废话不多说，咱们直接接上回上一篇我们讲了如何使用Springboot框架整合Nosql，并于文章最后部分引入了服务端Session的概念而早在上上一篇中，我们则已经讲到了如何使用Springboot框架整合Mybatis/MybatisPlus实现业务数据的持久化（写入数据库）本篇我们把关注点放在一个于这两部分有共同交集的内容——安全管理，并且引入我们今天的主角——Shiro框架ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。——来

废话不多说，咱们直接接上回上一篇我们讲了如何使用Springboot框架整合Nosql，并于文章最后部分引入了服务端Session的概念而早在上上一篇中，我们则已经讲到了如何使用Springboot框架整合Mybatis/MybatisPlus实现业务数据的持久化（写入数据库）本篇我们把关注点放在一个于这两部分有共同交集的内容——安全管理，并且引入我们今天的主角——Shiro框架ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。——来

1.认识shiro  除SpringSecurity安全框架外，应用非常广泛的就是Apache的强大又灵活的开源安全框架Shiro,在国内使用量远远超过SpringSecurity。它能够用于身份验证、授权、加密和会话管理，有易于理解的API,可以快速、轻松地构建任何应用程序。而且大部分人觉得从Shiro入门要比SpringSecurity简单。  1.1认识Shiro的核心组件Shiro有如下核心组件。Subject：代表当前“用户”。与当前应用程序交互的任何东西都是Subject,如爬虫、机器人、所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给

1.认识shiro  除SpringSecurity安全框架外，应用非常广泛的就是Apache的强大又灵活的开源安全框架Shiro,在国内使用量远远超过SpringSecurity。它能够用于身份验证、授权、加密和会话管理，有易于理解的API,可以快速、轻松地构建任何应用程序。而且大部分人觉得从Shiro入门要比SpringSecurity简单。  1.1认识Shiro的核心组件Shiro有如下核心组件。Subject：代表当前“用户”。与当前应用程序交互的任何东西都是Subject,如爬虫、机器人、所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给

1、Durid1.1简介Java程序很大一部分要操作数据库，为了提高性能操作数据库的时候，又不得不使用数据库连接池。Druid是阿里巴巴开源平台上一个数据库连接池实现，结合了C3P0、DBCP等DB池的优点，同时加入了日志监控。Druid可以很好的监控DB池连接和SQL的执行情况，天生就是针对监控而生的DB连接池。Druid已经在阿里巴巴部署了超过600个应用，经过一年多生产环境大规模部署的严苛考验。SpringBoot2.0以上默认使用Hikari数据源，可以说Hikari与Driud都是当前JavaWeb上最优秀的数据源，我们来重点介绍SpringBoot如何集成Druid数据源，如何实现

1、Durid1.1简介Java程序很大一部分要操作数据库，为了提高性能操作数据库的时候，又不得不使用数据库连接池。Druid是阿里巴巴开源平台上一个数据库连接池实现，结合了C3P0、DBCP等DB池的优点，同时加入了日志监控。Druid可以很好的监控DB池连接和SQL的执行情况，天生就是针对监控而生的DB连接池。Druid已经在阿里巴巴部署了超过600个应用，经过一年多生产环境大规模部署的严苛考验。SpringBoot2.0以上默认使用Hikari数据源，可以说Hikari与Driud都是当前JavaWeb上最优秀的数据源，我们来重点介绍SpringBoot如何集成Druid数据源，如何实现

项目是借用一个开源项目，然后被发现有shiro反序列化漏洞，如下图：  有了以上漏洞，就可以在服务器执行任意指令。如下图：   解决过程：1、升级shiro到最新版本1.9.1，却发现还是可以挂马；2、查开源代码，发现代码里面有指定密钥（可能是早期版本的shiro需要吧），如下：cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));删除后，改成随机密钥。3、用shiro反序列化漏洞工具扫描，已经无法直接挂马，但还是有两点，可以扫描发现shiro框架，可以爆力穷举密钥。如下图：  当然16字

项目是借用一个开源项目，然后被发现有shiro反序列化漏洞，如下图：  有了以上漏洞，就可以在服务器执行任意指令。如下图：   解决过程：1、升级shiro到最新版本1.9.1，却发现还是可以挂马；2、查开源代码，发现代码里面有指定密钥（可能是早期版本的shiro需要吧），如下：cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));删除后，改成随机密钥。3、用shiro反序列化漏洞工具扫描，已经无法直接挂马，但还是有两点，可以扫描发现shiro框架，可以爆力穷举密钥。如下图：  当然16字

✅作者简介：2022年博客新星第八。热爱国学的Java后端开发者，修心和技术同步精进。🍎个人主页：JavaFans的博客🍊个人信条：不迁怒，不贰过。小知识，大智慧。💞当前专栏：SpringBoot框架从入门到精通✨特色专栏：国学周更-心性养成之路🥭本文内容：一文总结Shiro实战教程文章目录1.权限的管理1.1什么是权限管理1.2什么是身份认证1.3什么是授权2.什么是shiro3.shiro的核心架构3.1Subject3.2SecurityManager3.3Authenticator3.4Authorizer3.5Realm3.6SessionManager3.7SessionDAO3.

✅作者简介：2022年博客新星第八。热爱国学的Java后端开发者，修心和技术同步精进。🍎个人主页：JavaFans的博客🍊个人信条：不迁怒，不贰过。小知识，大智慧。💞当前专栏：SpringBoot框架从入门到精通✨特色专栏：国学周更-心性养成之路🥭本文内容：一文总结Shiro实战教程文章目录1.权限的管理1.1什么是权限管理1.2什么是身份认证1.3什么是授权2.什么是shiro3.shiro的核心架构3.1Subject3.2SecurityManager3.3Authenticator3.4Authorizer3.5Realm3.6SessionManager3.7SessionDAO3.