shiro

1.漏洞原理 Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。 那么，Payload产生的过程：命令=》序列化=》AES加密=》base64编码=》RememberMe Cookie值 在整个漏洞利用过程中，比较重要的是AES加密的密钥，如果没有修改默认的密钥那么久很容易就知道密钥，payload构造起来也是十分简单。 1.1影响版本：Apache Shiro < 1.2.4 1.2特征判断：返回包中包含rememberMe=deleteMe字段 2.漏洞发现 2.1环境搭建 获取docker镜像 docker pull medicean/vulapps:s_shiro_1 启动docker镜像： docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1 2.2漏洞检测 这里使用一个shiro_exploit工具，检查是否存在默认的key github项目地址： https://github.com/insightglacier/Shiro_exploit 使用方法：python2 shiro_exploit.py –u 目标机地址及端口

Spring Security 思维导图 简介 SpringSecurity是Spring下的一个安全框架，与shiro 类似，一般用于用户认证（Authentication）和用户授权（Authorization）两个部分，常与与SpringBoot相整合。 初阶 Spring Security 添加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 重新部署，会看到一个登陆页面。 密码，翻看日志可以查看到 用户名默认为 user 输入用户名和密码 登录成功 中阶 Security 内存用户名和密码 用户名密码登录 在上面的章节中，添加了Security依赖，直接就出现了登录界面，这次让用户名，密码保存到内存当中 写一个extends WebSecurityConfigurerAdapter的配置类: 配置类内容如下 package com.example.demo.config; import org.springframework.context.annotation.Bean; import org.springframework.context

思维导图、视频、代码携手揭秘shiro，干货多多，趣味多多！ 目录 思维导图 视频 代码 思维导图 视频 链接：https://pan.baidu.com/s/17M1LNI1OVdA1qfFbm4vHZg 提取码：0ppb 链接：https://pan.baidu.com/s/15LgVqgYuVLLPd7W3Jmeo0A 提取码：137e 链接：https://pan.baidu.com/s/1x4NtYzmaUCxw71m0t9V_Qw 提取码：6ip2 代码 https://gitee.com/cakin24/shirodemo/tree/master/shiro-example-chapter3 来源： oschina 链接： https://my.oschina.net/u/4381476/blog/4286383

1.获取当前的Subject,调用SecurityUtils.getSubject(); 2.测试当前的用户是否已被认证，即是否已经登录，调用subject的isAuthenticated() 3.若没有被认证，则把用户名和密码封装为UsernamePasswordToken对象 1.）创建一个表单页面。 2.）把请求提交到SpringMVC的Handler 3.）获取用户名和密码 4.）执行登录：调用Subject的login（AuthenticationToken）方法 5.）自定义Realm的方法，从数据库中获取对应的记录，返回给Shiro 5.1 实际上需要基础org.apche.shiro.realm.AuthenticatingRealm类 5.2 实现doGetAuthenticationInfo(AuthenticationToken) 方法 6、由shiro完成对密码的比对 本文来源于：宋文超super，专属平台有csdn、思否(SegmentFault)、 简书、 开源中国(oschina)，转载请注明出处。 来源： oschina 链接： https://my.oschina.net/u/3649200/blog/4439115

一、概述 　　网上有很多关于Eclipse、IDEA等IDE插件通过拖拽的方式来画工作流程图，个人觉得还是不够好，所以花点时间研究了一下Activiti在线设计器，并与SpringBoot整合。 二、实现效果 　　 三、实现过程 1.Activiti官网下载： https://www.activiti.org/get-started （我这里使用的是5.22.0版本） 　　解压：activiti-5.22.0\wars\activiti-explorer，如下图 　　 2.设计器前端部分 　　仅保留一些静态资源就行了，将这些文件放入项目的web目录下。 　　 　　在editor-app/app-cfg.js中配置一下项目url。这个url是编辑器相关的后台服务的url。(当然你也可以根据你的需求改动) 　　 　　注： 　　　　①editor-app就是编辑器、modeler.html就是编辑器的入口页面 　　　　②diagram-viewer是流程跟踪插件 　　　　③界面组件：stencilset.json。本身是英文的，可以通过替换它来实现汉化的效果 3.设计器后端部分 　　下载Acitiviti源码：https://github.com/Activiti/Activiti/releases/tag/activiti-5.22.0 ①添加pom依赖 < dependency >

简介 目前 RESTful 大多都采用 JWT 来做授权校验，在 Spring Boot 中可以采用 Shiro 和 JWT 来做简单的权限以及认证验证，在和 Spring Boot 集成的过程中碰到了不少坑。便结合自身以及大家的常用的运用场景开发出了这个最简单的整合方式 fastdep-shiro-jwt 。 这里还要注意 ：光理论是不够的,在此送大家十套2020最新Java架构实战教程+大厂面试题库，进我扣裙 ：七吧伞吧零而衣零伞 （数字的谐音）转换下可以找到了，里面很多新JAVA架构项目教程，还可以跟老司机交流讨教！ 源码地址 希望大家可以 star 支持一下，后续还会加入其它依赖的简易整合。 https://github.com/louislivi/fastdep 引入依赖 Maven <dependency > <groupId >com.louislivi.fastdep </groupId > <artifactId >fastdep-shiro-jwt </artifactId > <version >1.0.2 </version > </dependency > Gradle compile group: 'com.louislivi.fastdep', name: 'fastdep-redis', version: '1.0.2' 配置文件

管理系统模版 前言 一套管理系统基础模版，提供了些基础功能（包含：系统用户，菜单，权限，调度任务，常量，数据字典等功能） 方便开发人员专注于业务功能开发。 项目前后端分离，前端采用 vue+element-ui，后端采用 spring-boot 项目地址： https://github.com/cuteJ/shop-server （后端） https://github.com/cuteJ/shop-web-mgt （前端） 项目简介 项目结构 前端 src -- 源码目录 ├── api -- API ├── assets -- 图片资源文件 ├── components -- 通用组件 ├── directive -- vue指令 ├── filters -- 过滤器 ├── lang -- 国际化配置 ├── icons -- svg文件 ├── router -- 路由配置 ├── store -- vuex状态管理 ├── styles -- 全局css样式 ├── utils -- 工具类 └── views -- 页面组件 ├── app -- 应用管理（小程序） ├── dashboard -- 首页 ├── errorPage -- 错误页面 ├── layout -- 布局页面 ├── login -- 登录页 ├── profile -- 个人配置 ├──

程序员的成长之路 互联网/程序员/技术/资料共享 关注 阅读本文大概需要 3.5 分钟。 来自：BAT 6年前，阿里巴巴集团上市，估值1600亿美元，成为史上最大IPO，诞生了一位中国首富，还有成千上万个千万富豪。 6年后，支付宝母公司蚂蚁集团官宣，启动A+H股上市计划，估值2000亿美元。你们猜，又将诞生多少千万富豪？ 从阿里巴巴集团2020财报中看到，全球近12万员工，虽然蚂蚁集团的员工人数没有公布，但可以猜测一下—— 西溪路的Z空间可以容纳8000人，蚂蚁集团还有部分业务分布在其他大厦，保守估计蚂蚁集团员工1w人，假设有40%的蚂蚁员工持股，那就有4000人。 蚂蚁集团每年给员工分配多少期权？最近三年分别是1300w股、1500w股和1560w股，除以4000人，平均每人4000股。 注意，这还是一年的，这样的期权激励，阿里每年都在发生。 事实上，前几年蚂蚁配股出手十分大方，都是8k、1w的给，加上入职给的，五年陈老蚂蚁手上有个2、3w股不是问题。 据说，以目前的公允价推测，蚂蚁上市后股价有望看到400，如果真是这样，那 1w股就是400万，3w股就千万身价了。 也难怪，官宣上市的消息一传出，蚂蚁Z空间整层楼欢呼，是财富自由的声音。 柠檬树上柠檬果，柠檬树下你和我。 今天，就来教大家如何一眼识别蚂蚁集团身价千万的阿里人—— 01 从外表 阿里有两种人，一种是集团的

securityManager的配置 当调用SecurityUtils. getSubject ().login(token); 即subject的login 方法;默认会调用realm里面的doGetAuthenticationInfo方法进行身份验证。但上面设置了 配置使用自定义认证器 会先进入这个，再决定进入哪个realm. 验****证成功后会进入当前realm的 doGetAuthorizationInfo 方法进行授权 本文来源于：宋文超super，专属平台有csdn、思否(SegmentFault)、 简书、 开源中国(oschina)，转载请注明出处。 来源： oschina 链接： https://my.oschina.net/u/3649200/blog/4439085

1、Spring Security介绍 Spring security ，是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准 ——来自官方参考手册 Spring security 和 shiro 一样，具有认证、授权、加密等用于权限管理的功能。和 shiro 不同的是， Spring security 拥有比 shiro 更丰富的功能，并且，对于 Springboot 而言， Spring Security 比 Shiro 更合适一些，因为都是 Spring 家族成员。今天，我们来为 SpringBoot 项目集成 Spring Security 。 本文所使用的版本： ​ SpringBoot ： 2.2.6.RELEASE ​ Spring Security ： 5.2.2.RELEASE 2、配置Spring Security 在 SpringBoot 中集成 Spring Security 很简单，只需要在pom.xml中添加下面代码就行： <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 这里可以不指定 Spring Security