control which classes can write to stdout/stderr?

倖福魔咒の 提交于 2020-07-03 03:42:08
问题 I'm curious if it's possible to restrict who can write to System.out / System.err using a SecurityManager . Looking at System.java this doesn't appear to be possible out of the box, but perhaps there's another layer I haven't looked at? If it's not possible out of the box, is there a reasonable pattern for implementing a custom security check using System.setOut() / System.setErr() ? 来源: https://stackoverflow.com/questions/62584518/is-it-possible-to-use-securitymanager-to-control-which

Is it possible to use SecurityManager to control which classes can write to stdout/stderr?

与世无争的帅哥 提交于 2020-07-03 03:41:09
问题 I'm curious if it's possible to restrict who can write to System.out / System.err using a SecurityManager . Looking at System.java this doesn't appear to be possible out of the box, but perhaps there's another layer I haven't looked at? If it's not possible out of the box, is there a reasonable pattern for implementing a custom security check using System.setOut() / System.setErr() ? 来源: https://stackoverflow.com/questions/62584518/is-it-possible-to-use-securitymanager-to-control-which

shiro登录源码

这一生的挚爱 提交于 2020-04-06 19:08:13
//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory(configFile); //2、得到SecurityManager实例 并绑定给SecurityUtils org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); SecurityUtils.setSecurityManager(securityManager)源码: * * *设置一个VM(静态)单例SecurityManager,专门用于透明使用 * {@link #getSubject() getSubject()}实现。 * < p / > * <b>此方法调用主要用于框架开发支持。应用程序开发人员很少, *如果需要,需要调用这个方法。</b> * < p / > Shiro开发团队更喜欢SecurityManager实例是非静态的单例应用程序 *和<em>不是</em> VM静态单例

前后端分离 springboot整合shiro

偶尔善良 提交于 2020-04-01 02:20:36
实现前后端的跨域,我是在后端配置类里实现 创建配置类 WebMvcConfig import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; // 配置全局跨域 @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://localhost:8081") .allowedMethods("*") .allowedHeaders("*") .allowCredentials(true); } } Shiro的配置 创建配置类 ShiroConfig import cn.xej.util

Shiro入门示例

隐身守侯 提交于 2020-03-31 09:00:58
一、Shiro是用来做权限的。 二、权限 1.基本概念: (1)安全实体:要保护的数据。 (2)权限:是否有能力去操作(查看、修改、删除 )保护的数据。 2、权限的两个特性 (1)权限的继承性:A 包含 B,B无权限,但A有权限,此时B 的权限即为 A 的权限。如大厦里有公共厕所,进出大厦需要门禁,所以公共厕所的权限就是大厦的门禁权限。 (2)最近路劲匹配:如大厦某层有卫生间,要想到此卫生间需要有该层电梯权限,此时该卫生间的权限为该层电梯的权限,而不是大厦的门禁权限。 3.几个关键词 (1) 认证:验证用户身份,即验证登录的用户名密码是否正确,用户是否被锁死。 (2) 授权:决定是否有权限访问受保护的资源。 (3) 加密:保护或隐藏受保护的资源。 (4)会话管理 (5)单点登录(SSO) 三、Shiro 1.核心组件 (1)Subject:当前用户。 (2)Shiro SecurityManager:Shiro 大管家。 (3)Realm:用于访问数据库。 2.Shiro SecurityManager Shiro 的大管家管理着 Shiro 下的认证、授权、会话管理、缓存管理、以及 Realm 访问数据库,贯穿于始终的是加密。 3. 用户、角色、权限 (1)概念: 用户:通俗来讲,指的就是要登录的用户名密码。 角色:权限的集合。 权限:是否有能力去做某件事。 (2)关系

Shiro安全框架

那年仲夏 提交于 2020-03-31 08:59:31
Shiro简介 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可 以用在JavaSE环境,也可以用在JavaEE环境。 二、Shiro架构图 1.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。如 下图: 2.从Shiro内部看Shiro的架构,如下图所示: Subject(org.apache.shiro.subject.Subject) 当前与软 件进行交互的实体(用户,第三方服务,cron job,等 等)的安全特定“视图” SecurityManager :SecurityManager 是 Shiro 架构的 心脏。它基本上是一个“保护伞”对象,协调其管理的组 件 以 确 保 它 们 能 够 一 起 顺 利 的 工 作 类 似 于SpringMVC中的入口 servlet Realms :域 Realms 在 Shiro 和你的应用程序的安全数据之间担当 “桥梁”或“连接器”。当它实际上与安全相关的数据如用 来执行身份验证(登录)及授权(访问控制)的用户帐户交互时, Shiro从一个或多个为应用程序配置的Real中寻找许多这样的东西 Shiro 的环境搭建 使用 shiro 实现登陆的操作 第一步 导包 第二步:书写

第四章:shiro的INI配置

心已入冬 提交于 2020-03-31 08:57:14
4.1 根对象SecurityManager 从之前的Shiro架构图可以看出,Shiro是从根对象SecurityManager进行身份验证和授权的;也就是所有操作都是自它开始的,这个对象是线程安全且真个应用只需要一个即可,因此Shiro提供了SecurityUtils让我们绑定它为全局的,方便后续操作。 因为Shiro的类都是POJO的,因此都很容易放到任何IoC容器管理。但是和一般的IoC容器的区别在于,Shiro从根对象securityManager开始导航;Shiro支持的依赖注入:public空参构造器对象的创建、setter依赖注入。 1、纯Java代码写法 DefaultSecurityManager securityManager = new DefaultSecurityManager(); //设置authenticator ModularRealmAuthenticator authenticator = new ModularRealmAuthenticator(); authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy()); securityManager.setAuthenticator(authenticator); //设置authorizer

Shiro

爷,独闯天下 提交于 2020-03-25 21:07:32
Shiro Shiro概述 ​ ​ Apache Shiro 是Java 的一个 安全框架 。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成: 认证 、 授权 、 加密 、 会话管理 、 与Web 集成 、 缓存 等。 基本功能 1. Authentication 【ɔː,θentɪ'keɪʃən/】 ​​ ​ 身份认证/登录,验证用户是不是拥有相应的身份; 身份 凭证 2. Authorization 【/ɔːθəraɪ'zeɪʃ(ə)n/】 ​​ ​ 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; 3. Session Manager ​​ ​ 会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; 4. Cryptography 【/krɪp'tɒgrəfɪ/】 ​ ​ 加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; 5. Web Support ​ ​ Web 支持,可以非常容易的集成到Web 环境; 6. Caching  ​ 缓存,比如用户登录后,其用户信息