问题标签 [shiro]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 用于 Web 用户身份验证的 Java 选项
我正在为公共网络应用寻找安全的用户登录/会话管理组件。Spring Security 似乎有潜力,还有其他高质量的替代方案吗?
从概念上讲,这很容易,我们目前的代码运行良好,但我宁愿使用经过公开审查的安全漏洞代码。
需求:
- 登录
- 登出
- 安全会话令牌管理(令牌不可猜测)
- 会话到期
- Java/Tomcat 支持
hibernate - 在 Hibernate 过滤器中运行代码
我有一个相当复杂的安全机制,我使用 Apache Shiro(以前称为 JSecurity)实现了它。为了知道对象的确切可见性规则,我需要运行一些代码(即查找用户的角色、权限、组等)。我想运行查询来告诉我当前用户有权查看的对象。
我发现休眠过滤器使您能够将过滤器应用于您的对象/查询,这似乎是我可以在这里使用的。
但是,我发现的示例似乎以数据库为中心(即说我有一个字段/列 isVisible,只要它设置为 true 就进行过滤)。有没有办法我可以运行一些代码作为休眠过滤器,或者它只是一个薄层,为你的所有查询添加一个小 WHERE 子句。
我实际上是在 Grails / GORM 基础设施中使用它,所以也许还有其他一些有效的解决方案。存在一个集成休眠过滤器的插件,但除非我可以将它与一些代码一起用作休眠过滤过程的一部分,否则它在这里不会真正帮助我。
grails - 在引导程序中使用 groovy 元类模拟 Shiro SecurityUtils
有关更多背景信息,请参阅http://grails.markmail.org/message/62w2xpbgneapmhpd
我试图在我的 BootStrap.groovy 中模拟 Shiro SecurityUtils.getSubject() 方法。我决定采用这种方法是因为最新 Shiro 版本中的主题构建器在当前版本的 Nimble 插件(我正在使用)中不可用。我决定尝试使用 SecurityUtils.metaClass,但我觉得我错过了关于元类如何工作的一些非常基本的东西。作为参考,这是我的 Trackable 课程:
在我的 BootStrap.groovy 中,我有这个:
那行得通……有点。如果我从 BootStrap.groovy 打印出主题,我会得到“罐头主题”。如果我尝试创建和保存 Trackable 子类的实例,我会得到:
我是否遗漏了有关元类如何工作的一些重要内容?
database - 数据相关安全实施
使用 Shiro,我们在 GF 上运行的企业应用程序中嵌入了一个出色的安全框架。您定义用户、角色、权限,如果用户可以访问应用程序、特定页面甚至单击特定按钮,我们可以在任何细粒度级别进行控制。
是否有一种方法或模式,允许在此之上限制用户查看某些数据?
示例:您有 3 个工厂(一家公司的一部分)的客户表。管理员用户可以查看所有客户记录,但本地工厂的用户不得查看其他工厂的任何客户数据(无论出于何种原因)。
安全功能应该是角色定义的一部分。
感谢您的任何意见和想法
grails - 在 grails 应用程序中使用 shiro 进行身份验证时出现问题
我有一个 grails 1.2 应用程序,我想使用声明式安全性来限制基于角色的访问。我决定尝试 shiro,安装了插件,但是当我尝试进行身份验证时,标题中显示“无效的用户名和/或密码”消息。我检查了 db 条目,并且用户在那里使用 sha'ed 密码。控制台和堆栈跟踪文件中均未显示任何消息。我在 Config.groovy 中添加了“warn 'org.jsecurity'”,但没有任何结果。解决此问题的任何提示/技巧?
grails - 是什么让 nimble 比 shiro 更好?
是什么让 Nimble 成为比 shiro 更好的选择?
我现在正在为一个新的 grails 项目在 nimble 和 shiro 之间做出决定,我很好奇是什么让 nimble 成为更好的选择。
grails - 使用 Shiro 保护 grails 中的服务
我正在使用 grails 构建一个主要用作服务框架的应用程序。我的问题是:服务能否以与控制器相同的方式得到保护?
基于uri的示例:
grails - 使用 Shiro 插件保护 Grails 应用程序中的一些页面,但不是所有页面
可能只有我一个人,但我很难理解如何使用 Shiro 插件保护 Grails 应用程序中的一些页面。
我在我的安全过滤器中使用它:
我在我的引导程序中创建了一个用户:
它有效。问题是,它还保护所有控制器/操作。
我希望,可以不在我的 SecurityFilter 中指定我想要保护的操作,而只能在权限中指定。但这可能吗?
authentication - Grails 应用程序中的安全性:Acegi 或 Shiro
我正在开发一个基于 Grails 的 Web 应用程序,我需要选择这两个框架之一进行身份验证。在您看来,选择 Acegi 的标准是什么,选择 Apache Shiro 的标准是什么?
grails - Grails 应用程序中的 shiro 配置错误
我正在使用 Apache Shiro 作为我的应用程序的 athetication 框架。我正在关注http://www.grails.org/plugin/shiro的参考资料, 我的应用程序抛出了异常:
调用代码无法访问 SecurityManager,绑定到 org.apache.shiro.util.ThreadContext 或作为 vm 静态单例。这是无效的应用程序配置。
java.lang.IllegalStateException:调用代码无法访问 SecurityManager,绑定到 org.apache.shiro.util.ThreadContext 或作为 vm 静态单例。这是无效的应用程序配置。在 org.apache.shiro.SecurityUtils.getSecurityManager(SecurityUtils.java:115) 在 org.apache.shiro.SecurityUtils.getSubject(SecurityUtils.java:57) 在 br.netsoft.ShiroDbRealmTests.testAutenticarComDadosCorretos(ShiroDbRealmTests.groovy:58) 在junit.framework.Test$run.call(未知来源)
我可以做什么?