1.所用技术SpringBootMybatis-plusShiroJWTRedis2.前置知识Shiro：Shiro是一个基于Java的开源的安全框架。在Shiro的核心架构里面，Subject是访问系统的用户。SecurityManager是安全管理器，负责用户的认证和授权，相当于Shiro的老大哥。Realm相当于数据源，用户的认证和授权都在Realm的方法中进行。cryptography用来管理用户的密码，对密码进行加密解密操作。JWT：JWT全称jsonwebtoken，其实就是将用户的登录信息、过期时间以及加密算法经过"揉搓"之后生成的一串字符串，这个字符串又叫做令牌，当然你也可以叫

SpringSecurity入门案例——基本功能讲解简介：本文讲解，SpringSecurity的快速入门案例，主要讲解基本功能，其他拦截器，与jwt的结合在后面的文章中讲解。项目代码地址：https://gitee.com/geek-li-hua/code-in-blog.git项目实现项目准备导入依赖这些是这个项目需要的依赖SpringBootStarterJDBCProjectLombokMySQLConnector/Jmybatis-plus-boot-startermybatis-plus-generatorspring-boot-starter-securitydependency

1.前言最近开发项目的时候遇到了和SpringSecurity相关的一些问题，但是之前并没有去了解过SpringSecurity，导致改系统安全权限验证的时候就比较吃力了，目前项目开发大多都直接用脚手架直接开发，系统安全权限验证已经形成了，所以并不是自己写的，自己理解起来会更慢一些，所以这篇文章就是为了分析SpringSecurity的认证流程而写的2.本质SpringSecurity的本质就是一个过滤器链，内部包含了提供各种功能的过滤器，基本案例中的过滤器链如下图所示： 上图中仅展示了部分核心过滤器，非核心过滤器没有显示UsernamePasswordAuthenticationFilter

漏洞原理本文所有使用的脚本和工具都会在文末给出链接，希望读者可以耐心看到最后。啥是shiro?Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API，可以快速轻松地对应用程序进行保护。shiro550反序列化原理cve编号：CVE-2016-4437在Apacheshiro的框架中，执行身份验证时提供了一个记住密码的功能（RememberMe），如果用户登录时勾选了这个选项。用户的请求数据包中将会在cookie字段多出一段数据，这一段数据包含了用户的身份信息，且是经过加密的。加密的过程是：用户信息=>序列化=>AES加

一SpringSecurity简单介绍SpringSecurity是强大的且容易定制的，基于Spring开发的实现认证登录与资源授权的应用安全框架核心功能：Authentication：身份认证，用户登陆的验证Authorization：访问授权，授权系统资源的访问权限。安全防护，防止跨站请求，session攻击等，如用户菜单权限等主要配置类aconfigure(HttpSecurityhttpSecurity)用于配置需要拦截的url路径、jwt过滤器及出异常后的处理器bconfigure(AuthenticationManagerBuilderauth)用于配置UserDetailsSer

本专栏将从基础开始，循序渐进，以实战为线索，逐步深入SpringSecurity相关知识相关知识，打造完整的SpringSecurity学习步骤，提升工程化编码能力和思维能力，写出高质量代码。希望大家都能够从中有所收获，也请大家多多支持。专栏地址:SpringSecurity专栏本文涉及的代码都已放在gitee上：gitee地址如果文章知识点有错误的地方，请指正！大家一起学习，一起进步。专栏汇总：专栏汇总文章目录3.1在SpringSecurity中实现认证3.2描述用户3.2.1解读UserDetails合同的定义3.2.2关于GrantedAuthority合同的详细说明3.2.3编写Us

文章目录漏洞描述漏洞原理影响版本Shiro特征判断网站是否使用的shiro框架漏洞环境搭建漏洞利用执行反弹shellJar工具漏洞防御总结漏洞描述ApacheShiro1.2.4反序列化漏洞即shiro-550反序列化漏洞。ApacheShiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。漏洞原理ApacheShiro框架提供了记住我的功能(RememberMe)，用户登录成功后会生成经过加密并编码的cooKie，cookie的key为RememberMe，cookie的值是经过对相关信息进行反序列化，然后使用aes加密，最后在使用base64编码处理形成的。Shiro记住用户

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录前言一、SpringSecurity是什么？二、所需数据库设计三、使用步骤1.添加依赖2.创建SecurityConfig类3.往配置类中加方法，实现登录验证四、自定义登录功能---认证功能1.从数据库中获取用户数据2.自定义登录页面3.登录成功后逻辑4.登录失败后逻辑5.自定义表单的键名6.rememberMe功能7.退出登录功能五、授权功能1.取得用户角色和权限2.配置校验规则3.自定义拦截规则4.通过注解方式实现授权使用注解的方式添加授权的步骤如下：注解格式介绍：六、CSRF跨站伪造请求攻击防护1.什么是跨站伪造请求

目录漏洞扫描利用链检测执行命令注入蚁剑内存马漏洞扫描将目标网站输入在目标地址栏中吗，点击爆破密钥，如果发现key，则可以利用

文章目录SpringSecurity第三方认证实现方法级别的安全SpringSecurity第三方认证在登录网页时，时常有用其他账号登录的方式，它们能够让用户避免在Web站点特定的登录页上自己输入凭证信息。这样的Web站点提供了一种通过其他网站（如Facebook）登录的方式，用户可能已经在这些其他的网站登录过了这种类型的认证是基于OAuth2或OpenIDConnect(OIDC)的。OAuth2是一个授权规范。OpenIDConnect是另一个基于OAuth2的安全规范，用于规范化第三方认证过程中发生的交互要在Spring应用中使用这种类型的认证，我们需要在构建文件中添加OAuth2客户端