问题标签 [shiro]

如何检索已创建并存储在数据库中的现有 ShiroRole？

我注意到您可以通过调用 ShiroUser.findByUserName("somename") 来检索现有的 ShiroUser，但我还没有在 ShiroRole 中找到一个方法，该方法在按名称查找角色时似乎做同样的事情。

我正在使用Apache Shiro Grails 插件

谢谢！

更新：我已将此问题更改为关于我遇到的具体问题。这是因为 Grails 2.0 将支持过滤器的单元测试，所以希望文档会更好。

我正在尝试为我设置的过滤器编写单元测试，以在我的 grails 应用程序中实现 Shiro 安全性。我正在使用 Grails 1.3.7，并且在一段时间内（如果有的话）将无法在这个特定项目中使用 2.0。

我的过滤器背后的想法是我需要匿名访问数字或控制器/操作组合，但保护对其他人的访问。我还希望它能够安全失败，即如果您忘记明确允许访问，则禁止访问。

过滤器类

单元测试

例外

问题是，当这些测试运行时，我得到以下异常：

此外，我在单元测试中放置了以下行：

打印以下内容：

所以它肯定似乎使用了一个模拟请求对象。

所以，问题。

我是否正确使用 FiltersUnitTestCase 来执行我的过滤器？

如果是这样：

为什么我会遇到此异常？

在我全新的 grails 项目中，我安装了 shiro ( grails install-plugin shiro) 和 quick setup grails shiro-quick-start。如shiro 文档中所述，这会生成新文件。

但是，在其中一个文件中，controllers/(default package)AuthController.groovy有八个由 eclipse（SpringSource 工具套件）标记的问题。其中五个问题分别解决了五个进口问题：

指定正确的包并将文件移动到该包并不能解决问题。其他三个问题标记是：

(x3) 我想这个问题可能与失败的导入有关，一旦解决了之前的问题，它可能会消失。

现在，我可以在没有快速启动的情况下自己设置 shiro，但我更愿意坚持快速启动并在此基础上进行扩展，如指南中所述。

（显而易见）问题 1：有人知道为什么 Eclipse 会给我这些错误消息吗？我错过了安装过程中的一个步骤吗？

（不是那么重要）问题 2：我尝试将修复应用到（默认包）问题，却发现在 _ShiroInternal.groovy 的相关部分已经有对包路径的引用。为什么它仍然安装到默认目录？这可能与我的问题有关吗？

额外的奇怪之处：还有另一个文件，realm/ShiroDbRealm.groovy包含org.apache.shiro资源的导入。Eclipse 中没有包声明，也没有错误标记。一旦我为我的项目添加了正确的包声明并将文件移动到该包中，就无法再解析导入。这可能是这里发生的事情的线索。

老实说，在发布问题之前做了谷歌搜索，2天试图自己解决问题......

我想让 Apache Shiro 与 GAE 一起工作。在此之前，我在 Spring Security 上取得了成功，但在这里我不能做一件简单的事情：让过滤器找到我的 shiro.ini ！

在 web.xml 中引入 ShiroFilter 后，在 init-param 标记中，我为名为 configPath 的参数名称提供 classpath:shiro.ini 的值，作为标准方式。

接下来，我将 shiro.ini 放在我的 src 根目录下，不起作用，然后在 /web-inf/shiro.ini 下，再次不起作用......

请问有什么帮助吗？

我在玩 Shiro，想通过 ShiroWebModule 配置角色。

这工作，我的登录页面显示，我可以登录。

但

才不是。我可以以访客身份访问 /guest/** 和 /test/**。

我的模块：

shiro.ini：

我知道它还没有发布，但也许已经有可能了，我只是找不到。

对不起，如果这是一个愚蠢的问题。我有一些在 Grails 控制器中实现的 Web 服务调用，我们使用 Shiro 插件来确保安全。我希望能够为某些操作创建 IP 地址白名单，这些操作只能来自我们自己的服务器或受信任的合作伙伴。我在这个主题上找到了一些备用文档。我的第一个想法是尝试在这里实施白名单。如果有更简单的方法可以做到这一点，我不会感到惊讶。我有点像 Shiro 新手。当然可以使用 Shiro for Dummies 的副本！

我对 Java 的安全模型几乎一无所知，包括 XML 配置、策略设置、任何安全框架组件、工具（例如密钥库等）以及介于两者之间的所有内容。

尽管我知道卷起袖子深入学习 Java 安全性最终对我来说是必不可少的，但我想知道使用 Apache Shiro 之类的东西是否有助于简化过渡。因此，我对此有一些担忧。

Shiro 本质上是一个“交钥匙、包罗万象的包装器”，用于在 Java 应用程序（尤其是 Web 应用程序）中实现安全性。意思是，一个人可以用他们的项目配置 Shiro 并从本质上调整它来完成所有相同的配置、策略设置等，如果没有它，一个人必须“手动”（零碎地）做吗？如果没有，Shiro 有什么缺点（Shiro 不能为我做的一些重要的事情是什么）？有没有 Shiro 根本没有解决的大漏洞？

同样，我听说过关于 OWASP 的 ESAPI 框架的好消息。有人有这两个方面的经验吗？ESAPI 和 Shiro 是否可以配置为一起工作，或者它只是二进制“一个或另一个”类型的交易？

提前致谢！

我正在开发一个 Grails 应用程序，我正在使用 Shiro 来处理访问安全性。我认为我的应用程序现在是安全的，但缺少一些功能。生成的密码太难记住了，因此有必要将生成的（当前）密码更改为个性化密码，必须执行更新密码操作，但是 updatePassword.gsp 文件中有对 doUpdatePassword 闭包的引用，但它是未实现。那么我该怎么做呢？

提前致谢。

验证用户的常用方法是调用：

SecurityUtils.subject.login(new UsernamePasswordToken(params.username, params.password))

但是，如果我想自动登录他，而不需要输入用户名和密码呢？我在 userService 中创建了这样的方法：

但这不起作用，有什么提示吗？

平台：Shiro 1.1.0、Spring 3.0.5

我正在尝试使用 Shiro 注释来保护 MVC 控制器方法。但是注释有问题。定期通话工作正常。Shiro 调试中也没有什么特别的。

我的 shiro 配置：

我可以使以下工作正常：

但以下不起作用：

我错过了什么吗？请帮忙。