shiro

思维导图、视频、代码携手揭秘shiro，干货多多，趣味多多！ 目录 思维导图 视频 代码 思维导图 视频 链接：https://pan.baidu.com/s/1RH5MrICBLT81Xez4uwi43w 提取码：t8m0 链接：https://pan.baidu.com/s/1TpGGJHaQaWXWVKw3zScsEQ 提取码：wt0v 代码 https://gitee.com/cakin24/shirodemo/tree/master/shiro-example-chapter8 来源： oschina 链接： https://my.oschina.net/u/4375296/blog/4290374

本文总结自实习中对项目的重构。原先项目采用Springboot+freemarker模版，开发过程中觉得前端逻辑写的实在恶心，后端Controller层还必须返回Freemarker模版的ModelAndView，逐渐有了前后端分离的想法，由于之前，没有接触过，主要参考的还是网上的一些博客教程等，初步完成了前后端分离，在此记录以备查阅。 一、前后端分离思想 前端从后端剥离，形成一个前端工程，前端只利用Json来和后端进行交互，后端不返回页面，只返回Json数据。前后端之间完全通过public API约定。 二、后端 Springboot Springboot就不再赘述了，Controller层返回Json数据。 @RequestMapping(value = "/add", method = RequestMethod.POST) @ResponseBody public JSONResult addClient(@RequestBody String param) { JSONObject jsonObject = JSON.parseObject(param); String task = jsonObject.getString("task"); List<Object> list = jsonObject.getJSONArray("attributes"); List

先感谢一下scz大佬给的博客推荐，受宠若惊+10086。 心血来潮有这么个想法，验证一下。 只讨论思路，工具木有~ 前言 看了很多师傅们在研究针对Java中间件+Java反序列化漏洞回显的研究： https://xz.aliyun.com/t/7740 https://xz.aliyun.com/t/7348 https://paper.seebug.org/1233/ （。。。应该还有挺多，就不翻了） 又看到了c0ny1师傅的作品： 《java内存对象搜索辅助工具》 配合IDEA在Java应用运行时，对内存中的对象进行搜索。比如可以可以用挖掘request对象用于回显等场景。 … 按照经验来讲Web中间件是多线程的应用，一般requst对象都会存储在线程对象中，可以通过 Thread.currentThread() 或 Thread.getThreads() 获取。 并且目前回显思路主要是基于加载类，执行static块或者构造方法（原生反序列化、FastJson、Jackson一类的都有）： TemplatesImpl类的反序列化链，内嵌类的bytecode，defineClass。 其他反序列化链使用URLClassLoader进行远程加载类。 JNDI远程加载类。 所以想到： 我们能否写单个类，让它能够触发时，使用2的思路去寻找request和response

　　有人曾说：人的差距都在业余时间拉开的……嗯，我现在深刻理解着这句话，作为一个程序员，技术男，就得不断学习新的技术，跟上时代步伐，才会让自己更有价值~~~~以下这个项目是个人利用业余时间学习并实践的~如有不正确的地方，欢迎大家指正。今天总算把这些功能都搞得差不多了，做一下记录，结一下尾。 一、概述 　　本系统主要是一个后台管理系统，Shiro实现用户的角色、权限分配；layui+thymeleaf实现页面的渲染；在线设计流程图（非插件）；通过请假模拟工作流；layui实现页面菜单树等等，一一道来。 1、技术点 　　SpringBoot（2.1.8.RELEASE）-官网地址： https://spring.io/projects/spring-boot/ 　　Mabtis-Plus（3.2.0）：国人开发的增强版mybatis，极好用（不仅可以生成mapper，连controller、service都可以逆向生成……等等）--官网地址： https://mp.baomidou.com/ 　　Activiti（5.22.0）：实现工作流（类比日常OA系统）： https://www.activiti.org/get-started 　　Shiro（1.4.1）：实现权限管理： http://shiro.apache.org/ 　　layui（2.5.5）：前端框架（极容易上手）：

思维导图、视频、代码携手揭秘shiro，干货多多，趣味多多！ 目录 思维导图 视频 代码 思维导图 视频 链接：https://pan.baidu.com/s/186Gh__Fz6OznxS2WBbSzUg 提取码：4ddh 链接：https://pan.baidu.com/s/1bzpjSOxDcFQqBu7-uwi1ug 提取码：8bcq 代码 https://gitee.com/cakin24/shirodemo/tree/master/shiro-example-chapter10 来源： oschina 链接： https://my.oschina.net/u/4312837/blog/4295399

1、springboot+Shiro+登录 2、引入相关支持 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version> 1.4 . 2 </version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-web</artifactId> <version> 1.4 . 2 </version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version> 1.4 . 2 </version> </dependency> 3、HTML配置（这里的用户名 密码 等信息字段名称必须是如下： username ， password ， rememberMe ） 因为在 FormAuthenticationFilter中固定了这些信息：源码如下： public class FormAuthenticationFilter extends AuthenticatingFilter { //

1、JWT JWT是JSON WEB TOKEN的缩写，它是基于 RFC 7519标准定义的一种可以安全传输的的JSON对象，由于使用了数字签名，所以是可信任和安全的。 1.JWT的组成 JWT token的格式：header.payload.signature header中用于存放签名的生成算法 {"alg": "HS512"} payload中用于存放用户名、token的生成时间和过期时间 {"sub":"admin","created":1489079981393,"exp":1489684781} signature为以header和payload生成的签名，一旦header和payload被篡改，验证将失败 //secret为加密算法的密钥 String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret) 2.JWT实现认证和授权的原理 用户调用登录接口，登录成功后获取到JWT的token； 之后用户每次调用接口都在http的header中添加一个叫Authorization的头，值为JWT的token； 后台程序通过对Authorization头中信息的解码及数字签名校验来获取其中的用户信息，从而实现认证和授权。 2、SpringBoot +

当前用户 现在我们能够开始做一些我们真正关心的事情——执行安全操作。 当保护我们的应用程序时，我们对自己可能提出的最为相关的问题是“当前用户是谁”或“当前用户是否被允许做XXX”。 当我们编写代码或设计用户接口时，问这些问题是很常见的：应用程序通常是基于用户的背景情况建立的，且你想基于每个用户标准体现（保障）功能。因此，对于我们考虑应用程序安全的最自然的方式是基于当前用户。 Shiro的API使用它的Subject概念从根本上代表了“当前用户”的概念。 几乎在所有的环境中，你可以通过下面的调用获取当前正在执行的用户： Subject currentUser = SecurityUtils.getSubject(); 使用 SecurityUtils.getSubject()，我们可以获得当前正在执行的Subject。Subject是一个安全术语，它基本上的意思是“当前正在执行的用户的特定的安全视图”。它并没有被称为"User"是因为"User"一词通常和人类相关联。 在安全界，术语"Subject"可以表示为人类，而且可是第三方进程，cron job，daemonaccount，或其他类似的东西。它仅仅意味着“该事物目前正与软件交互”。 对于大多数的意图和目的，你可以把 Subject 看成是 Shiro 的"User"概念。 getSubject()在一个独立的应用程序中调用

思维导图、视频、代码携手揭秘shiro，干货多多，趣味多多！ 目录 思维导图 视频 代码 思维导图 视频 链接：https://pan.baidu.com/s/1o3b1OBiz5qMj4lZbSSo0tw 提取码：ccq5 代码 https://gitee.com/cakin24/shirodemo/tree/master/shiro-example-chapter11 来源： oschina 链接： https://my.oschina.net/u/4321806/blog/4296408

　　Java作为目前应用最广泛、最流行的编程语言之一，是很多人入行IT开发行业的首选。但很多零基础小白在学习之初时往往有无从下手的感觉，这也是正常现象，虽然IT行业入行门槛相对较低，但作为后端开发语言的Java学起来并不轻松，想要学好更是难上加难。那么，零基础小白培训学习Java开发，需要做哪些准备呢?小编就给大家介绍一下。 　　1、有一定的英语基础，对于零基础入门学习Java开发的小白来说，有一定的英语基础很重要，如果你本身英语好那么学起Java来会更容易。当然，这并不是说你一定要英语特别厉害，有一定的基础会让你学习Java事半功倍。因为Java的代码口令都是英文的，所以你需要将常用的口令代码背熟。如果英语不好还不愿意死记硬背，那么用Java编程都是个问题。 　　2、学习一些Java基础知识，对于零基础学习Java的人来说入门之初学习一些Java基本知识很有必要。比如：Java基础语、面向对象、核心类库、集合、异常、IO、线程、JDK新特性等知识点。学好基础知识，把基础打牢再继续学习会简单很多。 　　打好基础后接下来还要学习JavaWeb开发、Java高级框架、微服务与分布式等知识，主要包含：前端技术、数据库 、Linux、Docker、Vue、SpringBoot、Shiro、分布式事务等知识点。 　　3、进行一些实操训练，想要入行Java开发